Software para Gestão Integrada de T.I. Armazenamento Infra-estrutura Segurança Serviços de T.I.

Transcrição

1 Software para Gestão Integrada de T.I. Armazenamento Infra-estrutura Segurança Serviços de T.I. Para mais informações participe dos seminários online sobre compliance, acesse ou ligue para Copyright 2005 Computer Associates International, Inc. (CA). Todas as marcas comerciais, nomes comerciais, marcas de serviço e logotipos aqui mencionados pertencem às suas respectivas empresas.

2 -- É ROI a CA unificando e simplificando as ferramentas que podem maximizar o seu retorno de investimentos em T.I.

3

4 O que é compliance? COMPLIANCE É A FUNÇÃO DE GERENCIAMENTO que assegura que todas as regras e os regulamentos sejam seguidos, sejam eles da indústria multissetorial (por exemplo a Lei Sarbanes-Oxley), específicos da indústria (Basiléia II, Banco Central) ou de mercado (normas da CVM). É também chamada de conformidade. As organizações têm a responsabilidade de estabelecer, monitorar e validar as políticas de compliance, os procedimentos e as atividades de controle, respondendo rapidamente com ações corretivas. Devem ainda implantar auditorias contínuas para garantir a eficiência de compliance e as emissões obrigatórias de relatórios. A compliance deve ser uma função de alta prioridade para as empresas, já que a nãoconformidade das regulamentações pode levar a severas penalidades. As soluções de gerenciamento da CA podem ajudar as empresas a automatizar esses processos, entregando de forma imediata as informações necessárias para as pessoas adequadas, monitorar vários tipos de políticas, disparar automaticamente ações corretivas e acompanhar a resolução das pendências para assegurar, de maneira contínua, a conformidade com as resoluções do governo e agências reguladoras. Esta brochura resume os conceitos-chave de compliance e mostra como maximizar o retorno do seu investimento em T.I.

5 As dez barreiras mais comuns para compliance Aqui estão as dez deficiências em T.I. mais comuns que podem impedir que a sua empresa alcance a compliance: 1. A documentação do sistema não corresponde ao processo atual. 2. As ações de compliance e a arquitetura de segurança estão duplicadas e são ineficientes. 3. Não existem ou não são seguidos procedimentos nos processos manuais. 4. Programas, tabelas e interfaces dos sistemas internos não são seguros. 5. Empregados demitidos ou consultores que deixaram a firma ainda têm acesso aos sistemas. 6. Grande número de usuários em produção com acesso às transações como superusuários. 7. A equipe de desenvolvimento pode executar transações de negócios em produção. 8. Bases de dados (ex. Oracle) que suportam as aplicações financeiras (ex. SAP, Oracle, Peoplesoft, JDE) desprotegidas. 9. Sistemas operacionais (ex. Unix) suportando aplicações financeiras ou portais desprotegidos. 10. Questões de segregação de funções não identificadas ou não resolvidas. Uma alta porcentagem dos controles de compliance reside em T.I. Por isso é importante examinar a estrutura de controle interno: Controles dos processos. Controle de acesso ao sistema. Procedimentos redundantes de controle. Procedimentos de modificação dos sistemas (gerenciamento de mudanças). Controles da integridade. Monitoramento/emissão de relatórios. Programas de resposta a incidentes. Medidas de contingência e recuperação. Por que a compliance é essencial para o DNA da sua empresa Cumprir com as regulamentações não é apenas mais um assunto legal, e sim uma função crítica da empresa. De fato, para estar realmente conforme, a sua empresa deve ter compliance arraigada em sua formação, em seu DNA. Uma empresa requer um modelo, uma base inicial e uma ampla estrutura de gerenciamento empresarial que possam ser usados como plataforma para gerar uma maior eficiência, sejam quais forem as mudanças nos requerimentos regulatórios. Da mesma forma, a compliance requer a habilidade de traduzir os assuntos empresariais e de conformidade em soluções reais suportadas por T.I. através de toda empresa. O processo, o controle de acesso, o gerenciamento de identidades, o gerenciamento da configuração e o armazenamento são os componentes principais de qualquer DNA de compliance, um DNA que pode ser usado para suportar uma série de assuntos relacionados a conformidade e controle. Compliance não é um evento único, mas uma necessidade contínua por todo o ciclo de vida das informações corporativas. O método mais efetivo é solucionar todos os seus desafios de compliance com plataforma e programa abrangentes. As empresas que são pró-ativas, consistentes e abrangentes nos seus esforços de compliance não atendem somente os requerimentos, mas ajudam a melhorar a efetividade dos seus negócios. Do contrário, companhias que tentam a compliance sem empenho pagam um preço muito alto e obtêm um benefício mínimo dos seus esforços. A CA entende que há superposição em vários assuntos de compliance e sugere que as empresas construam um conjunto básico de requerimentos de controle um modelo, uma linha-mestra de compliance apoiado em uma série de melhores práticas, incluindo COBIT, ITIL, COSO e ISO

6 Gerenciando e atenuando seus riscos com modelos de controle interno Modelos de controle interno são atividades dentro de um processo da empresa em qualquer área da empresa e em qualquer nível designadas para gerenciar ou atenuar riscos. Os controles podem existir para prevenir ou detectar, e podem ser manuais ou automáticos. Os controles de T.I. se aplicam a toda T.I. e a sua estrutura de governança. De acordo com o COSO, para um controle ser efetivo, cinco componentes-chave devem estar implementados. Os softwares de gerenciamento de T.I. da CA podem ajudar em todos os pontos marcados em azul. Ambiente de controle Controle sobre operações descentralizadas de T.I. Responsabilidade sobre aplicações e dados Segregação de funções Linha-mestra de controle (da T.I., no caso) Estrutura organizacional de T.I. Contratação de pessoal, treinamento e medição da T.I. Políticas, procedimentos e normas para T.I. Avaliação de risco Gerenciamento do portfólio de T.I. Gerenciamento da demanda de T.I. Gerenciamento do programa de T.I. Gerenciamento de mudanças de T.I. Gerenciamento do nível de serviço de T.I. Gerenciamento de risco de T.I. Existência de metodologia SDLC para desenvolvimento de sistemas Planejamento estratégico de T.I. Gerenciamento de problemas e testes na T.I. Gerenciamento dos fornecedores de T.I. Gerenciamento da terceirização de T.I. Informações e comunicação Gerenciamento do conhecimento na T.I. Gerenciamento de programas e emissão de relatórios da T.I. Comunicação entre finanças e T.I. Envolvimento e satisfação do usuário de T.I. Atividades de controle Documentação dos processos de T.I. Documentação dos sistemas e controles Segregação de funções na T.I. Controles automatizados de aplicações Uso das informações geradas pelo sistema Procedimentos para controle de mudanças Segurança dos dados e ativos relacionados a T.I. Procedimentos de backup de dados e aplicações Recuperação de desastres/ continuidade dos negócios Auditorias de contratos de software Monitoramento Localização e governança de ativos de T.I. Detecção de intrusão Auditoria interna da T.I. Monitoramento do desempenho da T.I. Glossário Componentes COSO: relatório do Committee of Sponsoring Organizations of the Treadway Commission (COSO) - Estrutura Integrada de Controle Interno. COBIT Control Objectives for Information and related Technology. Introduzido em 1996, o COBIT é um modelo de governança e práticas de controle para Tecnologia da Informação (T.I.), utilizado e aceito por muitas empresas, que reduz as lacunas entre riscos de negócio, necessidades de controle e questões técnicas, documentando as melhores práticas nessa área. ISO Um conjunto abrangente de controles internacionalmente reconhecidos, englobando melhores práticas na segurança da informação. Referência ITIL É a IT Information Library desenvolvida em 1983 por uma agência do governo do Reino Unido para avaliar as operações de T.I. dos contratantes do governo; define os processos e atividades para dar suporte aos serviços de T.I. Para obter mais informações, acesse ca.com/brasil

7 A importância da T.I. As empresas requerem informações completas e precisas para tomar decisões e gerenciar operações. Os sistemas de T.I. proporcionam essas informações. Sem informações completas e precisas, as empresas não podem ter certeza de que o risco está sendo administrado; portanto a tecnologia auxilia a sustentar os processos de gerenciamento de riscos. Imagine a sua empresa como uma casa. A T.I. representa a fundação ou a infra-estrutura sobre a qual a armação e outras estruturas de suporte serão montadas. Qualquer fragilidade na fundação pode causar vazamentos deficiências ou ainda pior: um colapso em forma de fraude ou quebra da empresa. Risco e Compliance Integrados Painel Executivo para alertas e informações Governança Corporativa Unidades de Negócio & Responsáveis pelos Processos Governança de T.I. Sistemas e Controles Questionários e Auto-Avaliações Avaliações e Controles de Risco Indicadores-Chave de Gerenciamento Gerência de Incidentes, Alertas & Planos de Ação Segurança & Acesso Monitoração de Sistemas Planejamento do Portfólio de Projetos Controle de Mudanças Gestão de Ativos Continuidade dos Negócios Relatórios sobre Basiléia II Auditoria Interna Relatórios sobre SOX Relatórios sobre Regulamentações Relatórios integrados de compliance sobre toda a organização

8 Atingindo um programa sustentável de compliance Para alcançar uma conformidade sustentável, as empresas deverão construir uma infra-estrutura de compliance de três frentes, que possibilite ações sistemáticas e confiáveis. Nós podemos ajudar a: Unir Pessoas Melhorar Processos Otimizar a Tecnologia Estabelecer ou modificar funções e atribuições que definam e designem responsabilidades relacionadas com a compliance, a emissão de relatórios financeiros e as atividades de divulgação. Estabelecer iniciativas de treinamento, incluindo os novos programas e normas. Facilitar um sistema de comunicação variado e aberto em toda a empresa. Estabelecer processos para avaliação, teste, correção, monitoramento e certificação dos controles internos. Incorporar a identificação de riscos, a avaliação de controles e as atividades de monitoramento dos procedimentos usuais de gestão dos controles de emissão de relatórios financeiros. Melhorar a emissão e o processo de divulgação de relatórios financeiros, bem como as métricas utilizadas, aumentando a qualidade e a agilidade das informações de controle interno e financeiro. Estabelecer processos de ponta para o gerenciamento da compliance. Avaliar e implementar uma tecnologia que permita o gerenciamento dos controles internos. Projetar e implementar tecnologias para melhorar os processos de emissão de relatórios financeiros e de monitoramento. Implementar um portal de gerenciamento que proporcione diversas visões, tanto das informações para documentação e monitoramento dos controles internos e financeiros como das medidas de qualidade e situação atual da compliance. Habilitar em tempo real as capacidades de monitoramento, emissão de relatórios e de análises. Impulsionar a tecnologia existente e/ou implementar novas tecnologias.

9 Gerenciamento dos benefícios da compliance Uma abordagem pró-ativa, abrangente e consistente da compliance pode ajudar a dirigir as eficiências e menores custos, possibilitando melhorar o desempenho da sua empresa de três formas distintas: Reduzindo o risco Menos crises nas relações públicas. Menos falhas de segurança, mesmo que não prioritárias, resultando em menor desperdício de recursos. Aumentando a habilidade para se focar no negócio, em vez de "apagar incêndios". Alavancando a eficiência Aumentando a compreensão e otimização dos processos de controle internos existentes. Reduzindo a necessidade de recursos de help desk (em até 50% das chamadas de suporte relacionadas ao restabelecimento de senhas). Ampliando a produtividade, já que os empregados começam a produzir muito mais rapidamente devido ao provisionamento automatizado de contas. Centralizando o gerenciamento de todas as identidades de usuários; reduzindo os custos administrativos de acesso e facilitando o desenvolvimento de aplicações. Impulsionando a eficácia Aumentando a compreensão e otimização dos processos de controle interno existentes. Agilizando o acesso às informações oportunas que melhoram a elaboração de orçamentos, planejamentos e análises. Melhorando a competitividade. Melhorando a tomada de decisões corporativas. Aumentando a agilidade para poder aproveitar novas oportunidades.

10 Por que escolher a CA para as suas necessidades de compliance? Compliance já é um fato que se tornará cada vez mais complexo com o aumento da promulgação de leis e regulamentos. Os esforços destinados à compliance estão condenados a ser buracos negros infindáveis de recursos, tempo e dinheiro. Mas existe uma solução. Uma plataforma e um programa de compliance bem projetados e executados podem trazer significativos benefícios com relação à melhora do desempenho da sua empresa. Abrace a compliance. Use-a para fazer crescer a sua empresa! As soluções CA voltadas a compliance mantêm a privacidade e a segurança das informações fazendo ainda o gerenciamento e auditoria dos sistemas e de cada alteração nas informações, dando assim o apoio necessário às atividades de compliance. Elas também ajudam com a automatização, proporcionam proteção contra ações não autorizadas e identificam atividades fora de conformidade. A amplitude e profundidade das soluções de software da CA para a automatização dos controles gerenciais exigidos pela regulamentação de compliance proporcionam simultaneamente a habilidade de satisfazer os requisitos de curto prazo como também a capacidade de usar os investimentos feitos para endereçar, através da implementação de melhores práticas, as necessidades complexas e dinâmicas, atuais ou futuras, de cada negócio. Somente a CA está focada em proporcionar uma ampla gama de software empresarial que possibilite o fluxo e o controle das informações críticas da empresa. Somente a CA pode oferecer a você as soluções que, sem vínculo com nenhuma plataforma específica, podem ser aplicadas a quaisquer equipamentos e sistemas operacionais. As soluções de compliance da CA agregam valor melhorando a qualidade dos negócios e a rentabilidade em geral, proporcionando ótimo retorno sobre o investimento. As soluções de compliance da CA permitem ao cliente atender as necessidades específicas das várias regulamentações. As soluções de compliance da CA ajudam a automatizar processos, reduzem a complexidade e adicionam valor rapidamente. Nós acreditamos que a compliance está relacionada com as pessoas, processos e tecnologia e NÃO com produtos.

11 Soluções CA = melhor retorno para o seu investimento em T.I. Gerenciamento da segurança A plataforma de compliance etrust é um conjunto de soluções integradas que permite às empresas simplificar e automatizar significantemente seus controles internos de T.I., parte fundamental de um programa bem sucedido de conformidade regulatória. Essa plataforma proporciona gerenciamento de identidade, gerenciamento de acesso, provisionamento, monitoramento e auditoria numa plataforma única, integrada e abrangente. Ela permite que clientes reforcem seus controles internos de T.I. assim como proporciona melhor segurança e privacidade de dados em todo seu ambiente. Otimização de serviços As soluções CA para a otimização de serviços (BSO) dão suporte às suas iniciativas de gerenciamento de compliance e riscos através da automação das atividades de controle do CobiT (no nível de aplicação e no nível geral de T.I. com o mais amplo suporte para processos ITIL (incidente, problema, mudança, configuração, gerenciamento de versões, gerenciamento de nível de serviços e gerenciamento financeiro). Nossas soluções de BSO podem ajudar relacionando informações em tempo real sobre sua base de ativos det.i., incluindo desktops, licenças de software e serviços, montando um mecanismo padronizado de controle para gerenciar, acompanhar e reportar qualquer mudança nos seus sistemas de T.I. e estabelecendo uma visão completa do seu portfólio de projetos, ativos e recursos em geral. Gerenciamento de sistemas As soluções CA para o gerenciamento de sistemas ajudam as organizações a desenvolver soluções baseadas em melhores práticas e custo otimizado para maximizar a disponibilidade de redes e sistemas, garantir a continuidade dos negócios e prover sistemas consolidados de reporte financeiro que agrupem informações dos vários sistemas da organização. As áreas de T.I. podem mitigar os riscos, em níveis cada vez maiores, e alinhar T.I. aos objetivos do negócio. As soluções de gerenciamento de sistemas da CA têm ótimo desempenho e manutenção ágil, assegurando a disponibilidade das informações e integridade com capacidade de auditoria. Gerência de armazenamento As soluções de gerência de armazenamento da CA permitem às empresas extrair dos seus investimentos nesta área o maior valor possível, acomodando assim os recursos adicionais demandados para atender as políticas corporativas e regulatórias. A CA fornece soluções para gerência de armazenamento e disponibilidade de dados que administram informações espalhadas nos diversos equipamentos, desde os computadores portáteis até os grandes computadores corporativos, possibilitando, de maneira escalável e com custos otimizados, proteger as informações e ser capaz de recuperá-las no caso de um desastre. As soluções de gerência inteligente de armazenamento da CA permitem às organizações simplificar, gerenciar de forma segura e proteger as informações e os ativos usados para armazenamento dos mesmos, alinhando-os, ao mesmo tempo, com os objetivos do negócio.

12