Home > Infraestrutura na prática

Compliance: medidas necessárias

Confira algumas medidas importantes para manter sua infraestrutura em conformidade

Leonardo Henrique Kappes

20/03/2019 às 17h45

Foto: Shutterstock

A palavra compliance pode ser traduzida como conformidade e é uma das bases da governança corporativa, item essencial que toda empresa deveria ter. Faz parte de várias áreas, inclusive da tecnologia da informação e, na infraestrutura quando devidamente adotado eleva o grau de maturidade do ambiente de TI.

Devidamente alinhado com a estratégia da empresa, tem como foco criar um conjunto de boas práticas que podem ser usadas para aprimorar os resultados atingidos. Ao estabelecer regras e padrões, o compliance começa a fazer sentido e pode ser tornar um aliado na continuidade do negócio. A ausência de práticas de compliance podem fazer com que a organização esteja sujeita a riscos, inclusive atreladas a multas elevadas.

O papel do executivo de TI é fundamental para o entendimento e ajuste de itens que norteiam o compliance, como normas de utilização do ambiente tecnológico e políticas de segurança da informação, os quais são pré-requisitos formais que dão embasamento para criação de algo aplicável. O objetivo alcançado no final pode ser maturidade do ambiente de tecnologia, confiabilidade, integridade, aumento nos lucros, mais vendas, mais clientes, dentre várias coisas.

Continuidade do negócio com backup e restore

A continuidade do negócio pode ser diretamente afetada quando a empresa não possui capacidade rápida de restaurar dados e informações. Um bom plano de continuidade do negócio prevê rotinas de backup claramente descritas, além disso, gestores estão habituados em buscar soluções de backup para garantir a recuperação após incidentes, mas fazer backup não é suficiente. Verificar e atestar o backup e a restauração dele pode garantir o funcionamento correto para a recuperação em caso de uma falha, invasão, incidente ou desastre; do contrário, pode causar perdas irreversíveis. Está associado diretamente aos dados e informações, muitas delas de caráter vantajoso e competitivo para o mercado e de vital importância para o bom funcionamento do negócio.

Planejamento de capacidade

Uma análise de capacidade e performance que respondam perguntas simples, como: quanto de recursos disponíveis temos? ou, no próximo ano precisaremos contratar novos recursos? Refere-se aqui em recursos computacionais, fundamental para garantir o andamento das operações, ou seja, uma visão para suportar o crescimento organizacional de forma escalável e suportar a incorporação de novos negócios. É um item que dá ao gestor condições de atuar de maneira precisa nos problemas perceptíveis por usuários e agir baseado em situações monitoradas.

Devido a ampliação contínua de banco de dados, relacionamentos entre sistemas, sincronização entre ambientes, processamento e espaço de armazenamento; analisar mensalmente os recursos de processamento, memória, espaço em disco e banco de dados da estrutura tecnológica é uma prática que permitirá a empresa tenha uma visão a longo prazo de sua capacidade, inclusive pode nortear a quantidade de recursos que poderão ser alocados em projetos em determinados períodos.

Licenciamento e conformidade

Os crimes cibernéticos possuem dimensões e criatividades tão grandes que a mineração de dados, mesmo que dados brutos, é de grande valia no mercado. Manter o licenciamento de softwares e a conformidade deles, dentro da legalidade, minimiza o risco obtenção de informações por golpistas, atitude comum em softwares ilegais.  As multas pelo não licenciamento são altíssimas, assim como há multas pelo licenciamento incorreto.

Ao criar um item de compliance com foco no licenciamento, a organização poderá ter a percepção da empregabilidade correta das licenças, ajustar aquelas de uso único ou coletivo, renovar e adquiri aquilo que realmente faz sentido ao trabalho e rotinas diárias do pessoal, e até mesmo ajudar na compreensão para saber se o tipo de software é adequado para a utilização de determinada pessoa ou setor.  Há, portanto, um risco iminente em manter softwares ilegais, a qualquer momento a organização pode ser submetida a auditoria pela empresa fabricante ou licenciadora, ou receber ação judicial, e consequentemente prejuízo financeiro.

Relatório de antivírus, anti spam, firewall e ferramentas de monitoramento

Ao adotar uma rotina de análise de antivírus e demais ferramentas de monitoramento, a organização pode ter uma visão detalhada para implementar ações para eliminá-los. Estes relatórios normalmente também contêm detalhes sobre as ameaças, incluindo a listagem de computadores que relataram incidentes com vírus ou usuários que violaram as diretivas de proteção, ou seja, as regras. Vivemos na era digital, nossa sociedade acessa a internet mais do que nunca, e por consequência não estamos imunes. Um compliance não irá garantir a inviolabilidade do ambiente, mas com ele poderá ser adotada ações para minimizar impactos e reduzir os riscos.

No topo da lista, acesso administrativo, manutenção de contas, e-mails e grupos

Este é o mais importante item de compliance, É imprescindível que o executivo de TI alinhe com o time técnico atividades para garantir o registro mínimo de uma documentação de controle, pois este item envolve alto risco, levando a transações não autorizadas. Em grandes empresas não é difícil de encontrar exemplos onde o colaborador é desligado e a TI não é comunicada. Ora, se a TI é a provedora dos acessos, também é a área que os retira, e quando não há um procedimento de revisão periódica de contas de usuários, a revogação de tais acessos é comprimida.

Usuários administradores locais possuem permissões elevadas para alterar configurações em suas estações de trabalho. Administradores de domínio possuem acesso ainda mais elevado, com permissões totais para alterar, incluir, excluir, realizar modificações em estações de trabalho, servidores, aplicativos e serviços. Contas de usuários administradores que não são controladas, geridas e verificadas, com certeza são portas de entrada de problemas. Esta rotina pode ajudar no controle de adequação, identificar colaboradores transferidos a outro departamento, mudanças de funções, além de demissões e desligamentos.

Como fazer?

Não reinvente a roda, inicie criando uma planilha simples com itens que devem ser verificados diariamente, semanalmente ou mensalmente; inclua um responsável pela verificação e determine um local para realizar os registros destas verificações, analises, e apontamento das evidências e ações adotadas. O monitoramento de informações dentro da empresa não é violação de privacidade e sim uma medida preventiva contra ações indevidas, ilegais, que vem de encontro ao respeito às leis e determinações muitas vezes externas a um empreendimento. Estar em compliance é estar orientado e adequado as boas práticas existentes na área ade tecnologia.

 

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter Newsletter por e-mail