Conformidade regulatória em todos os setores

Este é o SEGUNDO blog de nossa série que explica como aproveitar o gerenciamento de serviços e mudanças para fins de conformidade, capturando todas as informações necessárias para processar aprovações de mudanças e estabelecer registros auditáveis. Em nossa primeira postagem no blog, explicamos por que a conformidade de processos de negócios é uma parte fundamental da base para a construção de uma organização bem-sucedida. Neste artigo, explicamos como a conformidade regulatória em todos os setores fornece orientações importantes para as organizações enquanto elas se esforçam para atingir suas metas de negócios. Em nosso terceiro e último artigo (publicado em 22 de junho de 2021), explicamos como a auditoria de conformidade é usada não apenas para avaliar se sua empresa está seguindo regulamentações externas, mas também para determinar se está seguindo seus próprios procedimentos e políticas internas.

Neste artigo, vamos nos aprofundar e explorar como a conformidade com várias regulamentações pode influenciar a tomada de decisões de negócios. Depois de obter uma compreensão clara de por que a conformidade é importante para sua organização, fica muito mais fácil entender como você pode ajudar sua organização a atingir suas metas de conformidade.

Por que a conformidade regulatória é importante?

A conformidade regulatória se refere à adesão de uma organização às leis, regulamentos, diretrizes e especificações relevantes para determinados processos de negócios. Exemplos de leis e regulamentações de conformidade regulatória incluem a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), a Lei Sarbanes-Oxley (SOX), a Proteção de Infraestrutura Crítica da North American Electric Reliability Corporation (NERC-CIP), o Padrão de Segurança do Setor de Cartões de Pagamento (PCI) e a lista continua. As violações das regras de conformidade regulatória geralmente resultam em implicações legais e multas federais.

Como o número de leis aumentou dramaticamente nos últimos vinte anos, o gerenciamento da conformidade regulatória se tornou mais proeminente em várias organizações. Esse desenvolvimento levou à criação de cargos de diretor de conformidade corporativa, diretor e regulatório e gerente de conformidade em muitas organizações. O objetivo principal dessas funções é garantir que a empresa esteja em conformidade com mandatos legais rigorosos e complexos e com as leis aplicáveis.

Os processos e estratégias de conformidade regulatória fornecem orientação para as organizações enquanto elas se esforçam para atingir suas metas de negócios, enquanto os relatórios de auditoria servem para provar a conformidade e ajudar as empresas a se comercializarem melhor para os clientes. Ser transparente sobre os processos de conformidade ajuda os clientes a criar confiança, além de potencialmente melhorar a lucratividade.

Como a conformidade varia entre os setores?

Alguns setores são mais fortemente regulamentados do que outros. O setor de serviços financeiros, por exemplo, está sujeito a exigências de conformidade regulatória projetadas para proteger o público e os investidores de práticas comerciais nefastas. As empresas de saúde estão sujeitas a leis rígidas de conformidade porque armazenam grandes quantidades de dados confidenciais e pessoais de pacientes. Os fornecedores de energia estão sujeitos a regulamentações para fins de segurança e proteção ambiental. Embora esses sejam apenas alguns exemplos de por que a conformidade é importante em determinados setores, as seções abaixo fornecem mais informações sobre como as organizações em cada um desses setores podem atingir suas metas de conformidade.

Energia — Satisfaça perfeitamente seus requisitos de conformidade NERC CIP

A North American Electric Reliability Corporation (NERC) desenvolve e aplica os padrões de confiabilidade CIP (Critical Infrastructure Protection) correspondentes ao Bulk Power System (BPS). Usuários, proprietários e operadores do BPS sob jurisdição do NERC atendem a mais de 334 milhões de pessoas nos EUA, Canadá e norte da Baja California, México, com sua eletricidade. A Diretriz de Segurança do NERC para o Setor Elétrico aborda os riscos que podem surgir durante as operações diárias “normais” e ajuda as empresas a mitigar esses riscos. Certas entidades sob jurisdição do NERC também precisam ter programas de treinamento e conscientização para promover o processo de mitigação.

Uma das principais preocupações das empresas do setor de serviços públicos é que informações confidenciais possam ser usadas para danificar instalações críticas, interromper operações ou prejudicar indivíduos se o acesso cair em mãos erradas. Essa preocupação se transformou em dura realidade em 7 de maio de 2021, quando um ataque cibernético à Colonial Pipeline forçou a empresa a fechar 5.500 milhas de oleoduto, provocando escassez generalizada de combustível e pânico na compra em todo o sudeste. Muitos presidentes dos EUA se esforçaram para alcançar a independência energética, o que, por sua vez, nos oferece maior resiliência no mercado global de petróleo. Mas nossa resiliência ainda é uma questão em termos de como nossos sistemas — tubulações e energia elétrica — operam sob estresse. A interrupção do oleoduto colonial não teve nada a ver com a turbulência no Oriente Médio ou com a produção inadequada de energia americana. No entanto, a compra em pânico rapidamente produziu escassez de gás e fez com que os preços na bomba subissem em questão de alguns dias.

Embora grupos criminosos representem uma ameaça para indústrias além do setor de energia, a energia é particularmente preocupante porque oleodutos e redes estão cada vez mais vulneráveis a ataques cibernéticos e condições climáticas extremas. Quando os furacões chegaram, as refinarias de petróleo no Golfo do México fecharam, o que faz com que os preços da gasolina e do diesel subam ao longo da costa leste. Normalmente, isso não é um grande problema porque as empresas armazenam muito combustível perto de onde ele é usado, e caminhões e barcaças geralmente podem fazer a diferença. Infelizmente, as incertezas em torno dos ataques cibernéticos tornam esses tipos de riscos muito mais complexos de gerenciar.

À medida que a quantidade de dados confidenciais acessíveis pela Internet continua aumentando, é crucial ter processos implementados para identificar, classificar, rotular, proteger e compartilhar adequadamente as informações confidenciais para proteger tanto as empresas de serviços públicos quanto os consumidores. É aqui que os sistemas de gerenciamento de mudanças têm o poder de fornecer uma ótima assistência. O ChangeGear Change Manager, por exemplo, ajuda a alinhar os fornecedores de serviços públicos com as diretrizes de segurança para conformidade com o NERC CIP ao:

• Identificação rápida e eficiente de onde existem dados confidenciais relacionados à “produção, processamento, armazenamento, transmissão, descarte” e divulgação permitida de informações
• Criação de perfis onde existem os maiores riscos com base em fatores-chave, como o número de pessoas com acesso aos dados e o tipo de acesso que elas têm
• Classificar as informações de acordo com as categorias públicas, corporativas e restritas sugeridas pela Diretriz por meio da correção dos dados

Embora os sistemas de gerenciamento de mudanças não consigam resolver todos os problemas que os criminosos criam, a integração do ChangeGear com a Tripwire é capaz de atender a um conjunto particularmente difícil de requisitos que até mesmo os grandes fornecedores de prevenção de perda de dados (DLP) não conseguem cumprir: alertar antecipadamente sobre alterações não autorizadas. O Tripwire permite que solicitantes autorizados enviem elementos de alteração na lista branca, enquanto solicitantes e/ou elementos não autorizados são interrompidos e acionam imediatamente a geração de um relatório de condição. O CMDB também mantém um mapeamento dos recursos de TI para os processos de negócios. As informações mapeadas podem ser usadas por mecanismos de análise de conformidade e geração de relatórios para correlacionar automaticamente os eventos aos processos de negócios. Isso permite o rastreamento e a geração de relatórios do processo geral de negócios, vinculando automaticamente vários processos de TI envolvidos na mudança.

Procedimentos e documentação rígidos de gerenciamento de configuração são enfatizados pelo NERC-CIP 010 para garantir que as alterações nas linhas de base do sistema sejam detectadas, investigadas e relatadas adequadamente. Com detecção de alterações de configuração em tempo real, alertas e relatórios abrangentes, o ChangeGear oferece a capacidade de não apenas atender, mas exceder os requisitos de gerenciamento de alterações de configuração do NERC CIP-010-2. Com a integração com o Tripwire, alterações em arquivos ou configurações críticas podem ser controladas e/ou evitadas de forma eficaz, fornecendo assim o máximo em segurança do sistema.

Com o módulo de gerenciamento de serviços totalmente integrado da ChangeGear, as mudanças na linha de base podem ser planejadas, permitindo que outros desvios da linha de base sejam rapidamente descobertos. Isso permite uma resposta rápida às alterações de configuração que não são intencionais e potencialmente maliciosas. O ChangeGear Service Manager também garante a conformidade com a CIP-010-2 Parte 1.2, que exige que as concessionárias “autorizem e documentem alterações que se desviam da configuração básica existente”, oferecendo aos usuários a capacidade de controlar exatamente quais mudanças são promovidas e permitir que essas alterações sejam documentadas diretamente na solução.

Assistência médica — suporte à conformidade com a HIPAA

Médicos e hospitais devem cumprir a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) de 1996, que é um grupo de regulamentações que garantem que as contas e registros médicos dos pacientes sejam tratados “adequadamente”. Antes de 1996, não havia um conjunto geralmente aceito de padrões de segurança ou requisitos gerais para proteger as informações dos pacientes no setor de saúde. À medida que as novas tecnologias começaram a evoluir, o setor de saúde começou a se afastar dos processos em papel e passou a confiar mais no uso de sistemas eletrônicos de informação para pagar reclamações, responder perguntas de elegibilidade, fornecer informações médicas e realizar muitas outras funções, incluindo a telemedicina como a conhecemos hoje.

Hospitais e outros profissionais de saúde devem demonstrar que tomaram medidas para cumprir as regras de privacidade do paciente, como fornecer segurança e criptografia adequadas ao servidor. A HIPAA descreve os mandatos de privacidade e segurança de dados projetados para proteger as informações médicas dos pacientes. A regra de notificação de violação da HIPAA exige que as organizações compatíveis e seus parceiros comerciais notifiquem os pacientes sempre que ocorrer uma violação de dados. Além dos prestadores de serviços de saúde, os provedores de serviços em nuvem (CSPs) e outros parceiros comerciais de organizações de saúde também devem cumprir as regras de privacidade, segurança e notificação de violações da HIPAA.

O ChangeGear Service Manager oferece à sua equipe de saúde e aos usuários acesso aos dados e serviços de que precisam por meio de portais de autoatendimento totalmente personalizados, acessíveis de qualquer dispositivo e projetados com conveniência, flexibilidade e segurança incorporada em conformidade com a HIPAA. Sua equipe pode criar uma experiência de usuário perfeita usando o construtor de arrastar e soltar, com pouco código/sem código do ChangeGear para criar portais e fluxos de trabalho personalizados em apenas alguns minutos. Com recursos multilíngues integrados, profissionais de saúde e pacientes se sentem mais confortáveis sabendo que podem se comunicar em mais de 100 idiomas diferentes. Os pacientes podem resolver seus problemas e encontrar respostas sozinhos ou interagir com um chatbot por meio de uma conversa natural para obter uma ajudinha extra sempre que precisarem.

A HIPAA também exige provas documentadas relativas às proteções físicas em torno de uma estação de trabalho específica ou de uma classe de estações de trabalho que podem acessar informações eletrônicas de saúde protegidas. Então, o que acontece quando uma enfermeira deixa um paciente sozinho em uma sala de exames? Ela sempre tranca o computador antes de sair da sala? Ele é bloqueado automaticamente após um curto período de tempo? Existe um fluxo de trabalho que rastreia quem acessou quais arquivos e quando? O ChangeGear Service Manager protege a confidencialidade, integridade e disponibilidade dos dados, incluindo informações relacionadas à HIPAA.

Finanças — use o gerenciamento de ativos para melhorar a conformidade com a SOX

A Lei Sarbanes-Oxley de 2002 é uma lei aprovada pelo Congresso dos EUA para ajudar a proteger os investidores de relatórios financeiros fraudulentos de empresas. Também conhecida como “Lei SOX” e “Lei de Responsabilidade Corporativa”, ela exige reformas rígidas nas regulamentações de valores mobiliários existentes e impõe penalidades severas às empresas que não cumprem. A SOX foi criada em resposta aos escândalos financeiros do início dos anos 2000 envolvendo empresas de capital aberto como Enron, Tyco, WorldCom e outras. Esses casos de fraude de alto perfil abalaram a confiança dos investidores na confiabilidade das demonstrações financeiras corporativas e levaram muitas pessoas a exigir uma revisão de padrões regulatórios desatualizados.

Embora os CEOs e CFOs desempenhem o papel principal na conformidade com a Sarbanes-Oxley, os CIOs desempenham um papel igualmente importante na aprovação das demonstrações financeiras. Os CIOs não são apenas responsáveis por garantir a segurança e a confiabilidade dos sistemas que gerenciam e relatam os dados financeiros, mas também pela implementação e documentação dos controles internos de TI. Consequentemente, os departamentos de TI precisam ser administrados como qualquer outra empresa. A Sarbanes-Oxley criou um nível de transparência para a organização de TI que costumava estar oculto nos balanços e nas demonstrações de lucros e perdas.

A seção 404 da Lei Sarbanes-Oxley exige que o fluxo de dinheiro seja documentado e prontamente disponível para demonstrar quais despesas estão relacionadas aos investimentos em TI e aos custos operacionais. Isso significa que a TI precisa relatar os custos associados a seus projetos, recursos e despesas de capital. À medida que os gastos aumentam, a TI se torna uma área de foco maior para os investidores. Quando uma solicitação de alteração é aceita, pode ser difícil identificar se o Item de Configuração (CI) está no escopo dos requisitos da Sarbanes-Oxley ou não. Se a organização tiver um CMDB e cada CI tiver um campo de atributo que sinaliza se o CI está no escopo da Sarbanes-Oxley, o processo de mudança poderá ser simplificado. Você pode ter fluxos de trabalho diferentes para CIs relacionados a regulamentações como a Sarbanes-Oxley, que têm requisitos de processo de mudança mais rigorosos.

Para minimizar o risco de não conformidade, os executivos corporativos devem colaborar para garantir que todos os departamentos entendam os requisitos de conformidade e estejam adequadamente preparados para lidar com as auditorias. O software de gerenciamento de ativos pode ajudar a reduzir o risco de não conformidade. Ao implantar algumas das melhores práticas de gerenciamento de ativos de TI (ITAM), você pode eliminar pelo menos algumas das bandeiras vermelhas que os auditores normalmente procuram. Um sistema ITAM robusto, como o ChangeGear Asset Manager, se concentra na compra, implantação, gerenciamento, otimização e retirada de ativos e recursos de software de forma eficaz. O ChangeGear também ajuda na administração, governança e reconciliação dos recursos de TI usados em toda a organização.

A conformidade do processo é responsabilidade de todos

Independentemente do setor, a equipe de conformidade é responsável por garantir que os processos e procedimentos da sua empresa sejam projetados para cumprir as políticas internas, as leis e os regulamentos aplicáveis e garantir que esses processos e procedimentos sejam seguidos. Infelizmente, sempre há alguém que se opõe às melhorias de processos, prevê falhas ou simplesmente não entende como eles (e a empresa) podem se beneficiar de seguir processos novos ou existentes. Para essas pessoas, os processos geralmente são vistos como obstáculos para realizar seu trabalho ou uma cortina de fumaça para esconder problemas ou fraquezas operacionais. A percepção de que os processos são obstáculos ou cortinas de fumaça é quase sempre infundada, mas muitos líderes de negócios não conseguem medir e transmitir a eficácia de seus processos e os resultados alcançados.