Apresentação

Apresentação
Lorrie Luellig, J.D., da Ryley
Carlock & Applewhite, é o
membro fundador e líder da
prática de Governança da
informação (RCA-IG) PC, membro
do corpo docente do Conselho
de conformidade, governança
e supervisão (CGOC) e líder
do Modelo de referência de
descoberta eletrônica (EDRM)
Subgrupo de empresas IGRM
e Grupo de trabalho CGOC RIM.
Luellig presta consultoria para
clientes globais da Fortune 100
para pequenas empresas privadas
sediadas na Europa e nos EUA.
Jake Frazier, J.D., é especialista
em governança do ciclo de
vida das informações da IBM
e é diretor executivo do CGOC.
Frazier oferece assistência
a departamentos jurídicos
corporativos e escritórios de
advocacia na identificação,
avaliação e implementação
de descoberta eletrônica interna
e soluções de governança de
informações.
Uma abordagem da COBIT à conformidade e
eliminação defensável
O plano de governança de TI bem-sucedido
exige uma abordagem moderna e transparente
para a retenção e descarte de dados de rotina.
Os diretores de informática (CIOs) atuais
enfrentam uma série de desafios sem precedentes:
• Big data: O volume de informações que a TI
coleta e gerencia continua aumentando, testando
os processos e ferramentas usadas para coletar,
analisar, armazenar, processar e arquivar dados.
• Globalização: Atualmente, é impossível
encontrar uma grande empresa operando
em apenas uma região do mundo. Milhares
de quilômetros podem separar a sede de uma
organização dos departamentos de pesquisa,
desenvolvimento e produção, enquanto os
clientes, parceiros, fornecedores e escritóriossatélite podem estar localizados no mundo
todo. Como resultado, a TI deve suportar
informações armazenadas em vários locais em
uma infraestrutura diversa de redes, servidores,
desktops, laptops e dispositivos móveis.
• Regulamentos complexos e em evolução: Mais
de 100.000 leis e regulamentos internacionais
são possivelmente relevantes segundo
informações coletadas pela Forbes Global em
1000 empresas. Essas informações englobam
registros financeiros, dados de marketing,
e-mails, textos, posts de redes sociais, tweets,
registros telefônicos, dados de log e muito
mais. Ainda mais desafiador, muitos desses
regulamentos, incluindo requisitos de divulgação
de informações financeiras e padrões para
retenção de dados e privacidade, estão em
constante evolução e muitas vezes variam e se
contradizem através de fronteiras e jurisdições.
• Orçamentos limitados: Além de todos estes
desafios - e as consequências desastrosas de
não conseguir gerenciar todos os dados e
cumprir os regulamentos em escala global a TI está constantemente sob pressão para
reduzir os gastos.
A TI pode superar todos esses desafios
com um programa abrangente de governança
de informações de consciência global que
reduza os volumes de informação, centralize o
gerenciamento de dados em todas as jurisdições e
garanta o cumprimento regulamentar - tudo isso
enquanto reduz os gastos. Muitos CIOs já usam
a estrutura da COBIT® para suportar objetivos
de negócios, reduzir os riscos corporativos e
otimizar a utilização de recursos. Mesmo assim,
em se tratando de práticas de governança
da informação relacionadas a questões
regulamentares, conformidade legal, retenção de
registros e políticas de eliminação, os princípios
da COBIT não estão sendo aproveitados de
maneira tão ampla e eficaz quanto possível. No
entanto, a COBIT pode ser a solução para um
programa de governança bem-sucedido.
DADOS CORPORATIVOS SEM VALOR
Uma falta de percepção sobre quais informações
devem ser mantidas fez com que muitas
empresas acumulassem montanhas de detritos
gerados eletronicamente na forma de aplicações,
servidores, fitas de armazenamento e backup em
excesso que não têm mais utilidade.
Uma pesquisa recente com CIOs de empresas
e conselhos gerais realizada em uma cúpula
do Conselho de conformidade, governança e
supervisão (CGOC)1 descobriu que geralmente
1% das informações corporativas está em
retenção de litígio, apenas 5% estão em uma
categoria de retenção de registros e apenas 25%
têm algum valor comercial atual. 2 Isso significa
que aproximadamente 69% de todos os dados
coletados e mantidos pela maioria das empresas
não têm valor comercial, legal ou regulamentar.
Uma etapa fundamental para criar um
programa bem-sucedido de governança de
informações é desenvolver a habilidade de
identificar e proteger qualquer informação que
tenha valor comercial, legal ou regulamentar para
suportar a eliminação legalmente defensável de
todo o resto. A eliminação defensável eficiente
- a capacidade de eliminar informações que
não têm valor regulamentar, legal ou comercial
regularmente e de forma automática - pode causar
ISACA JOURNAL VOLUME 5, 2013
1
”
retenção e políticas de eliminação de acordo com leis e
regulamentos importantes, mas os mesmos podem não ter
uma visão holística da infraestrutura de TI ou qualquer
compreensão do valor comercial das informações existentes.
Dados relevantes devem ser identificados e deve haver um
mecanismo para eliminação de informações.
Esta desconexão é destacada na pesquisa do CGOC, que
relatou isto:3
• 77% dos entrevistados disseram que suas programações de
retenção não eram acionáveis pela empresa e equipe de TI
• 50% disseram que os departamentos de TI não usam a
programação de retenção
• 75% citaram a impossibilidade de eliminar dados de
forma defensável como um de seus maiores desafios,
e muitos destacaram volumes maciços de dados antigos
como os maiores entraves financeiros na empresa e riscos
de conformidade
O objetivo de criar uma programação de retenção
moderna, transparente e executável é superar esses
desafios, facilitando a identificação de informações sem
valor e automatizando a eliminação de maneira legalmente
defensável.
PROGRAMAÇÕES DE RETENÇÃO EM UM MUNDO DIGITALIZADO
Uma programação de retenção oferece a base legal para
o gerenciamento de registros e departamentos jurídicos,
para organizar registros e informações corporativas, para
depois especificar o período de tempo que esses registros
devem ser mantidos para conformidade e necessidades do
negócio. O problema é que as programações de retenção
usadas atualmente por muitas empresas foram elaboradas
quando os registros em papel eram o padrão. Portanto,
elas simplesmente não funcionam nas empresas atuais, pois
uma grande quantidade de informações que precisam ser
armazenadas ou excluídas é gerada eletronicamente e inclui
informações que não foram definidas historicamente como
registros, por exemplo, posts e tweets de redes sociais. Isso
cria uma desconexão crítica, pois as informações agora
estão sob domínio da TI e as obrigações de conformidade da
empresa deverão estar vinculadas a milhares de aplicações,
bancos de dados e outros repositórios gerenciados pela TI.
Por sua vez, os profissionais da área jurídica e de RIM
possuem conhecimentos para definir programações de
CRIAÇÃO DE UMA MELHOR PROGRAMAÇÃO DE RETENÇÃO
COM A COBIT
Visto que uma programação de retenção moderna e executável
reconhece a natureza dinâmica dos dados eletrônicos e a
responsabilidade compartilhada para o gerenciamento e
eliminação de informações, os princípios da COBIT oferecem
uma base sólida para a criação de uma programação.
A COBIT® 5 é baseada nos cinco princípios fundamentais
para a governança e gerenciamento da empresa de TI.
1. Atender às necessidades das partes interessadas.
2. Atender a empresa de ponta a ponta.
3. Aplicar uma estrutura única e integrada.
4. Permitir uma abordagem holística.
5. Separar a governança do gerenciamento.
Todos esses princípios são diretamente aplicáveis à
criação de uma programação de retenção moderna e
executável, que suporta uma estrutura jurídica para a
eliminação defensável de dados desnecessários e que leva
em consideração as necessidades e funções das partes
interessadas de RIM, negócios e TI por meio de:
• Compreensão do fluxo de informações em toda a
empresa - da criação à eliminação - e permissão de uma
abordagem holística ao gerenciamento de informações
• Reconhecimento da natureza multidimensional da retenção
e eliminação de dados e suporte das interdependências e
colaboração entre as principais partes interessadas para atender
a todos os requisitos legais, regulamentares e empresariais.
um impacto surpreendente sobre a economia da informação.
Menor orçamento de TI gasto com armazenamento, servidores
e backup significa que podem ser feitos mais investimentos
estratégicos. Menos informações para filtrar significa que a
resposta legal e regulamentar pode ser tratada de maneira
simplificada e eficiente, ao mesmo tempo em que minimiza os
riscos associados à manutenção de muitos ou poucos dados,
incluindo a retenção de informações que os regulamentos
de privacidade em evolução exigem que sejam eliminadas e
oferecendo o desnecessário conselho de oposição com acesso à
descoberta mais amplo do que o necessário. O gerenciamento
de menos informações
O gerenciamento de
desnecessárias permite que
as empresas direcionem
menos informações
mais lucro aos acionistas.
desnecessárias permite que
Historicamente, os
as empresas direcionem
planos de retenção incluíam
mais lucro aos acionistas. apenas registros - de papel
ou eletrônicos - diferentes
do restante das informações
da organização. Para alcançar a eliminação defensável, as partes
interessadas de TI devem trabalhar em estreita colaboração
e de forma transparente com o gerenciamento de registros e
informações (RIM), unidades jurídicas e de negócios, para criar
programações de retenção executáveis e modernas, que vão além
do escopo de definir períodos de retenção. O que é considerado
um “registro” deve incluir todas as informações da organização e
incorporar critérios de retenção relacionados a retenções legais e
com valor comercial.
“
2
ISACA JOURNAL VOLUME 5, 2013
• Políticas e processos de governança integrados em prática
para atender às diversas e variadas necessidades das partes
interessadas, atingir a conformidade global e permitir
atualizações regulares para ficar a par das alterações nas
leis e na empresa
• Um gerenciamento de informações mais eficiente e em
conformidade com políticas e processos de governança
transparentes e claramente definidos
Nesse tipo de ambiente, os usuários teriam o
conhecimento e as ferramentas necessárias para classificar
as informações, e a TI teria o apoio jurídico e de registros
necessário para implementar uma programação de retenção
viável e eliminação adequada de informações sem valor no
momento correto.
A seguir estão os principais elementos que devem ser
incorporados a uma programação de retenção para que a
mesma seja funcional na moderna era da informação:
1. Aplicar as programações de retenção a todas as
informações, não apenas a registros. A programação
de retenção deve refletir a convergência constante do
gerenciamento de registros e de dados e deve ser aplicada
a todos os dados sob domínio da organização. Classificar
todas as informações - incluindo fontes de dados
estruturadas e não estruturadas - como tendo valor legal,
regulamentar ou comercial ou como detrito.
2. Vincular obrigações de retenção legais, de privacidade
e regulamentar específicas diretamente às informações
relevantes. A programação de retenção deve ser suportada
por uma estrutura global transparente, que define
claramente como as obrigações legais e regulamentares
se aplicam a todos os tipos de informações e usuário
empresariais, incluindo o que é coberto, quem é obrigado
a estar em conformidade e como a retenção e a eliminação
são desencadeadas. Esta estrutura também deve incluir
obrigações de privacidade em evolução. Soluções
tecnológicas, como as que classificam e realizam análise
de texto para agrupar dados, agora estão disponíveis para
conectar automaticamente informações aos requisitos de
retenção e eliminação, ao mesmo tempo em que aplica as
diretivas legais, de privacidade e regulamentar mais atuais
em todas as informações.
3. Levar em consideração o valor comercial das
informações. Este valor deve ser explicitamente
determinado pelas partes interessadas do negócio e ser
transparente para a RIM e TI. Novamente, as soluções
tecnológicas atuais podem abordar essa preocupação
de longa data dos gerentes de dados das empresas,
ajudando os usuários a associar mais facilmente os tipos
de informações (ex: ordens de compra ou contratos de
funcionários) às fontes de dados específicas (ex: sistemas
ECM e RH ou aplicações como o Microsoft SharePoint)
Está gostando deste artigo?
•O
btenha mais informações e participe de
discussões sobre conformidade, governança
corporativa de TI e gerenciamento de informações
no Centro de conhecimento.
www.isaca.org/knowledgecenter
e incluir detalhes sobre a razão pela qual a informação
é de valor comercial e por quanto tempo.
4. I dentificar onde as informações estão localizadas.
A programação de retenção deve incluir inventários de
informações que descrevem onde a mesma é armazenada,
que classes de registro são aplicadas a repositórios
específicos, quem era e é responsável pelo conteúdo
e quem o gerencia. Com o
auxílio de um mapa de dados
A clareza incentiva a confiável, os administradores
conformidade.
de dados podem identificar as
informações mais facilmente
e compreender o valor e as
obrigações relacionadas à mesma de acordo com, por
exemplo, as linhas de negócios ou departamentos.
5. Informar as obrigações de retenção e eliminação em
uma linguagem que as partes interessadas possam
compreender. Isso envolve dois elementos. Em primeiro
lugar, os usuários de dados devem saber o que lhes é
exigido ao criar e identificar informações. Em segundo
lugar, os administradores de dados devem compreender
as responsabilidades relacionadas à eliminação de
informações. Por exemplo, talvez para a equipe de TI,
uma diretiva de eliminação que diz “Cumpra a classe
de registro HUM100” não faça sentido. Uma tradução
útil poderia ser: “Aplicações de trabalho criadas pelos
usuários de recursos humanos (RH) e armazenadas no
drive compartilhado de RH devem ser permanentemente
excluídas após 10 anos do desligamento do funcionário.”
A clareza incentiva a conformidade.
6. Basear-se na flexibilidade para adaptar-se às leis, obrigações
e limitações locais. Usuários corporativos em cada área
e jurisdição funcional são os mais bem informados sobre
o valor e finalidade das informações por eles criadas. A
programação de retenção deve ser flexível para incorporar
esse conhecimento local. Além disso, as soluções
tecnológicas da programação de retenção podem ser usadas
para catalogar todas as leis e regulamentações específicas
em regiões e jurisdições aplicáveis, para que várias exceções
e alterações possam ser incorporadas à programação de
retenção e informadas às partes interessadas relevantes para
garantir a conformidade em escala global.
“ ”
ISACA JOURNAL VOLUME 5, 2013
3
7. I ncluir um mecanismo acionável que permite que
o departamento jurídico e de TI colaborem na
execução e encerramento de retenções legais. Nenhuma
programação de retenção pode alcançar o objetivo da
eliminação defensável sem uma clara compreensão de
quais informações estão sujeitas à retenção legal e quando
esta foi liberada. A compreensão da localização física das
informações é essencial, especialmente para protocolos
rigorosos, como a trituração de fitas de vídeo de unidades
de disco rígido. Com vínculos claramente estabelecidos
entre o valor das informações e os sistemas de TI, os
departamentos jurídicos podem solicitar retenções legais
de todo o mundo e identificar registros e informações
relevantes com programações locais e registros
individuais sinalizados e mantidos.
8. Identificar e eliminar informações duplicadas.
A confusão sobre o que exatamente deve ser mantido
e por quanto tempo pode criar uma tendência de
“guardar tudo, só para garantir.” Além de entrar em
conflito com o número crescente de leis de privacidade
(ex: Lei de portabilidade de seguro de saúde e
responsabilidade dos EUA, Diretiva europeia sobre
proteção de dados pessoais) que exigem a exclusão
de certos tipos de informações após um determinado
período de tempo, guardar tudo significa que dezenas
ou até centenas de cópias do mesmo arquivo estão sendo
armazenadas. Por meio de uma estrutura de governança
e gerenciamento transparentes, as empresas podem
estar confiantes de que armazenaram as informações
necessárias e eliminaram todas as cópias desnecessárias.
9. Atualizar-se em tempo real para acompanhar as
mudanças nas leis de negócios e tecnologia. Com
a constante evolução de requisitos globais legais,
regulamentares e de privacidade, é essencial ficar
à frente das mudanças e incorporar imediatamente
novas exigências ao programa de retenção. As soluções
tecnológicas podem atualizar automaticamente os
sistemas e alertar os administradores de dados sobre
as mudanças relevantes. Vários grandes fornecedores
de banco de dados de pesquisa jurídica também oferecem
ferramentas que permitem que os usuários acompanhem
as modificações nas leis.
4
ISACA JOURNAL VOLUME 5, 2013
10. A
plicar automaticamente programações de retenção
e armazenamentos legais a fontes de dados que não
são capazes de receber instruções de ferramentas de
política automatizadas e orquestrar todos os processos
de retenção e eliminação. Isso garante a eliminação
consistente de dados desnecessários, permite que a
equipe jurídica e a RIM validem solicitações de retenção
e esforços de conformidade e permite que os líderes de
governança da informação monitorem e aprimorem o
programa de eliminação defensável.
BOA GOVERNANÇA EM TODO CICLO DE VIDA DAS INFORMAÇÕES
Um crescimento de dados sem precedentes, operações
comerciais globais, preocupações com gastos e um
ambiente regulamentar complexo e constantemente em
mudança criaram desafios de governança das informações
assustadores para os CIOs. No entanto, a estrutura COBIT
torna possível aplicar princípios de governança comprovados
para superar esses desafios, administrando de forma eficiente
e rentável o fluxo de informações corporativas por meio do
ciclo de vida útil e eliminando automaticamente informações
que não têm mais valor legal, regulamentar ou comercial. Ao
colaborar com a equipe jurídica, RIM e partes interessadas,
a TI também pode ajudar a criar uma programação de
retenção moderna, transparente e executável, que pode
garantir a conformidade, enquanto aumenta a agilidade dos
negócios, reduzindo riscos e diminuindo os custos por meio
da eliminação defensável de informações sem valor.
NOTAS FINAIS
O Conselho de conformidade, governança e supervisão
(CGOC), fundado por Deidre Paknad, diretor de
governança do ciclo de vida de informações da IBM
Corporation, é um fórum com mais de 1.900 profissionais
de gerenciamento de TI e informações de empresas e
agências governamentais.
2
Conselho de conformidade, governança e supervisão
(CGOC), “Relatório de avaliação de desempenho sobre
governança da informação em 1.000 empresas globais,”
www.cgoc.com/register/benchmark-survey-informationgovernance-fortune-1000-companies
3
Ibid.
1