<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159528794088341&amp;ev=PageView&amp;noscript=1">

CANAL WESTCON
Toda informação da tecnologia está aqui.

Por que as empresas precisam estar em conformidade e qual seu papel em auditorias?

Regulamentações cada vez mais complicadas tornaram as auditorias mais complexas. Saiba qual é o papel da TI nesse processo e esclareça as dúvidas de seus clientes.

 

Por que as empresas precisam estar em conformidade e qual seu papel em auditorias?

 

A conformidade é um conjunto de diretrizes e especificações que as empresas precisam seguir para estarem de acordo com as legislações do governo. Ela é considerada uma grande preocupação pelas corporações, devido ao número cada vez maior de regulamentações criadas.

As normas de conformidade, minuciosamente verificadas nas auditorias, exigem que as empresas estejam mais vigilantes em relação às manutenções necessárias para cumprir todos os requisitos regulatórios.

Uma auditoria é a averiguação do cumprimento das diretrizes por parte da empresa. Ela é realizada por consultores externos que revisam as políticas de segurança, os controles de acesso de usuários e os procedimentos de gerenciamento de risco.

Durante o processo, normalmente os auditores solicitam do departamento de TI uma série de questões que envolvem o controle dos usuários que acessam os sistemas da empresa, se alguém deixou a corporação, se IDs foram revogados, quem tem acesso a sistemas críticos, entre outras.

Cumprir o crescente número de regulamentos têm exigido muito do departamento de TI, por isso, algumas organizações também optam por implementar processos de auditoria interna para testar procedimentos de conformidade e identificar potenciais violações para tomar medidas corretivas antes de os reguladores realizarem as auditorias oficiais.

O que é examinado precisamente em uma auditoria pode variar de acordo com as especificações da empresa, se ela é uma organização pública ou privada, com qual tipo de informação lida, se transmite e armazena dados confidenciais, entre outras características.

Confira algumas perguntas importantes para entender melhor o processo de auditoria e ajudar a empresa de seus clientes a terem resultados positivos quando forem avaliadas:

As auditorias podem ser diferentes?

Sim, nem todas elas são iguais. Por exemplo, uma auditoria de conformidade de software será diferente de uma do setor financeiro. Ainda que ambas envolvam revisões de sistemas de controle interno por parte independentes, os temas são diferentes.

Enquanto a financeira concentra-se em controles de relatórios contábeis e para determinar se as demonstrações financeiras são precisas, a de conformidade examina os sistemas internos de uma organização e os controles de TI de forma mais ampla para testar se os requisitos regulamentares estão sendo cumpridos.

Quais são os regulamentos exigidos?

Há diversas leis e regulamentações relacionadas a auditorias, por exemplo a Lei Sarbanes-Oxley (SOX) de 2002, que estabelece regras para armazenar e manter registros comerciais em sistemas de TI. Algumas são específicas por setores, como a lei de Portabilidade e Responsabilidade do Seguro Saúde (HIPAA) ou a Gramm-Leach-Bliley (GLBA) relacionada a Modernização Financeira.

Quem executa as auditorias?

Os auditores normalmente são do governo ou contratados externos. Existem certificações independentes que monitoram se as empresas estão evitando violações ao padrão exigido.

Alguns regulamentos, no entanto, exigem auditorias internas e externas. De acordo com a Lei Sarbanes-Oxley, por exemplo, os auditores de dentro da empresa devem assegurar que os sistemas de controle interno sejam eficazes.

Como funcionam as auditorias internas?

Elas são conduzidas como uma preparação para as externas. Os auditores internos devem certificar-se de que as políticas e práticas estão sempre atualizadas, aplicadas e documentadas de forma correta para que possam ser acessadas e recuperadas facilmente.

Os gerentes de TI podem se preparar para as auditorias implementando ferramentas de gerenciamento de informações para facilitar o rastreamento e documentação dos dados no sistema e demonstrar que elas estão em conformidade.

Quais são as penalidades para o não cumprimento das normas?

Não cumprir as obrigações regulamentares pode resultar em multas altas para a corporação e dependendo a gravidade, pode acarretar em prisões.

A conformidade é uma preocupação constante para as empresas devido a gravidade das penalidades quando ela não é seguida. Para evitar que falhas aconteçam, diversas organizações estão se voltando mais frequentemente para consultorias especializadas em conformidade e consultoria de conformidade de TI. Algumas ainda têm investido em contratar colaboradores na área de conformidade, como diretores de conformidade (CCO).

As principais responsabilidades do CCO seriam garantir que a empresa seja capaz de gerenciar o risco de conformidade e passar pelas auditorias. Existem também alguns programas de treinamento de conformidade que ajudam os membros da equipe de TI e usuários do negócio a protegerem a organização como um todo, assim, todos podem ajudar a empresa a evitar falhas na conformidade.

 

Conheça a ForeScout

Posts relacionados

6 características que um bom gestor de segurança da informação deve ter

Como visão estratégica, liderança e outras características podem contribuir para o sucesso do trabalho de um gestor?

3 tendências de segurança da informação para o futuro

Cloud Computing, Internet das Coisas e Machine Learning podem revolucionar a segurança da informação.

4 dicas para uma gestão de riscos eficiente

Saiba como gerenciar os riscos de forma mais eficiente, garantindo o sucesso do seu negócio.

Escreva seu comentário