O Valor da Arquitetura Corporativa no Gerenciamento de Risco, Segurança e Conformidade

Postado em 9 de set. de 2017 por Antonio Plais

Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign – Tradução autorizada

Nesta postagem, discutiremos o valor de uma abordagem integrada para o gerenciamento de risco, segurança e conformidade na empresa, usando a arquitetura corporativa como espinha dorsal.

A Percepção Estratégica do Risco

Para estar no controle dos riscos que você corre, a primeira coisa que você precisa é uma percepção estratégica da sua organização sob uma perspectiva de gerenciamento de riscos. Isto requer ter uma visão geral consistente e atualizada do seu panorama de produtos, processos, aplicativos e infraestrutura, e todos os aspectos de risco e segurança relacionados. A direção da empresa não pode cumprir com as suas responsabilidades sem saber quais são os principais problemas relacionados com o risco.

Obter um entendimento destes relacionamentos também ajuda você a avaliar os efeitos das decisões de negócio. Isto fornece para o negócio uma percepção clara sobre os riscos relacionados com, por exemplo, a introdução de novos produtos e iniciativas, a terceirização de processos de negócio ou de sistemas de TI, ou mesmo a absorção de uma nova empresa após uma fusão. Assim, eles podem pesar a propensão ao risco da empresa em relação às potenciais consequências.

Mais ainda, a propagação dos riscos através da empresa é uma grande preocupação dos executivos e da gerencia operacional. Os riscos em uma área podem levar a riscos em outra área. Por exemplo, quais são os efeitos de propagação potenciais de uma falha de sistema, uma invasão, uma queda de energia, fraude ou outro mau uso, sobre os processos de negócio críticos, serviços, clientes, parceiros, mercados, …? A arquitetura corporativa ajuda você a criar percepções sobre estes relacionamentos e dependências, e assim evitar ou mitigar desastres potenciais.

Gerenciamento de Risco e Segurança Orientado pelo Negócio

Uma área relacionada na qual a arquitetura corporativa fornece valor tangível de negócio é no alinhamento do gerenciamento de risco e segurança com as metas e objetivos de negócio. Muitas organizações encontram dificuldade para decidir sobre o nível adequado de medidas segurança, e os gerentes de negócio geralmente vêm isto como um problema técnico que deve ser deixado por conta do pessoal de TI. Eles, por sua vez, não querem correr nenhum risco, e criam soluções douradas que são bastante seguras, mas também muito caras (e, muitas vezes, bastante agressivas em relação aos usuários).

Um melhor alinhamento entre as metas de negócio, as decisões da arquitetura, e a implementação técnica, ajuda a organização a gastar seu orçamento de segurança de forma inteligente, com foco nos riscos relevantes para o negócio. Isto pode levar tanto à redução dos custos como dos riscos, porque você não estará investindo em medidas de segurança excessivamente fortes para coisas sem importância, deixando mais orçamento para proteger as coisas sobre as quais a empresa realmente se preocupa.

Mais ainda, segurança não é algo que pode ser “atacado” posteriormente. Arquiteturas e sistemas inerentemente inseguros são muito difíceis de consertar depois. Ao invés disso, o gerenciamento de risco e segurança deveria ser desenhado desde o início, usando as metas de negócio da empresa para decidir sobre as medidas apropriadas.

Conformidade e Auditoria Regulatória

Mutra razão comum para ter uma prática de arquitetura corporativa madura, especialmente em setores altamente regulados, como bancos e seguros, é a conformidade regulatória. O Banco Central e outras entidades reguladoras exigem, ou pelo menos recomendam fortemente, que as instituições financeiras tenham uma prática de arquitetura corporativa bem definida, para garantir que eles estão no controle das suas operações. Eles podem, inclusive, auditar estas arquiteturas ou usá-las de outra forma para avaliar os riscos que a organização corre. Naturalmente, auditores internos, Diretores de Segurança da Informação, e gerentes de risco, também se beneficiam do uso de artefatos da arquitetura corporativa. As percepções sobre os relacionamentos e dependências no nível corporativo que isto proporciona são entradas importantes para as suas tarefas.

Implementar padrões e políticas tais como SEPA, Solvency IT, Basiléia III, e outras, requer coordenação, visibilidade e rastreabilidade no nível corporativo, desde as decisões executivas, como por exemplo, o apetite ao risco da organização, até a implementação de medidas e controles nos processos de negócio e sistemas de TI. A arquitetura corporativa, como uma prática, e os modelos de arquitetura corporativa que capturam estes relacionamentos, são indispensáveis para gerenciar os amplos impactos destes desenvolvimentos.

Próximos passos

Para obter o benefício total do uso da arquitetura corporativa no contexto do gerenciamento da segurança, conformidade e risco, sugerimos que você se concentre no seguinte:

• alinhar o gerenciamento de risco e segurança com a estratégia de negócio. Sempre veja as medidas de segurança e o risco sob a ótica do valor de negócio que elas adicionam. O suporte à estratégia do Enterprise Studio ajudará você nisso.
• capturar e visualizar os aspectos de risco e segurança da sua organização. Visualize perigos, riscos e medidas de mitigação em relação à arquitetura e estratégia de negócio abrangente. Use as nossas capacidades de arquitetura corporativa para criar modelos integrados dos seus riscos e medidas de controle.
• medir e visualizar o impacto dos riscos e usar estas percepções para a tomada de decisão com nossas funcionalidades de análise de risco. Use mapas de calor para informar os tomadores de decisão sobre as medidas de controle necessárias.
• priorizar projetos de segurança. Calcule o valor e o impacto de negócio dos projetos de segurança e use isto para fazer a priorização das medidas de TI. Use nosso gerenciamento de portfólio corporativo para decidir onde gastar seu orçamento mais efetivamente.
• usar o suporte efetivo de ferramentas. O apoio de ferramentas de software para uma modelagem, análise e visualização rápida e clara fornece as percepções necessárias.

Veja mais sobre isto na próxima postagem, conheça o Bizzdesign Enterprise Studio, e saiba como a arquitetura corporativa pode trazer uma nova perspectiva sobre o gerenciamento de risco, segurança e conformidade.

* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da Bizzdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria.