O compliance (cumprimento de normas legais, regras estabelecidas em cada segmento de mercado) tem servido como mola propulsora para se elevar em deamsia diversos orçamentos de segurança em várias empresas. Mas, sob certa ótica, tais normas representam a repreensão de muitos riscos aos quais as companhias estão expostas.
Sem um Sistema de Inteligência é impossível alcançar o cumprimento de regras, de nada adianta capturar todos os e-mails e dados transacionados pelos funcionários para descobrir onde podem estar os riscos.
Não é difícil que decisões equivocadas sejam tomadas, em meio a prazos estreitos, onde precipitações podem comprometer seriamente as políticas corporativas de proteção dos dados. Certamente, é aconselhável que os CIOs fiquem atentos aos erros mais comuns na hora de investir em compliance e criem mecanismos para evitá-los.
Com o intuito de manter-se de acordo com as normas praticadas no segmento no qual atuam, a maioria das empresas trocam as suas políticas de acesso e gerenciamento de identidade do modelo senha e login para um padrão de múltiplos dispositivos.
Não vamos, porque isso é muito cansativo, nos esquecer que tais iniciativas têm muito sucesso quando são implementadas de forma segmentada, com prazos para testes. Mas, por outro lado, a incoerente corrida para alcançar certas datas determinadas, para manter-se dentro dos parâmetros de conformidade que não se ajustam a nenhuma companhia no mundo, muitos, se não todos, os gestores pulam etapas de desenvolvimento e, em vez de corrigir falhas, acabam abrindo exceções para colaboradores que esquecem as suas senhas, por exemplo.
O problema é que quando existe uma exceção e a regra não é mais respeitada, nesse caso, deixa-se de levar a regra a sério e passam a acessar o sistema através da exceção. Mesmo depois de se investir milhões num projeto, a organização passa a desrespeitar as regras após a avaliação do órgão regulador.
A busca ávida pelo cumprimento de requisitos leva as empresas a buscarem fornecedores de tecnologia sem entender realmente quais são suas necessidades. Sim as organizações sentem-se pressionadas pelos prazos de compliance.
Não devemos permitir que as nossas companhias deleguem aos fornecedores a responsabilidade de adequar as regras. Essa é uma tarefa do gestor interno de tecnologia e segurança, os quais têm a missão, e não devem delegá-la a ninguém, de chegar ao parceiro já sabendo do que precisam.
Quais gestores de tecnologia e segurança nunca devemos ignorar o impacto das nossas ações nos usuários, em detrimento das nossas iniciativas. Não podemos ficar congelados pela apreensão de não atingir o nível de segurança exigido para nos manter em conformidade com os regimentos e leis do setor no qual atuamos.
Um bom exemplo é quando, na tentativa de evitar desvios de dados por meio de dispositivos USB, as companhias bloqueiam todas as portas do padrão nas máquinas dos funcionários. Isso não funciona, porque o colaborador de má intenção pode simplesmente imprimir os dados que quiser roubar, essas práticas atrapalham a rotina de pessoas que realmente precisam dessa tecnologia para alcançar alta performance.
Sim, criem políticas corporativas de proteção dos dados equilibradas. Assim que chegar o momento de se pensar em compliance, o único desafio será o de reforçar as políticas de segurança, de acordo com os requisitos legais e regulatórios.
Tags: Analytics, Data, compliance, segurança,
Nenhum comentário:
Postar um comentário