Home > Gestão

Compliance: quatro erros comuns que devem ser evitados

No ímpeto de cumprir todos os requisitos no prazo estabelecido, muitas organizações tomam decisões precipitadas e, por isso, cometem falhas que podem comprometer seriamente as políticas corporativas

Da Redação, com CSO/EUA

06/09/2016 às 12h45

Captura de Tela 2016-09-06 as 1.23.23 PM.png
Foto:

As pressões sofridas pelas organizações em relação às questões de
compliance (cumprimento de normas legais e às regras estabelecidas para
cada segmento de mercado) têm historicamente servido como pano de fundo
para elevar os orçamentos voltados à segurança da informação. Contudo,
elas também representam a fonte de muitos dos riscos a que as empresas
estão impostas.

No ímpeto de cumprir todos os requisitos no prazo estabelecido,
entretanto, muitas organizações tomam decisões precipitadas e, por isso,
cometem falhas que podem comprometer seriamente as políticas
corporativas de proteção dos dados. 

Então, é aconselhável que os CIOs
estejam atentos aos erros mais comuns na hora de investir em compliance e
criem mecanismos para evitá-los.

Erro 1 - Arruinar a autenticação por meio de múltiplos fatores
Para
estar de acordo com as normas do segmento no qual atuam, muitas
organizações trocam suas políticas de acesso e gerenciamento de
identidade do modelo senha e login para um padrão de múltiplos
dispositivos – os quais incluem tokens, biometria, tabela de números,
entre outros.

Essas iniciativas têm muito sucesso quando implementadas de forma
segmentada e com prazos para testes. Porém, na corrida para alcançar as
datas determinadas e estar em conformidade com as normas, muitos
gestores pulam etapas de desenvolvimento e, em vez de corrigir falhas,
acabam abrindo exceções para colaboradores quando esquecem de levar o
token à empresa, por exemplo.

O problema é que quando existe uma exceção a regra não é mais
respeitada como antes e os funcionários, nesse caso, deixam de levar
seus dispositivos para o trabalho e passam a acessar o sistema pelo
“modo excepcional”. Assim, mesmo depois de ter investido milhões no
projeto, a organização passar a desrespeitar as regras após a avaliação
pelos órgãos reguladores. E, consequentemente, os ambientes ficam mais
vulneráveis a ataques, desvios de dados e outros incidentes.

Erro 2 - Falhas na identificação das próprias necessidades
Organizações
pressionadas por prazos de compliance tornam-se tão ávidas pelo
cumprimento dos requisitos que buscam fornecedores de tecnologia sem
entender realmente quais são suas necessidades. O gestor de riscos e
diretor da consultoria norte-americana de segurança Brookhaver Advisory
Services, Jonathan Tranfield, afirma que cansou de ver empresas nessas
situações.

“Já presenciei os CSOs de grandes companhias adquirindo ferramentas e
passando ao fornecedor a responsabilidade de adequar-se às regras”, diz
ele, que conclui: “No entanto, essa é uma tarefa do gestor interno de
tecnologia e segurança, o qual deve chegar ao parceiro já sabendo do que
precisa.”

compliance625

Erro 3 - Extremismo irresponsável
A apreensão de não
atingir o nível de segurança e estar em conformidade com os regimentos e
leis do setor no qual atual levam muitos gestores de tecnologia e
segurança a tomar decisões radicais demais, sem avaliar o impacto dessas
iniciativas no dia a dia dos usuários.

Um bom exemplo é quando, na tentativa de evitar desvio de dados por
meio de dispositivos USB, as companhias bloqueiam todas as portas do
padrão nas máquinas dos funcionários. “Além de não funcionar, porque o
colaborador de má intenção pode simplesmente imprimir os dados que
quiser roubar, essas práticas atrapalham a rotina de pessoas que
realmente precisam dessa tecnologia para alcançar alta performance”,
afirma diretor de Segurança da Informação da HedgeServ , Jeffrey Barto.

Erro 4 - Avaliação ineficaz de dados
De nada adianta
capturar todos os e-mails e dados transacionados pelos funcionários para
descobrir onde podem estar os riscos. Segundo Bato, sem um sistema de
inteligência é impossível alcançar o cumprimento das regras.

A dica do executivo nessas situações é a de que os CSOs devem ter
muito bem articulados e mapeados os dados da organização. Assim, quando
chegar o momento de pensar em compliance, o único desafio será o de
reforçar as políticas de segurança, de acordo com os requisitos legais e
regulatórios.