Artigo MVP de Segurança do Mês - Julho de 2005
Respondendo à Flexibilidade Reguladora: Microsoft e Manakoa Technology Foundations
Publicado em 13 de Julho de 2005
Por Mark Walla, Vice-Presidente Sênior - Manakoa Services Corp/Microsoft Security MVP, e Robert Williams, CEO - Manakoa Services Corp/Microsoft Security MVP
Veja outro Artigo MVP de Segurança das Colunas Mensais (em inglês).
A flexibilidade reguladora é coberta por uma incógnita, pois as regulamentações geralmente são extremamente complexas. A Seção 404 do Ato de Sarbanes-Oxley (SOX), por exemplo, requer que os chefes e membros executivos demonstrem a existência de controles de governança. O significado específico deste requisito varia de acordo com a companhia e geralmente requer interpretação substanciosa de pessoas ligadas aos negócios e à área jurídica.
Com altas multas e possibilidade de prisão sobre os líderes executivos, a flexibilidade reguladora é a maior prioridade corporativa. Em várias organizações, o departamento de TI tem sido desafiado com a responsabilidade de emitir alguns consentimentos sem recursos adicionais ou sequer uma definição de escopo de tarefas básicas. Os profissionais de IT têm uma oportunidade sem precedente de assumir papéis de liderança diante de uma responsabilidade muito grande. O TI tem também a oportunidade de comprometer agressivamente, aumentando o orçamento operacional, ao mesmo tempo em que demonstra retorno nos investimentos… ah, e claro, mantém o chefe fora da prisão.
Nesta primeira parte, tentamos identificar os conceitos subjacentes que rondam a flexibilidade reguladora, fornecendo um ponto de partida para os profissionais de TI se focarem no processo de análise dessa flexibilidade. Além disso, divulgaremos artigos em nosso site (www.manakoa.com, em inglês) e através da Microsoft nos tópicos de redução de problemas, aplicação de controles, auditoria e outros relatórios diversos.
Desmistificando o Desafio de Flexibilidade de TI
Você deve, antes de tudo, entender a origem das regulamentações e como elas afetam toda a empresa, não só o departamento de TI. Muito poucos profissionais de TI têm a experiência ou a conta legal para interpretar ou reforçar as leis de maneira adequada. Os mecanismos de pesquisa, como o Manakoa Knowledge Base™, pode ajudar a detalhar as regulamentações e mapear os modelos de política para referenciar as melhores práticas e as próprias regulamentações. Fortalecer-se com informações é uma fase difícil, porém importante, na flexibilidade reguladora. Você intensifica bastante a sua habilidade de encaminhar e evitar problemas potenciais, adquirindo esse tempo de pesquisa.
Análise de Riscos em TI e Estratégia de Mitigação
Estabelecer uma análise de risco em TI e uma estratégia de redução é o ponto principal da maioria das governanças e regulamentações. Durante a primeira fase das atividades do SOX, a maior parte das organizações solicitou comunidades de auditores e consultores externos para executar grandes análises manuais. A abordagem comum geralmente envolve informações básicas juntas que têm um objetivo geral de níveis de flexibilidade, usando processos genéricos e instantâneos, elaborados por pessoas que não estavam diariamente conectadas a uma base com verdadeiros trabalhos da corporação. Tais abordagens empurram os recursos corporativos de volta às atividades que fornecem respostas sensatas temporariamente para o gerenciamento sênior, mas que geralmente não têm base, e certamente não se repetem.
Como profissionais de TI, é hora de aproveitar o dia, mapeando a tecnologia, as pessoas, os processos e as políticas. Traga os seus conceitos e mostre como você pode usar, de forma considerável, as práticas de TI para identificar níveis padrões de flexibilidade, indo em frente positivamente.
Em um mundo perfeito o gerenciamento de alto nível e os tomadores de decisão usariam estratégias no governo corporativo para aprimorar seus processos comerciais e tomar melhores decisões. Por exemplo, se uma corporação analisasse primeiro os seus recursos e depois baseasse todas as suas despesas em proteção e aprimoramento desses recursos, aumentaria bastante o seu valor.
Um planejamento para Enterprise Risk Management (ERM) e flexibilidade com a governança corporativa precisa começar de algum ponto. Correr ou esconder-se não é a melhor opção. Em algumas reuniões, a flexibilidade reguladora supera as perdas e os ganhos como principal item da pauta. Levante-se e assuma a liderança, aplicando os princípios do gerenciamento empresarial e práticas de segurança.
Ponto Inicial: Aplicando a Tecnologia ao Processo de Flexibilidade
Vamos agora dar uma olhada nesses fundamentos de gerenciamento e em como você pode resolver grandes partes de análise e implementação da flexibilidade através da utilização dos princípios e produtos da iniciativa de Computação Confiável da Microsoft. Particularmente, veremos o Microsoft Windows Server 2003, o Active Directory, o Microsoft SQL Server, o Microsoft Operations Manager (MOM), o Microsoft Systems Management Server (SMS), e o conjunto do Manakoa.
Todos os planejamentos de gerenciamento de riscos começam com o gerenciamento de recursos. A maioria dos recursos corporativos, variando de uma lista de contatos do cliente até informações financeiras, fica geralmente armazenada ou é acessada a partir de um dispositivo gerenciado. Se pudéssemos expandir e monitorar a segurança básica de TI, poderíamos encontrar muitos dos requisitos de governança corporativa. A responsabilidade pela confidencialidade, disponibilidade e integridade dos recursos contidos em sistemas de TI deve ser o foco primordial. Entre algumas áreas líderes para as principais regulamentações estão:
| • | Controles de Acesso e Autenticação |
| • | Segurança de rede |
| • | Segurança no equipamento do usuário |
| • | Segurança física |
| • | Continuidade dos negócios |
| • | Resposta e detecção a invasões |
| • | Segurança da aplicação |
A maior parte dessas áreas de segurança é altamente técnica. Os tomadores de decisão, que não devem ser técnicos, precisam de processos claramente automatizados para identificar os níveis de flexibilidade e planejar os recursos adequados. Uma vez que o gerenciamento tiver sido claramente direcionado para onde os problemas ocorrem, as análises de custo-benefício podem ser realizadas e as decisões podem ser tomadas para proteger os recursos corporativos.
A fim de elaborar um processo automatizado para gerenciar esses recursos, a propriedade deve ser designada para recursos armazenados nos dispositivos de TI. Acreditamos que o Active Directory, um componente do Microsoft Windows 2000 Server e do Windows Server 2003, já oferece um local excelente para iniciar a identificação de recursos corporativos a partir de uma perspectiva de TI. Ambos os sistemas operacionais fornecem implementações LDAP (Lightweight Directory Access Protocol) e controle de acesso sobre o desktop, que é o método mais comum de acesso a esses recursos.
A propriedade atribuída ao TI será exigida para realizar análises detalhadas dos processos e procedimentos em andamento. Esta análise envolve todas as áreas técnicas, gerenciais e operacionais de flexibilidade, tratando-se de cada recurso em particular. Uma vez que esses proprietários concluam suas análises, os relatórios podem ser gerados. Esses relatórios irão fornecer informações às pessoas em gerenciamento de alto nível e permiti-las demonstrar diligência às agências envolvidas com a flexibilidade da corporação em uma regulamentação particular.
Um objetivo principal de TI é fornecer o gerenciamento com a habilidade de demonstrar seu status atual de flexibilidade e também de produzir um rastreamento de auditoria do status anterior. O gerenciamento será capaz de demonstrar que os recursos, com fragilidade apresentada anteriormente, foram fortalecidos com recursos corporativos alocados. Isso mostra a habilidade do gerenciamento de reagir ao seu ambiente de transformação. Fundamentalmente, o gerenciamento estaria usando áreas de risco para controlar as despesas - o primeiro passo para a verdadeira ERM.
O software da Manakoa Compliance Services fornece um processo controlado de atribuir propriedade a recursos descobertos no Active Directory. Uma vez que os proprietários tenham sido atribuídos por uma equipe de flexibilidade da corporação, as análises são feitas pelos funcionários que têm melhor entendimento do assunto. Os dados significativos são coletados e reportados usando o SQL Server 2000 Reporting Services em um formato que pode ser usado tanto pela flexibilidade interna quanto pelo gerenciamento, assim como os auditores externos. A equipe interna de TI pode usar esses relatórios para se justificar sobre os gastos. Os executivos podem então demonstrar sua flexibilidade corporativa.
Os recursos podem então ser alocados para reduzir a fragilidade identificada da flexibilidade. Essa análise repetida pode ser feita sempre que necessário, permitindo que uma organização reaja ao seu ambiente de transformação enquanto mantém a consciência de seu nível de flexibilidade.
Conclusão
A flexibilidade reguladora é uma oportunidade de ouro para os profissionais de TI contribuírem bastante com a corporação. Comece com uma educação fundamental sobre os principais requisitos das regulamentações que afetam a sua organização e as melhores práticas a serem aplicadas. Obtenha uma visão abrangente que combine a tecnologia aos processos, políticas e pessoas. Utilize tecnologias de IT, como o Active Directory, que já estão prontas, e use outros produtos novos que permitam resultados sólidos, repetíveis e qualificados.