Compliance não é mais o carro-chefe das medidas de segurança da informação, diz Gartner

A necessidade de garantir compliance com regulações não deve ser mais a prioridade para CIOs no planejamento das políticas de risco e segurança da informação. Segundo o Gartner, compliance é um resultado de um programa de gestão de risco bem feito e o ideal é que ele não domine a tomada de decisão do executivo de TI.

?Por simplesmente tentar cumprir requerimentos individuais de compliance, organizações se tornam seguidoras de regras em vez de liderar a gestão de risco?, expõe o diretor de pesquisa do Gartner John Wheeler. ?CIOs precisam parar de apenas seguir regras que permite compliance dominar a tomada de decisão de negócios, tornando-se líderes de risco pró-ativos, que respondem às ameaças mais severas em suas empresas?, completa.

Os líderes de risco avaliam antecipadamente as ameaças por meio do rastreamento das mudanças de negócio e de regulamentações. Eles, então, são capazes de criar um plano estratégico e pró-ativo que melhora a resiliência e influencia o sucesso da organização.

Wheeler afirma que companhias muitas vezes ainda encaram atividades de compliance como checklists, com pouca atenção para os riscos relacionados que se destinam a abordar. Para ele, as organizações precisam mudar essa mentalidade reativa e começar a ver essa atitude também como um risco.

IT Forum Expo/Black Hat debate segurança em São Paulo
Ataques DDoS estão mais pesados, alerta relatório
89% dos executivos acham investimentos em SI inadequados

Dessa maneira, companhias confiam mais na gestão própria de risco para guiar a implementação de controles, em vez da clássica abordagem de compliance de implementar controles mandatórios sem antecipar impactos e gravidades dos riscos em si. ?Se os CIOs estão fazendo a gestão de risco efetivamente, os requerimentos de compliance serão alcançados, e não o contrário?, justifica o especialista.

Além disso, dada a proliferação atual de regras obrigatórias, é um desafio para as organizações desenvolver uma abordagem mais adaptável, à frente das mudanças. CIOs normalmente são distraídos pelos esforços de manter regras específicas ? e isso precisa  mudar. ?Eles devem criar um programa formal e defensivo de controles baseados em situações específicas e riscos únicos a seu negócio?, sugere Wheeler. ?As regras e leis, então, devem ser mapeadas em controles previamente selecionados, e um caso defensivo deve ser realizado de acordo com o que as leis previamente já contemplaram.?

Quando agem dessa forma, complicance se torna simplesmente outra categoria de risco que é atendida como exercício de defesa, controle e mapeamento. CIOs devem trabalhar com equipes de gestão de vulnerabilidades para construir um programa capaz de se adaptar ao cenário dinâmico e, ao mesmo tempo, proteger antecipadamente a empresa.