Regulação, Fiscalização, Transparência e Controles são assunto do momento!

O vazamento de óleo no campo Frade na Bacia de Campos reacendeu o debate sobre o mundo da regulação e controles, o mesmo tinha acontecido anos atrás com o acidente semelhante, mas de dimensões bem maiores no Golfo do México.

Durante a crise do subprime em 2008, os lideres mundiais se reuniram no G20 e decretaram que a regulação deveria ser mais rigorosa, e que deveriam aumentar os controles sobre as operações financeiras.

A globalização encurtou a distância da comunicação, das relações, dos negócios e das transações financeiras. A partir da década de 90, países com cultura, religião, ética e leis diferentes convivem como se fossem vizinhos no mesmo bairro. A economia ganhou velocidade e surgiram leis, regulamentações e melhores práticas com impacto mundial como a Basiléia II e III, a lei Sarbanes Oxley e o PCI/DSS, todas apontando para a melhoria da governança, para controles mais eficientes e para melhor gestão de riscos.

Outro fator que também tem demandado regulação são os fenômenos climáticos e os grandes acidentes, como os vazamentos de petróleo e os desastres aéreos.

Estamos em uma situação de múltipla exigência de controles: crise econômica, catástrofes de abrangência mundial, mudanças climáticas, pressão pela transparência e maior exigência da sociedade. Tudo isso tem dado muito trabalho às agências reguladoras e aos departamentos de auditoria e controles internos.

Tenho falado em palestras que o segredo é aumentar a capacidade de fiscalização, e que isso é feito com capacitação, método e software. Se por um lado o volume de informações é grande, heterogêneo e muda constantemente, por outro lado, os equipamentos portáteis e as ferramentas de comunicação permitem coletas automatizadas, self assessment e instrumentação das equipes de campo.

Seguem alguns métodos e técnicas para aumentar a capacidade de controle:

• Instrumentar o pessoal de campo: equipes de auditoria, controles, vistoria, fiscalização, pesquisa, ou qualquer outra que vá a campo precisa contar com ferramentas que aumentem sua eficácia. Os smartphones são ótimos para isso: coletam e transmitem a informação e permitem a consolidação com maior velocidade e consistência. Certa vez me perguntaram se o smartphone não deixava o projeto caro e eu disse que caro é a prancheta;
• Todos podem colaborar: muita gente está no local onde o fato acontece, e mais, estas pessoas têm celular, computadores, tablet e usam redes sociais, elas podem mandar desde um simples SMS até um relatório detalhado com vídeos. Cada vez mais os jornais são feitos com informações e imagens que recebem de seus leitores. Os funcionários, clientes, fornecedores e as comunidades são ótimos colaboradores, usá-los com um bom método é um grande auxiliar para a estrutura de controles;
• Imprensa e redes sociais monitoradas: boa parte das informações necessárias para o monitoramento estão na imprensa, nos blogs e nas redes sociais, o twitter em especial é uma ótima forma de medir a repercussão de ocorrências e fatos, por sua vez, o facebook nos fornece informações preciosas sobre pessoas, fatos e relações.
• Olho nos bancos de dados: boa parte das operações da organização são registradas de forma estruturada em bancos de dados. O sistema de controles deve ter a capacidade de fazer pesquisas em bancos de dados e emitir alertas de acordo com a situação; 
• Sistemas e equipamentos falam: toda organização possui sistemas e equipamentos que processam ocorrências que podem ser monitoradas. Uma maneira eficaz de controle é criar regras de negocio com parâmetros de alertas, por exemplo "o sistema financeiro alerta caso haja pagamento acima de um valor", "o sensor de presença do CFTv avisa em caso de acesso entre 22h e 6h", "o sistema de gestao de projetos informa sobre projetos atrasados e que estouraram o orçamento". A estrutura de controle pode fornecer APIs - applicationprogramming interfaces, a partir das quais as equipes de desenvolvimento encaminham os alertas de controle;
• Self-assessment: quando o self assessment surgiu, as ferramentas de coleta de informação eram os formulários e os correios; houve um salto de produtividade com as planilhas, mas mesmo assim o processo era demorado, propenso a erros e gerava relatórios pobres. Hoje o processo de self assessment é automatizado com alertas por email,SMS e redes sociais e formulários respondidos digitalmente que geram relatórios e possuem recursos de apoio e acompanhamento das decisões;

Os métodos citados são diferentes, exigem recursos gerados por pessoas diferentes, e de forma diferente, e este é o desafio contemporâneo das estruturas de controle.

A tecnologia permite a junção destes dados e a geração de informações homogêneas para decisão e prestação de contas. Uma providência que tem mostrado eficácia é a criação de uma sala de gestão e monitoramento, que passa a ser a referência da coleta de informações, dos painéis de controle, do apoio à decisão e do tratamento dos riscos e ocorrências. O conceito de sala é eficaz, mas de acordo com os recursos e a necessidade o conceito de sala pode virar um caminhão, uma baia, uma mesa ou até um celular.

O que acabamos de falar é um grande modelo de monitoramento contínuo, temos pesquisado e praticado estes conceitos e estamos à disposição para trocar experiências.

Nesta quinta feira vamos falar sobre Automatização de Fiscalização e Controles em um evento em Brasília e na segunda feira dia 28 às 10h30 vamos fazer um webinar sobre Governança da TI e Monitoramento Contínuo, inscreva-se!

Aquele abraço,

Fnery

fnery@modulo.com.br

Monitoramento Contínuo para Gestão e Governança de TI

Nos encontros sobre monitoramento contínuo, tenho concluído que a demanda sempre existiu, mas era reprimida pela falta de método e software.


Mesmo com o título do post falando de TI, ele vale para qualquer executivo C-level que deseje conhecer mais sobre o assunto.


É comum escutar executivos que desejam "monitorar tudo, o tempo todo", não é a forma correta de começar, mas é um caminho. Usamos como símbolo uma espiral de Fibonacci e adotamos o lema: "pense no todo, comece pequeno, cresça rapidamente", veja o post de setembro "monitorar o que?".


O CIO é um executivo que tem um grande número de assuntos heterogêneos para administrar, atua em um segmento com pouca base teórica de gestão pois é uma profissão nova e em frequente mudança, e carece de ferramenta para sua própria gestão.


Vamos adotar como referência a versão do Cobit 5 que o ISACA disponibilizou em Exposure Draft e usou o título de "The Framework"; realmente ele promete. Esta versão está finalmente alinhada com a governança corporativa e separa a governança da gestão. Note na imagem a seguir que tanto na gestão quanto na governança existem fases de monitoramento.

Monitoramento contínuo é essencialmente uma ferramenta para a gestão, mas permite que a governança tenha indicadores à mão, por isso pode ser aplicado tanto em gestão como na governança. Temos que virar o jogo, hoje a principal ferramenta de monitoramento para a governança é o telefone: quando os indicadores chegam ao nível crítico, alguém liga para o chefe. A maior parte das informações estão na cabeça das pessoas, em bancos de dados e sistemas que não se falam, e em planilhas.


Vamos dividir os temas conforme o modelo proposto pelo Cobit 5. Note mais uma vez que monitoramento é palavra de destaque: ele faz a ligação entre a gestão e a governança.

Veja o monitoramento contínuo através dos domínios do Cobit 5:

• Plan: O monitoramento da fase de planejamento é a base para as próximas fases, ela considera as demandas e expectativas dos usuários, os padrões de TI, o legado da infra-estrutura, as tendências tecnológicas, os fornecedores e a inovação, tudo isso deve gerar a visão de futuro. Você não precisa esperar o planejamento ficar pronto para adotar o monitoramento contínuo, ele já lhe ajuda nesta fase; 
• Build: Aqui é a primeira parte da execução, onde há a construção, a definição de requisitos, a implementação dos projetos, as aquisições e a gestão de mudanças. O monitoramento contínuo permitirá o controle de cada atividade, a coerência com os objetivos e o planejamento, e a preparação para a fase de operação;
• Run: Esta é a fase de operação, quando o ambiente está em produção. Durante esta fase são monitorados os indicadores da operação, os ativos, a segurança, os níveis de serviço, e os problemas e incidentes. Adotar o monitoramento contínuo nesta fase vai lhe fornecer um painel de controle da operação e dos serviços prestados pela área de TI;
• Monitor: Esta é a fase que une a gestão à governança e é a essência do monitoramento contínuo, a partir dela as fases anteriores são monitoradas e avaliadas conforme os objetivos de negócio e as exigências externas (clientes, legislação e agências reguladoras). A partir destes controles a governança organiza e realiza a evolução contínua das demandas de TI.

Para implementar este modelo nossa proposta é a adoção das fases do Módulo GRC Metaframework:

• Inventariar: Manter o inventário dos usuários e objetivos de negócio, e dos projetos, operações, sistemas e serviços de TI;
• Analisar: Coletar e analisar os indicadores de cada elemento inventariado, considerando os modelos preventivo (controles, vistorias, melhores práticas, ...) e corretivo (ocorrências, incidentes, problemas, ...); 
• Avaliar: As informações coletadas na fase anterior devem ser integradas e analisadas de diversas formas (painel de controle, relatórios, mapas, top 10, ...). Esta é a fase da decisão, e vai considerar a análise de muitas variáveis heterogêneas. As decisões aqui tomadas serão tratadas e acompanhadas na próxima fase;
• Tratar: Esta é a fase do workflow de acompanhamento das decisões. Durante o processo de gestão e governança de TI são tomadas decisões de planejamento, projeto, operação e de ocorrências, estas decisões precisam ser acompanhadas em sua implementação. Também na fase de tratamento é realizada a prestação de contas;
• Veja na imagem a seguir que estas fases formam um ciclo, quanto mais giros forem dados, maior será o aprendizado e a melhoria contínua. Por exemplo, você não precisa inventariar tudo para começar a análise, basta inventariar um ativo, projeto, operação, sistema ou serviço por exemplo que o ciclo começa a girar.

Para convencer você a ler o documento do Cobit 5 (ele vai virar o livro de cabeceira do CIO), note na imagem a seguir que o modelo de implementação é mais um modelo cíclico. Veja como as tendências se encontram:

Já temos nossos mantras:

• Usar modelos cíclicos;
• Pensar no todo, começar pequeno, crescer rapidamente;
• Adotar como base teórica o modelo de GRC-Governança, Riscos e Compliance.

O assunto é amplo e será objeto de novos posts, estou à disposição.

Aquele abraço,

FNery

fnery@modulo.com.br

Atualizações sobre Monitoramento Contínuo

Amigos,


Outubro foi um mês de muito trabalho e realizações que reduziram a frequência do blog. Estou aguardando  autorização para compartilhar com vocês uma experiência bastante rica em monitoramento contínuo em um ambiente heterogêneo e dinâmico.


Vamos recomeçar com informações importantes para os interessados pelo monitoramento contínuo: o grupo que está organizando o assunto no NIST divulgou a lista dos normativos (alguns já comentamos) que formam a estrutura do tema. Alguns estão finalizados e outros em draft ou pre-draft (ainda não disponibilizados, mas estamos acompanhando do Brasil a preparação e discussão do 7799 e 7800 e vem coisa interessante por aí):

• NIST SP 800-137 – Final - Information Security Continuous Monitoring forFederal Information Systems and Organizations
• NIST IR 7756 – Draft - CAESARS Framework Extension: An EnterpriseContinuous Monitoring Technical Reference Architecture
• NIST IR 7799 – Pre-Draft (not yet released) - Continuous Monitoring Reference Model Workflow, Subsystem, and Interface Specifications
• NIST IR 7800 – Pre-Draft (not yet released) - Applying the Continuous Monitoring Technical Reference Model to the Asset, Configuration, and Vulnerability Management Domains
• NIST SP 800-126 Rev 2 – Final - The Technical Specification for theSecurity Content Automation Protocol (SCAP): SCAP Version 1.2
• NIST IR 7694 – Final - Specification for the Asset Reporting Format 1.1
• NIST IR 7693 – Final - Specification for Asset Identification 1.1

Tenho  repetido em minhas palestras que este mundo de governança, riscos, compliance e monitoramento contínuo é para quem gosta de estudar. Por muito tempo estes segmentos eram carentes de base teórica e consensos, e hoje é um dos setores com o melhor conjunto de boas práticas e frameworks. Quando estourou a crise de 2008, os orgãos reguladores afirmaram que não eram necessário criar novos frameworks de governança, mas aplicar o que existe.

Dica light do post, uma app para iphone/ipad para que gosta de música: Rádio Ibiza  :-)

Aquele abraço,

FNery