Criado há quase duas décadas, o conceito GRC (Governança, Riscos e Compliance) surgiu como solução para integrar diferentes áreas, sistemas e equipes nas organizações, respondendo às crescentes demandas regulatórias, aos riscos emergentes e às expectativas de governança responsável. Desde então, a integração tornou-se o nome do jogo no universo do GRC, buscando derrubar barreiras entre os silos corporativos, incentivando a cooperação entre os times e consolidando sistemas e funções empresariais.
"GRC é porque americano gosta de sigla com apenas 3 letras, senão teria também S de Security, Q de Quality, A de Audit, E de Environmental, S de Social, P de Privacy, etc."
Semana passada, tive a honra e prazer de apresentar palestra no CyberSecurity Summit, da Assespro-RJ sobre como a Privacidade de Dados e a Segurança da Informação podem convergir para maximizar o GRC nas empresas. O tema não é novo, mas os desafios são cada vez mais atuais!
E para lançar luz sobre esta evolução do GRC, desde a sua concepção até a sua implementação contemporânea, vale rever a íntegra deste artigo, publicado em 2006, na revista Microsoft Business.
Integrando compliance e gestão de riscos com segurança:
"Investir em segurança da informação é obrigatório nas empresas. Cada vez mais, surgem regulamentações que exigem ambientes e processos efetivamente seguros. O Banco Central do Brasil, por exemplo, publicou recentemente uma Resolução que determina a implementação de estrutura de gerenciamento do risco operacional nas organizações financeiras. Nos Estados Unidos, instituições do governo federal têm de atender ao Federal Information Security Management Act (FISMA) e empresas com ações na bolsa precisam seguir as exigências da Sarbanes-Oxley (também utilizada no Brasil por multinacionais), bem como o setor financeiro deve acompanhar as normas do Basiléia 2.
Tecnologia é a chave para otimizar o processo de gestão de riscos e compliance e, assim, garantir um ambiente protegido
Estar em conformidade (compliance) com as regulamentações é importante para empresas de qualquer porte e segmento. Para atender aos requisitos no setor de TI de forma estruturada e cumprir os procedimentos, deve-se utilizar normas como a ISO 27001, para Gestão da Segurança da Informação, ou o COBIT - Control Objectives for Information and Related Technology.
Fabricantes como a Microsoft oferecem soluções de automatização que reduzem custos e simplificam o processo. Além disso, a empresa tem de investir em mecanismos de proteção que vão desde antivírus e detecção de intrusos até softwares anti-spam e certificação digital. Os sistemas devem ser atualizados sempre, com o update das últimas versões, inclusive os patches de segurança.
Mas antes de investir, deve-se avaliar os riscos para identificar e priorizar os investimentos. Para ser gerenciada, a segurança precisa ser medida. Isso pode ser feito com modelos de gestão de riscos que utilizam, por exemplo, o conceito de Security Scorecard, painel com indicadores para avaliação.
Gestores, usuários e técnicos devem conhecer e seguir os procedimentos. Para isso, são necessárias a conscientização e a capacitação de pessoal, além de certificações profissionais e específicas de produtos.
Adequar-se às questões de compliance é mais simples e econômico do que parece. Com um cenário em constante mudança, tanto em termos de ameaças de segurança quanto de legislação, é preciso ter ferramentas adequadas para automação e gestão do processo. Certamente, o resultado é compensador e traz maior confiança para todos, clientes, parceiros e fornecedores."
Este artigo de 2006 continua relevante, enfatizando a necessidade de integrar compliance, gestão de riscos e segurança da informação em todas as empresas. Destaca também a importância da tecnologia para implementar o GRC, integrando os sistemas com o apoio de ferramentas de automação. A mensagem principal permanece atual: o GRC é a chave para tomar melhores decisões, enfrentando os desafios em um cenário de constantes mudanças, oferecendo confiança a clientes, parceiros e fornecedores.
Abraços e até a próxima,
