Talvez você já tenha ouvido falar em GRC, talvez não. GRC é uma sigla para Governança, Risco e Compliance, um conjunto de práticas que visam reduzir ameaças integrando processos de maneira clara, unificada e segura. O objetivo da GRC é garantir a conformidade das operações e atendimento a disposições legais como a LGPD, bem como outras leis, normas e regulamentos.

Cada uma das três áreas da GRC possuem práticas próprias que proporcionam maior segurança ao negócio. Abaixo, detalhei da forma mais resumida possível, como cada área da GRC pode ajudar empresas de qualquer tamanho.

1. Governança

De acordo com a definição do Instituto Brasileiro de Governança Corporativa (IBGC) (2019, p.1):

Governança corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas, envolvendo os relacionamentos entre sócios, conselho de administração, diretoria, órgãos de fiscalização e controle e demais partes interessadas.

Observa-se que a Governança Corporativa tem um papel fundamental nas organizações quando aplicada, resultando em maior transparência, equidade, responsabilidade corporativa e prestação de contas para as partes interessadas.

Estes quatro elementos podem ser considerados as principais reflexões a respeito da prática da Governança corporativa.

Os principais benefícios da Governança corporativa são:

• Maior qualificação dos colaboradores;
• Tomadas de decisão mais ágeis;
• Crescimento sustentável;
• Perpetuação da empresa com a redução da dependência do indivíduo (de acordo com Álvares)

Governança de TI

A transparência da TI com as partes interessadas é considerada como o principal fator motivador da Governança de TI.

Além disso, o ambiente de negócios, a dependência do negócio em relação à TI, a integração tecnológica, a segurança da informação, os marcos de regulação e a TI como Prestadora de Serviços também são fatores muito importantes para a motivação da Governança de TI.

A Governança de TI tem por objetivo a criação de valor por meio da realização de benefícios, otimização de riscos e otimização dos recursos.

Segundo o IT GOVERNANCE INSTITUTE:

• Realização de Benefícios – Significa otimizar a contribuição de valor agregado ao negócio por meio de processos de negócio, serviços de TI e ativos de TI resultantes dos investimentos realizados pela TI a custos aceitáveis.
• Otimização de Riscos – Significa certificar-se de que o apetite e tolerância ao risco da organização são compreendidos, articulados e comunicados, e que o risco ao valor agregado da organização relacionado com o uso da TI é identificado e controlado.
• Otimização de Recursos – Significa certificar-se de que as capacidades adequadas e suficientes relacionadas à TI (pessoas, processos e tecnologia) estão disponíveis para apoiar os objetivos corporativos de forma eficaz a um custo eficiente.

O objetivo principal da Governança de TI é o alinhamento total da estrutura de TI ao negócio. Isto é alcançado através da utilização de soluções tecnológicas de apoio, garantia de continuidade dos serviços e a minimização da exposição do negócio aos riscos de TI.

É possível afirmar que a Governança e TI realiza o alinhamento da TI ao negócio, apoiando a empresa na elaboração de estratégias e sua execução para o atingimento dos objetivos organizacionais.

Além disso, implementa melhores práticas de Gestão de TI e garante a continuidade do negócio em qualquer tipo de situação negativa como interrupções, falhas e desastres, além de realizar o alinhamento da TI com os marcos regulatórios externos como Sarbanes-Oxley, Basileia II, e as novas legislações sobre proteção de dados europeia (GDPR) e brasileira (LGPD).

A visão sobre a governança de TI pode ser representada pelo Ciclo da Governança de TI, conforme figura abaixo:

Os componentes típicos da Governança de TI são, de acordo com Fernandes e Abreu (2014):

• Riscos e Compliance
• Avaliação independente
• Gestão da Mudança Organizacional
• Alinhamento Estratégico
• Entrega de Valor
• Gestão do Desempenho
• Comunicação
• Gerenciamento de Recursos

O modelo de Governança em TI, segundo Fernandes e Abreu, pode ser resumido com a imagem abaixo:

Para implantar um modelo de TI é necessário realizar o Alinhamento Estratégico de TI, ou seja: garantir que os processos estratégicos do negócio estejam alinhados com a estratégia e ações de TI para alcançar os objetivos globais da Empresa.

Para realizar o Alinhamento Estratégico da TI, um dos principais “produtos” entregues nessa fase é o Plano de Tecnologia da Informação. Ele é derivado do planejamento estratégico da empresa, sendo um dos planos Funcionais que o compõe, assim como os planos de marketing, comercial, recursos humanos e afins.

Para adaptar a Governança de TI à realidade das Pequenas e Médias Empresas se faz necessária a definição de um modelo de Governança de TI baseado nos riscos principais para a continuidade do negócio e para seu crescimento, incluindo a gestão e as habilidades e atitudes dos responsáveis pela TI.

Portanto, os aspectos críticos relacionados à continuidade do negócio são:

• Gerenciamento de Rede
• Redundância de Servidores Críticos
• Existência de Site Backup
• Gerenciamento da Capacidade e Disponibilidade
• Rotinas de Backup
• Guarda e Armazenamento de Mídias
• Segurança Física do Data Center (se for próprio da empresa)
• Segurança nos Serviços e Recursos de TI utilizados pelo negócio
• Gerenciamento da Manutenção dos Recursos Computacionais
• Gerenciamento da Configuração e Inventário de Recursos Computacionais
• Gerenciamento de Suporte ao Usuário

Em Pequenas e Médias Empresas deve haver um mínimo de Gestão de TI, composta por:

• Gestão do Orçamento de TI
• Gestão da Privacidade e Proteção de Dados
• Gestão de Contratos e Serviços Terceirizados
• Gestão dos Serviços e Infraestrutura
• Gestão dos Recursos Humanos
• Gerenciamento do Desempenho de TI

Em resumo, é possível realizar a Governança Corporativa de TI em Pequenas e Médias Empresas desde que haja uma organização mínima da Empresa, apoiada pela consultoria ou execução dos serviços por uma empresa especializada em TI.

Riscos

A definição de “risco” é: um evento ou condição incerto que, se ocorrer, causará efeitos negativo ou positivos em um ou mais objetivos do negócio.

Os riscos do projeto podem ser vistos como ameaças ou oportunidades. As oportunidades significam que ter um risco calculado pode trazer, por exemplo, vantagens competitivas para um produto ou uma organização.

Se houver benefícios associados a uma oportunidade, então você deve aceitar determinados graus de risco para que um projeto seja bem sucedido.

Abaixo um diagrama conceitual do risco alinhado à ISO 31000.

Fonte: http://www.iso31000qsp.org/2012/01/diagrama-conceitual-de-risco-alinhado.html

Gestão de Riscos

A Gestão de Riscos tem o objetivo de gerenciar e controlar atividades em uma organização em relação a uma ameaça, seja qual for a sua manifestação. Para essa finalidade, a empresa precisa realizar um planejamento que envolva recursos humanos e materiais para minimizar os riscos ou dependendo do caso, tratá-los.

Trata-se de um trabalho preventivo, que visa antecipar-se às possíveis situações de risco mapeadas e também de responder de forma reativa e corretiva aos riscos não previstos que podem surgir.

Ainda de acordo com a ISO 31001, o processo de Gestão de Riscos é composto pelas seguintes atividades (independentemente do tipo de risco, setor  da Empresa ou atividade realizada):

Fonte: http://plataformamaisbrasil.gov.br/images/docs/eventos/2019/apresentacoes/Gestao_de_Riscos_nas_Transferencias_-_DETRU_ME.pdf

Entendemos os diversos aspectos que envolvem os riscos organizacionais, assim como também entendemos que existem diversos tipos de riscos. Porém, neste post abordaremos somente os riscos que envolvem a TI, a fim de mantermos um escopo claro e bem definido.

A ISO 27005 é a norma que estabelece as melhores práticas para o Gerenciamento de Riscos no que se refere à Segurança da Informação. Desta forma, deve ser definido o contexto, avaliar os riscos e tratá-los por meio de um plano, a fim de implementar as recomendações e decisões.

Já a ISO 31001 é o “padrão-pai”, que fornece as diretrizes gerais e os princípios para tratamento de qualquer tipo de risco de maneira sistêmica, transparente e confiável.

A Gestão de Riscos analisa os eventos potenciais e suas consequências antes de decidir “o que fazer” e “quando fazer”, de modo a reduzir os riscos a níveis aceitáveis.

Além disso, a norma inclui decisões sobre a Análise e Tratamento de Riscos, uma vez que as atividades de aceitação de risco irão garantir que os riscos residuais sejam explicitamente aceitos pela Administração da Empresa.

Este fator é particularmente importante em situações onde a implementação do Controle de Riscos é omitida ou adiada (por causa dos custos, por exemplo).

Abaixo temos um gráfico do processo de Gestão de Riscos em Segurança da Informação:

Fonte: https://www.qsp.org.br/artigo_27005.shtml

Atualmente, os riscos em Segurança da Informação são cada vez maiores por diversos fatores. Entre os principais fatores estão:

a) O aumento da velocidade das mudanças na tecnologia;
b) As fragilidades nos processos de desenvolvimento por não levarem em consideração a segurança desde a concepção do projeto;
c) Baixos investimentos das empresas em Segurança;
d) Relativização dos riscos aos quais a empresa está exposta pela Diretoria ou Administração;
e) Baixo conhecimento das equipes sobre questões relacionadas à Segurança da Informação e Privacidade de Dados;
f) Ausência de treinamentos e reciclagens constantes com os colaboradores;
g) Trabalho remoto sem os devidos cuidados com a Segurança da Informação devido a pandemia;
h) Além é claro dos riscos específicos de ataques de várias naturezas.

O propósito da Gestão de Riscos em Segurança da Informação pode ser:

• Suporte a um SGSI (Sistema de Gestão da Segurança da Informação);
• Conformidade legal e evidência da devida diligência (due diligence);
• Preparação de um Plano de Continuidade de Negócios;
• Preparação de um Plano de Resposta a Incidentes;
• Descrição dos requisitos de Segurança da Informação para um produto, serviço, processo ou mecanismo.

Para realizar uma correta Gestão de Riscos em Segurança da Informação é necessário realizar uma profunda Análise de Vulnerabilidades, conforme já apresentamos neste post. Após a identificação das vulnerabilidades e possibilidades é que é realizada uma correta análise de riscos em segurança da informação.

A organização deve, portanto, definir o escopo e os limites da Gestão de Riscos de Segurança da Informação. O escopo do processo precisa ser bem definido para assegurar que todos os ativos relevantes sejam considerados na avaliação de riscos.

Além disso, os limites precisam ser identificados para permitir o reconhecimento de riscos que possam transpor esses limites.

Convém que as informações sobre a organização sejam reunidas para que seja possível determinar: 1) o ambiente em que ela opera e 2) a relevância deste ambiente para o processo de gestão de riscos de segurança da informação.

Ao definir o escopo e os limites, é importante que a organização considere as seguintes informações:

• Os objetivos estratégicos, políticas e estratégias da organização;
• Processos de negócio;
• As funções e estrutura da organização;
• Requisitos legais, regulatórios e contratuais aplicáveis à organização;
• A política de segurança da informação da organização;
• A abordagem da organização à gestão de riscos;
• Ativos de informação;
• Localidades em que a organização se encontra e suas características geográficas;
• Restrições que afetam a organização;
• Expectativas das partes interessadas;
• Ambiente sociocultural;
• Interfaces (ou seja, a troca de informação com o ambiente).

Compliance

Por último e não menos importante vem o Compliance, que vem do inglês “To comply”  e significa “estar em conformidade”. Compliance refere-se à conduta da Empresa e sua adequação às normas de regulamentação, sejam elas externas ou externas.

Tanto a Empresa como todas as pessoas, parceiros e fornecedores precisam atender exigências de órgãos reguladores, além de garantir o cumprimento das normativas internas para estar em compliance em todas as áreas.

O compliance atua também nas questões relacionadas à ética, sustentabilidade, governança corporativa e diversas outras áreas e seus possíveis riscos, sempre com o objetivo de prevenir riscos que possam trazer conflitos judiciais ao negócio.

As principais funções do compliance são:

• Analisar riscos operacionais;
• Conhecer e interpretar leis que se relacionem à empresa;
• Elaborar manuais de conduta;
• Gerenciar os controles internos;
• Fazer auditorias periodicamente;
• Desenvolver projetos de melhoria contínua;
• Disseminar o compliance por toda a cultura organizacional;
• Monitorar a segurança da informação.

O que Governança, Risco e Compliance tem a ver com Segurança da Informação?

Governança, Risco e Compliance se relacionam com a Segurança da Informação em todas as áreas e em diversos níveis, conforme representado na imagem abaixo. A Segurança da Informação é um dos elos de ligação entre eles e, dependendo do nível de maturidade, conhecimento e investimento em segurança da informação, este elo será mais forte ou mais fraco em cada negócio.

A Segurança da Informação apoia os três pilares do GRC através de controles administrativos, físicos e tecnológicos. Além disso, envolve também pessoas, processos e tecnologias para realização da Gestão de Governança, Risco e Compliance de acordo com as melhores práticas apresentadas por COBIT, ITIL, NIST, CIS Controls, ISO’s entre outros frameworks e melhores práticas que apoiam a gestão de GRC.

Resumindo

Pequenas e Médias Empresas devem utilizar os conceitos e aprendizados trazidos pelas melhores práticas de GRC para gerenciar os seus negócios. Tendo em vista o aumento da complexidade dos controles e das demandas, tanto de mercado quanto regulatórias, passou a ser exigido que as Empresas estruturem-se com um nível cada vez maior de profissionalização e cuidado com as informações e relações que possui.

A adequação da Empresa às melhores práticas de GRC pode trazer vantagens significativas para as Pequenas e Médias Empresas, como:

• Padronização de processos;
• Maior segurança e eficiência nos processos;
• Diminuição da ocorrência de fraudes;
• Transparência para as operações;
• Melhor percepção de valor;
• Identificação e tratamento de riscos;
• Garantia da continuidade do negócio.

Conte conosco

Na falta de conhecimento interno adequado sobre o tema, é extremamente importante que as Pequenas e Médias Empresas busquem apoio profissional para tratar destes temas. Desta forma é possível realizar adequação do negócio às melhores práticas mas sem perder o foco do core business do negócio. A Rastek Soluções em TI conta com equipe especializada em Governança de TI, Riscos e Segurança da Informação e está preparada para atender a todas as necessidades da sua Empresa. Preencha o formulário abaixo e inicie sua jornada conosco!

Leia também

Governança de TI para Pequenas e Médias Empresas – O que é?