# Governança, gerenciamento de riscos e conformidade

**Aravind**  
24 de abril · 5 min de leitura

À medida que as organizações crescem, também cresce a complexidade de suas operações; ou seja, o volume de informações tratadas pela empresa aumenta. As informações armazenadas na empresa podem pertencer a diferentes setores, com variados graus de sensibilidade. Como resultado, as atividades organizacionais geralmente estão sob a supervisão de diversos órgãos reguladores e de conformidade.

Além disso, quando uma organização passa por mudanças rápidas em sua infraestrutura, é necessário garantir que suas atividades operacionais estejam alinhadas às metas de negócios. Para lidar com esses desafios logísticos, é importante que as organizações adotem uma abordagem estruturada; o conceito unificado que conecta a integridade empresarial, a conformidade com regulamentações e a resiliência a riscos é chamado de **governança, riscos e conformidade (GRC)**.

Com características sobrepostas entre as três disciplinas, uma solução GRC integrada reduz esforços duplicados, o que ajuda as organizações a otimizar operações, reduzir custos e promover análises entre domínios para gerar resultados abrangentes.

## Governança

Descreve decisões que alinham as operações da organização a um objetivo de negócio comum. A governança organizacional combina informações de gerenciamento, estruturas de controle e partes interessadas que influenciam, aplicam e monitoram decisões políticas importantes.

Os principais componentes que determinam uma governança eficaz incluem avaliações internas, gerenciamento de riscos e relatórios de monitoramento de conformidade. Algumas das estruturas mais conhecidas que ajudam na implementação da governança de TI são:

- **Objetivos de controle para informação e tecnologias relacionadas (COBIT):** Criado pela ISACA, o COBIT foi projetado para a gestão corporativa de TI, conectando desafios técnicos, riscos de negócios e tomadores de decisão. Inicialmente criado para auditoria de TI, a versão mais recente, o COBIT 5, é baseada em cinco princípios:
  - Atender aos requisitos das principais partes interessadas
  - Implementar cobertura de ponta a ponta em toda a empresa
  - Unificar diversos frameworks
  - Promover uma abordagem holística para a gestão organizacional
  - Separar o gerenciamento da governança
- **Biblioteca de infraestrutura de tecnologia da informação (ITIL):** Uma estrutura de gerenciamento de serviços de TI (ITSM) baseada em processos, que permite que empresas utilizem suas capacidades de ITSM para obter melhores resultados. A ITIL é composta por cinco elementos de gerenciamento de serviços: estratégia de serviço, design de serviço, transição de serviço, operação de serviço e melhoria contínua de serviço.
- **Comitê das Organizações Patrocinadoras da Comissão Treadway (COSO):** A estrutura COSO aborda várias falhas que afetam os controles internos de uma organização. Com maior foco no lado corporativo, o COSO classifica os objetivos de controle interno em três categorias: operações, geração de relatórios e conformidade.
- **Análise de fatores de risco da informação (FAIR):** O FAIR foca nos aspectos de cibersegurança de uma organização, ajudando as empresas a tomar medidas cruciais para corrigir a presença de agentes maliciosos e lacunas de segurança.
- **Integração do modelo de maturidade de capacidades (CMMI):** Uma metodologia que visa promover a melhoria de processos, eliminando falhas operacionais e práticas desorganizadas. O CMMI introduz uma escala de classificação que varia de 1 a 5 para determinar o nível de maturidade em estabilidade, qualidade e lucratividade de uma organização.

## Risco

Os desafios existentes ou potenciais que uma organização deve superar para garantir o bom funcionamento. Os tipos de riscos enfrentados por uma empresa incluem:

- **Risco operacional:** Vulnerabilidades sistêmicas que afetam as operações de uma empresa compõem o risco organizacional. Elas podem se originar interna ou externamente, sendo exemplos externos desastres naturais ou crises globais que afetam a cadeia de suprimentos. Entre os fatores internos estão políticas corporativas falhas, hardware desatualizado, ataques cibernéticos, vazamentos de informações privilegiadas, erros humanos e o uso de dispositivos ou produtos defeituosos.
- **Risco de conformidade:** Riscos resultantes da não conformidade com estruturas regulatórias.
- **Risco financeiro:** Ameaças potenciais que afetam a saúde financeira de uma organização.

## Conformidade

Refere-se à necessidade de as organizações cumprirem um conjunto de leis e diretrizes regulatórias. A conformidade garante que as empresas não ultrapassem limites éticos em detrimento de seus objetivos.

## Modelo de capacidade GRC: O workflow ideal

De acordo com o OCEG, uma prática GRC ideal deve incorporar os seguintes componentes:

- **Aprender:** Adquirir conhecimento sobre o contexto da organização, políticas internas e cultura, que podem ser incorporados para criar estratégias, roteiros e objetivos.
- **Alinhar:** Usar ferramentas de tomada de decisão eficazes para criar estratégias, objetivos e processos que estejam alinhados aos valores, necessidades, desafios e oportunidades da empresa.
- **Executar:** Executar ações que possibilitem a concretização das estratégias, evitando falhas operacionais ao recompensar ações desejáveis e corrigir as contraproducentes.
- **Revisar:** Reavaliar a eficácia operacional dos planos e ações correspondentes, além de realizar ajustes e implementar medidas para aumentar a eficiência dos workflows da organização.

## Componentes de uma solução GRC

Uma solução GRC confiável pode facilitar o trabalho dos administradores de rede ao automatizar tarefas rotineiras, como a aplicação e o monitoramento de políticas. As ferramentas GRC unificam diversas tarefas e evitam que a equipe desperdice tempo e recursos em atividades redundantes que se sobrepõem entre diferentes departamentos. As soluções GRC também devem oferecer as funções necessárias para atender aos requisitos das leis de conformidade e auxiliar nas auditorias de entidades, sistemas e fornecedores associados à organização.

Alguns dos componentes importantes de uma solução GRC incluem:

### Gerenciamento de políticas

Trata da concepção e aplicação de regulamentações definidas pela empresa que moldam as atividades de usuários e dispositivos na rede organizacional. Além de administrar o ciclo de vida completo das políticas da empresa, esse componente também estabelece canais de comunicação para relatar violações por meio de alertas e notificações, além de dashboards que rastreiam, reportam e gerenciam incidentes de violação de políticas.

### Gerenciamento de conformidade

É o processo contínuo de verificação para garantir que a organização esteja em conformidade com padrões de segurança, legislações e estruturas regulatórias, além de mapear novos requisitos de conformidade e licenciamento à medida que a infraestrutura da empresa evolui.

O primeiro passo para implementar o gerenciamento de conformidade é o mapeamento regulatório, que envolve compreender e atender aos requisitos obrigatórios estabelecidos pelas regulamentações. Isso pode ser feito por meio de pesquisas de risco para obter informações sobre a postura de segurança da organização e os problemas enfrentados pelos colaboradores em diferentes áreas que levam à não conformidade.

Além de dashboards e sistemas de auditoria que gerenciam e relatam atividades anômalas, os usuários devem ser orientados sobre as regulamentações para que possam adotar as melhores práticas em suas atividades diárias.

### Gerenciamento de riscos

Envolve a identificação de ameaças existentes e potenciais que possam colocar a organização em risco, bem como a implementação das medidas de mitigação adotadas para reduzir seus impactos. As cinco etapas do gerenciamento de riscos incluem:

- **Identificar:** Estimar a quantidade de elementos de risco existentes ou potenciais em uma organização. Para identificar vulnerabilidades práticas e outras ameaças, as empresas podem utilizar ferramentas e técnicas como questionários de análise de risco, avaliações de risco cibernético e testes de penetração.
- **Analisar:** Determinar o escopo dos riscos, ou seja, avaliar a gravidade e o impacto operacional.
- **Avaliar:** Priorizar os riscos com base na frequência e na intensidade do impacto que podem causar aos negócios. As avaliações de risco podem ser qualitativas ou quantitativas. Enquanto a avaliação qualitativa aborda ameaças não mensuráveis (como desastres globais), a quantitativa avalia riscos que podem ser medidos, como riscos financeiros e de TI.
- **Tratar o risco:** Planejar e executar ações necessárias para mitigar o risco. Por meio da implementação de planos de resposta a incidentes e do gerenciamento de patches, uma organização pode eliminar riscos e fortalecer sua infraestrutura de TI.
- **Monitorar:** Monitorar infraestruturas de TI e identificar indicadores antes que se tornem riscos graves que possam comprometer ativos e processos críticos. Os riscos em evolução e as superfícies de ataque em expansão fazem parte de ambientes corporativos dinâmicos. Ao utilizar uma combinação de análises de dados baseadas em IA e ML com ferramentas comportamentais como SIEM e UEBA, o monitoramento e a geração de relatórios sobre ameaças podem ser realizados de forma eficaz.

### Gerenciamento de riscos de fornecedores

As organizações principais devem atuar para melhorar a postura de segurança de fornecedores e parceiros, pois eles são considerados vetores atrativos para ataques prolongados na cadeia de suprimentos. Isso inclui obter visibilidade sobre as métricas de segurança de terceiros, como não conformidades e gerenciamento de patches; agregar pontuações de risco das empresas parceiras; e implementar ferramentas que reduzam lacunas de comunicação entre a organização principal e fornecedores de terceiro ou quarto nível, como dashboards unificados para rastrear, avaliar e monitorar metas de segurança e de negócios compartilhadas.

## Por que as organizações precisam de GRC

Para as empresas, a capacidade de prever, resistir e reagir a ameaças exige um conhecimento profundo dos pontos críticos e dos fatores de sucesso que afetam sua cadeia de suprimentos. Sendo um componente essencial do GRC, a resiliência operacional pode ser alcançada de forma mais eficaz com a automação de processos-chave que identificam vulnerabilidades nos workflows. Alguns dos principais benefícios do GRC que contribuem para uma organização resiliente incluem:

### Mais transparência

As soluções GRC integradas oferecem melhor visibilidade sobre os indicadores e tolerância ao risco, eliminando mecanismos isolados e promovendo o compartilhamento de informações entre domínios. Isso permite que colaboradores, responsáveis por processos e partes interessadas tenham uma visão mais clara dos pontos fortes e fracos da organização e tomem decisões e definam políticas de forma mais informada. Com maior transparência, torna-se mais fácil para as organizações criar perfis de risco e planos de ação para casos excepcionais, considerando os fatores de risco e conformidade associados.

### Proteção contra riscos financeiros

A falta de conformidade com obrigações regulatórias e de licenciamento pode resultar em multas pesadas, o que afeta diretamente a saúde financeira das empresas. Uma pesquisa de 2017 realizada pela [Ponemon e Globalscape](https://www.globalscape.com/resources/whitepapers/data-protection-regulations-study/thank-you) mostrou que organizações condenadas por não conformidade acabam pagando até 2,71 vezes o custo necessário para alcançar a conformidade efetiva.

O [Regulamento Geral de Proteção de Dados (GDPR)](https://gdpr-info.eu/issues/fines-penalties/) da União Europeia, considerado uma das regulamentações mais rigorosas no cenário de TI, pode aplicar multas de até 20 milhões de euros ou 4% do faturamento global anual da organização, o que for maior, em casos de não conformidade.

Além disso, o GRC ajuda as empresas a reduzir encargos financeiros e de trabalho ao eliminar tarefas repetitivas. A conformidade, junto com outros recursos do GRC, ajuda as empresas a evitar custos desnecessários que poderiam comprometer grande parte de seus lucros.

### Continuidade dos negócios

A capacidade inerente das soluções GRC de avaliar ameaças que afetam a empresa no curto, médio e longo prazo garante maior durabilidade aos processos críticos internos. O GRC permite que as organizações priorizem funções e ativos essenciais, ajudando a protegê-los, total ou parcialmente, diante de riscos operacionais inevitáveis, como uma calamidade externa (por exemplo, uma pandemia). Nesses casos, quando todas as outras operações são comprometidas, essas funções essenciais continuam em funcionamento.

## Como o AD360 atende às necessidades de GRC das organizações

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-admp-comp.png)

*Repositório de conformidade do módulo de gerenciamento do AD do AD360*

O grupo AD360 possui recursos integrados que podem ser associados às exigências de diversas estruturas regulatórias, tais como:

### Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA)

Um padrão regulatório para organizações que armazenam, processam, transmitem e mantêm informações de saúde protegidas. Para que um ambiente do Active Directory seja seguro e protegido contra acessos não autorizados, é essencial estar em conformidade com a HIPAA. O AD360 preenche as lacunas deixadas pelas ferramentas nativas no que diz respeito à conformidade com a HIPAA, fornecendo uma trilha de auditoria completa com insights sobre:

- Usuários cujas tentativas recentes de logon falharam.
- Usuários que efetuaram logon nos últimos N dias.
- Horários reais do último logon dos usuários.
- Usuários que possuem permissão para acessar servidores de terminal.
- GPOs modificadas recentemente.
- Contas de usuário criadas ou modificadas nos últimos N dias.
- Usuários que não alteraram suas senhas recentemente.
- Usuários cujas senhas nunca expiram.

Além disso, o AD360 orienta as organizações quanto à conformidade com as disposições da seção \164.308 da estrutura HIPAA.

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-adap-hippa.png)

*Recursos de auditoria do AD360 para conformidade com a HIPAA*

### Lei Sarbanes-Oxley (SOX)

Introduzida em 2002 pelo Congresso dos Estados Unidos, a SOX tem como objetivo coibir práticas financeiras fraudulentas de empresas e seu impacto sobre investidores. Os principais objetivos dessa legislação são estabelecer controles internos confiáveis, relatórios financeiros transparentes, infraestrutura de auditoria eficiente e formulação de políticas empresariais. A conformidade com a SOX em uma infraestrutura de TI pode ser alcançada com a implementação de um sistema de gerenciamento de identidade e acesso adequado, que auxilia na administração dos controles internos da empresa. O AD360 gera relatórios do Active Directory que podem ser categorizados de acordo com as seções de conformidade da SOX, como:

- Políticas e procedimentos de segurança
- Análise e gerenciamento de riscos
- Recuperação de desastres
- Auditoria

O AD360 também ajuda as organizações a atender às cláusulas da seção 302 da SOX, que exige a criação de procedimentos internos voltados à conformidade financeira.

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-admp-sox.png)

*Recursos de auditoria do AD360 para conformidade com a SOX*

### Padrões de segurança de dados da indústria de cartões de pagamento (PCI DSS)

Atualmente, uma das políticas regulatórias mais importantes do setor é a estrutura PCI DSS, cujo principal objetivo é padronizar e proteger as práticas operacionais e técnicas ligadas ao processamento e à segurança das informações de cartões de pagamento. Qualquer empresa que aceite ou processe dados de cartões deve estar em conformidade com o PCI DSS.

Como essa norma trata diretamente do lado transacional dos negócios, estar em conformidade com o PCI DSS oferece mais segurança aos clientes quanto à proteção de suas informações. A conformidade com o PCI DSS também torna as empresas mais confiáveis. Com o AD360, o acesso restrito aos dados dos titulares de cartões pode ser garantido por meio da implementação de autenticação de dois fatores e da geração de relatórios sobre tentativas de logon, alterações em políticas de auditoria e modificações de permissões, entre outras ações.

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-adpa-pci.png)

*Recursos de auditoria do AD360 para conformidade com o PCI DSS*

### Lei Federal de Gestão de Segurança da Informação (FISMA)

Aprovada em 2002, essa lei federal dos Estados Unidos exige que as agências federais protejam suas infraestruturas e ativos de dados críticos. O AD360 contribui para a proteção desses ativos ao monitorar o ambiente de servidores Windows da organização, enviar notificações por e-mail sobre alterações e gerar relatórios periódicos. O produto também inclui um kit de conformidade FISMA para facilitar o processo de adequação.

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-adap-fisma.png)

*Recursos de auditoria do AD360 para conformidade com a FISMA*

### Regulamento Geral de Proteção de Dados (GDPR)

O GDPR é uma estrutura regulatória obrigatória para organizações que operam na União Europeia ou que atendem clientes localizados nesse território. Trata da proteção dos dados pessoais de clientes, colaboradores e prospectos mantidos por uma empresa. O AD360 garante que as organizações disponham das medidas adequadas para assegurar a conformidade com o GDPR. Com o AD360, as empresas podem:

- Visualizar membros e detalhes de grupos específicos.
- Identificar pastas compartilhadas em servidores e auditar suas permissões.
- Listar os direitos de acesso de usuários e grupos a pastas em caminhos definidos.
- Ver as permissões de pastas e servidores atribuídas a determinadas contas de usuário.
- Listar os usuários e grupos com acesso a servidores específicos.
- Notificar os responsáveis sobre solicitações criadas, revisadas ou aprovadas.
- Criar regras para avaliar e atribuir solicitações a técnicos específicos.
- Revisar as ações de gerenciamento executadas pelos técnicos.
- Visualizar solicitações de workflow criadas e atribuídas ao help desk.
- Listar todas as ações realizadas pelos técnicos de help desk.

Além disso, o AD360 reforça a segurança dos dados pessoais da organização ao monitorar tentativas de logon para detectar acessos não autorizados. Ao oferecer visibilidade sobre informações de logon, elevações de privilégios e outras modificações no ciclo de vida do usuário, o AD360 amplia a capacidade das organizações de detectar violações de dados e garantir a conformidade com o GDPR.

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-adap-gdpr.png)

*Recursos de auditoria do AD360 para conformidade com o GDPR*

### Lei Gramm-Leach-Bliley (GLBA)

Também conhecida como Lei de Modernização dos Serviços Financeiros, essa norma exige que as instituições financeiras, ou seja, empresas que oferecem produtos ou serviços financeiros como empréstimos, consultoria ou seguros, sejam transparentes com os clientes quanto às suas práticas de compartilhamento de informações e protejam dados sensíveis. A conformidade com a GLBA é obrigatória para todas as organizações financeiras e requer que as empresas protejam seus ativos contra ameaças previsíveis à segurança e à integridade dos dados. O AD360 contribui para essa conformidade oferecendo medidas preventivas, monitoramento contínuo 24 horas por dia, 7 dias por semana, e relatórios e alertas pré-configurados de fácil visualização.

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-adap-glba.png)

*Recursos de auditoria do AD360 para conformidade com a GLBA*

### ISO 27001

A ISO 27001 destaca a importância de as organizações estabelecerem, implementarem, administrarem e aprimorarem continuamente um sistema de gestão de segurança da informação (ISMS) dentro de seu contexto operacional. A norma possui 11 cláusulas, das quais, da quarta à décima, definem os requisitos obrigatórios que devem ser atendidos. O ADAudit Plus do AD360 converte dados de logs de eventos de controladores de domínio do Active Directory (AD), servidores de arquivos, servidores Windows e estações de trabalho em relatórios e alertas em tempo real.

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-adap-iso.png)

*Recursos de auditoria do AD360 para conformidade com a ISO 27001*

### Lei Geral de Proteção de Dados (LGPD)

A LGPD regula a coleta, o uso e o processamento de dados pessoais no Brasil. Ela exige que as organizações implementem um plano de resposta a incidentes, incluindo a notificação imediata de ocorrências de segurança. Com relatórios personalizáveis que podem ser gerados em diferentes formatos, o AD360 da ManageEngine aprimora os processos de notificação e resposta a incidentes, ajudando as empresas a manter a conformidade com a LGPD.

Um dos principais recursos do AD360 é o monitoramento de integridade de arquivos, que permite aos administradores de TI detectar tentativas não autorizadas de alteração ou modificação do conteúdo de documentos críticos.

![admp compliance repository](https://www.manageengine.com/active-directory-360/manage-and-protect-identities/images/governance-risk-compliance-adap-lgpd.png)

*Recurso de monitoramento de integridade de arquivos do AD360*