Originalmente postado por Marc Lankhorst*, no blog da BiZZdesign - Tradução autorizada Nesta postagem, discutiremos o valor de uma abordagem integrada para o gerenciamento de risco, segurança e conformidade na empresa, usando a arquitetura corporativa como espinha dorsal.
A Percepção Estratégica do RiscoPara estar no controle dos riscos que você corre, a primeira coisa que você precisa é uma percepção estratégica da sua organização sob uma perspectiva de gerenciamento de riscos. Isto requer ter uma visão geral consistente e atualizada do seu panorama de produtos, processos, aplicativos e infraestrutura, e todos os aspectos de risco e segurança relacionados. A direção da empresa não pode cumprir com as suas responsabilidades sem saber quais são os principais problemas relacionados com o risco.
Obter um entendimento destes relacionamentos também ajuda você a avaliar os efeitos das decisões de negócio. Isto fornece para o negócio uma percepção clara sobre os riscos relacionados com, por exemplo, a introdução de novos produtos e iniciativas, a terceirização de processos de negócio ou de sistemas de TI, ou mesmo a absorção de uma nova empresa após uma fusão. Assim, eles podem pesar a propensão ao risco da empresa em relação às potenciais consequências.
Mais ainda, a propagação dos riscos através da empresa é uma grande preocupação dos executivos e da gerencia operacional. Os riscos em uma área podem levar a riscos em outra área. Por exemplo, quais são os efeitos de propagação potenciais de uma falha de sistema, uma invasão, uma queda de energia, fraude ou outro mau uso, sobre os processos de negócio críticos, serviços, clientes, parceiros, mercados, ...? A arquitetura corporativa ajuda você a criar percepções sobre estes relacionamentos e dependências, e assim evitar ou mitigar desastres potenciais.
Uma área relacionada na qual a arquitetura corporativa fornece valor tangível de negócio é no alinhamento do gerenciamento de risco e segurança com as metas e objetivos de negócio. Muitas organizações encontram dificuldade para decidir sobre o nível adequado de medidas segurança, e os gerentes de negócio geralmente vêm isto como um problema técnico que deve ser deixado por conta do pessoal de TI. Eles, por sua vez, não querem correr nenhum risco, e criam soluções douradas que são bastante seguras, mas também muito caras (e, muitas vezes, bastante agressivas em relação aos usuários).
Um melhor alinhamento entre as metas de negócio, as decisões da arquitetura, e a implementação técnica, ajuda a organização a gastar seu orçamento de segurança de forma inteligente, com foco nos riscos relevantes para o negócio. Isto pode levar tanto à redução dos custos como dos riscos, porque você não estará investindo em medidas de segurança excessivamente fortes para coisas sem importância, deixando mais orçamento para proteger as coisas sobre as quais a empresa realmente se preocupa.
Mais ainda, segurança não é algo que pode ser "atacado" posteriormente. Arquiteturas e sistemas inerentemente inseguros são muito difíceis de consertar depois. Ao invés disso, o gerenciamento de risco e segurança deveria ser desenhado desde o início, usando as metas de negócio da empresa para decidir sobre as medidas apropriadas.
Conformidade e Auditoria RegulatóriaOutra razão comum para ter uma prática de arquitetura corporativa madura, especialmente em setores altamente regulados, como bancos e seguros, é a conformidade regulatória. O Banco Central e outras entidades reguladoras exigem, ou pelo menos recomendam fortemente, que as instituições financeiras tenham uma prática de arquitetura corporativa bem definida, para garantir que eles estão no controle das suas operações. Eles podem, inclusive, auditar estas arquiteturas ou usá-las de outra forma para avaliar os riscos que a organização corre. Naturalmente, auditores internos, Diretores de Segurança da Informação, e gerentes de risco, também se beneficiam do uso de artefatos da arquitetura corporativa. As percepções sobre os relacionamentos e dependências no nível corporativo que isto proporciona são entradas importantes para as suas tarefas.
Implementar padrões e políticas tais como SEPA, Solvency IT, Basiléia III, e outras, requer coordenação, visibilidade e rastreabilidade no nível corporativo, desde as decisões executivas, como por exemplo, o apetite ao risco da organização, até a implementação de medidas e controles nos processos de negócio e sistemas de TI. A arquitetura corporativa, como uma prática, e os modelos de arquitetura corporativa que capturam estes relacionamentos, são indispensáveis para gerenciar os amplos impactos destes desenvolvimentos.
Próximos passosPara obter o benefício total do uso da arquitetura corporativa no contexto do gerenciamento da segurança, conformidade e risco, sugerimos que você se concentre no seguinte:
* Mark Lankhorst é Gerente de Consultoria & Evangelista-Chefe de Tecnologia da BiZZdesign, empresa líder em ferramentas para modelagem da arquitetura corporativa, representada no Brasil pela Centus Consultoria. |