Uma abordagem da COBIT à conformidade e eliminação defensável 

 
Download Article

O plano de governança de TI bem-sucedido exige uma abordagem moderna e transparente para a retenção e descarte de dados de rotina. Os diretores de informática (CIOs) atuais enfrentam uma série de desafios sem precedentes:

  • Big data: O volume de informações que a TI coleta e gerencia continua aumentando, testando os processos e ferramentas usadas para coletar, analisar, armazenar, processar e arquivar dados.
  • Globalização: Atualmente, é impossível encontrar uma grande empresa operando em apenas uma região do mundo. Milhares de quilômetros podem separar a sede de uma organização dos departamentos de pesquisa, desenvolvimento e produção, enquanto os clientes, parceiros, fornecedores e escritórios- satélite podem estar localizados no mundo todo. Como resultado, a TI deve suportar informações armazenadas em vários locais em uma infraestrutura diversa de redes, servidores, desktops, laptops e dispositivos móveis.
  • Regulamentos complexos e em evolução: Mais de 100.000 leis e regulamentos internacionais são possivelmente relevantes segundo informações coletadas pela Forbes Global em 1000 empresas. Essas informações englobam registros financeiros, dados de marketing, e-mails, textos, posts de redes sociais, tweets, registros telefônicos, dados de log e muito mais. Ainda mais desafiador, muitos desses regulamentos, incluindo requisitos de divulgação de informações financeiras e padrões para retenção de dados e privacidade, estão em constante evolução e muitas vezes variam e se contradizem através de fronteiras e jurisdições.
  • Orçamentos limitados: Além de todos estes desafios - e as consequências desastrosas de não conseguir gerenciar todos os dados e cumprir os regulamentos em escala global - a TI está constantemente sob pressão para reduzir os gastos.

A TI pode superar todos esses desafios com um programa abrangente de governança de informações de consciência global que reduza os volumes de informação, centralize o gerenciamento de dados em todas as jurisdições e garanta o cumprimento regulamentar - tudo isso enquanto reduz os gastos. Muitos CIOs já usam a estrutura da COBIT para suportar objetivos de negócios, reduzir os riscos corporativos e otimizar a utilização de recursos. Mesmo assim, em se tratando de práticas de governança da informação relacionadas a questões regulamentares, conformidade legal, retenção de registros e políticas de eliminação, os princípios da COBIT não estão sendo aproveitados de maneira tão ampla e eficaz quanto possível. No entanto, a COBIT pode ser a solução para um programa de governança bem-sucedido.

Dados Corporativos Sem Valor

Uma falta de percepção sobre quais informações devem ser mantidas fez com que muitas empresas acumulassem montanhas de detritos gerados eletronicamente na forma de aplicações, servidores, fitas de armazenamento e backup em excesso que não têm mais utilidade.

Uma pesquisa recente com CIOs de empresas e conselhos gerais realizada em uma cúpula do Conselho de conformidade, governança e supervisão (CGOC)1 descobriu que geralmente 1% das informações corporativas está em retenção de litígio, apenas 5% estão em uma categoria de retenção de registros e apenas 25% têm algum valor comercial atual.2 Isso significa que aproximadamente 69% de todos os dados coletados e mantidos pela maioria das empresas não têm valor comercial, legal ou regulamentar.

Uma etapa fundamental para criar um programa bem-sucedido de governança de informações é desenvolver a habilidade de identificar e proteger qualquer informação que tenha valor comercial, legal ou regulamentar para suportar a eliminação legalmente defensável de todo o resto. A eliminação defensável eficiente - a capacidade de eliminar informações que não têm valor regulamentar, legal ou comercial regularmente e de forma automática - pode causar um impacto surpreendente sobre a economia da informação. Menor orçamento de TI gasto com armazenamento, servidores e backup significa que podem ser feitos mais investimentos estratégicos. Menos informações para filtrar significa que a resposta legal e regulamentar pode ser tratada de maneira simplificada e eficiente, ao mesmo tempo em que minimiza os riscos associados à manutenção de muitos ou poucos dados, incluindo a retenção de informações que os regulamentos de privacidade em evolução exigem que sejam eliminadas e oferecendo o desnecessário conselho de oposição com acesso à descoberta a mais amplo do que o necessário. O gerenciamento de menos informações desnecessárias permite que as empresas direcionem mais lucro aos acionistas.

Historicamente, os planos de retenção incluíam apenas registros - de papel ou eletrônicos - diferentes do restante das informações da organização. Para alcançar a eliminação defensável, as partes interessadas de TI devem trabalhar em estreita colaboração e de forma transparente com o gerenciamento de registros e informações (RIM), unidades jurídicas e de negócios, para criar programações de retenção executáveis e modernas, que vão além do escopo de definir períodos de retenção. O que é considerado um “registro” deve incluir todas as informações da organização e incorporar critérios de retenção relacionados a retenções legais e com valor comercial.

Programações de Retenção em um Mundo Digitalizado

Uma programação de retenção oferece a base legal para o gerenciamento de registros e departamentos jurídicos, para organizar registros e informações corporativas, para depois especificar o período de tempo que esses registros devem ser mantidos para conformidade e necessidades do negócio. O problema é que as programações de retenção usadas atualmente por muitas empresas foram elaboradas quando os registros em papel eram o padrão. Portanto, elas simplesmente não funcionam nas empresas atuais, pois uma grande quantidade de informações que precisam ser armazenadas ou excluídas é gerada eletronicamente e inclui informações que não foram definidas historicamente como registros, por exemplo, posts e tweets de redes sociais. Isso cria uma desconexão crítica, pois as informações agora estão sob domínio da TI e as obrigações de conformidade da empresa deverão estar vinculadas a milhares de aplicações, bancos de dados e outros repositórios gerenciados pela TI.

Por sua vez, os profissionais da área jurídica e de RIM possuem conhecimentos para definir programações de retenção e políticas de eliminação de acordo com leis e regulamentos importantes, mas os mesmos podem não ter uma visão holística da infraestrutura de TI ou qualquer compreensão do valor comercial das informações existentes. Dados relevantes devem ser identificados e deve haver um mecanismo para eliminação de informações.

Esta desconexão é destacada na pesquisa do CGOC, que relatou isto:3

  • 77% dos entrevistados disseram que suas programações de retenção não eram acionáveis pela empresa e equipe de TI
  • 50% disseram que os departamentos de TI não usam a programação de retenção
  • 75% citaram a impossibilidade de eliminar dados de forma defensável como um de seus maiores desafios, e muitos destacaram volumes maciços de dados antigos como os maiores entraves financeiros na empresa e riscos de conformidade

O objetivo de criar uma programação de retenção moderna, transparente e executável é superar esses desafios, facilitando a identificação de informações sem valor e automatizando a eliminação de maneira legalmente defensável.

Criação de uma Melhor Programação de Retenção Com a COBIT

Visto que uma programação de retenção moderna e executável reconhece a natureza dinâmica dos dados eletrônicos e a responsabilidade compartilhada para o gerenciamento e eliminação de informações, os princípios da COBIT oferecem uma base sólida para a criação de uma programação.

A COBIT 5 é baseada nos cinco princípios fundamentais para a governança e gerenciamento da empresa de TI.

  1. Atender às necessidades das partes interessadas.
  2. Atender a empresa de ponta a ponta.
  3. Aplicar uma estrutura única e integrada.
  4. Permitir uma abordagem holística.
  5. Separar a governança do gerenciamento.

Todos esses princípios são diretamente aplicáveis à criação de uma programação de retenção moderna e executável, que suporta uma estrutura jurídica para a eliminação defensável de dados desnecessários e que leva em consideração as necessidades e funções das partes interessadas de RIM, negócios e TI por meio de:

  • Compreensão do fluxo de informações em toda a empresa - da criação à eliminação - e permissão de uma abordagem holística ao gerenciamento de informações
  • Reconhecimento da natureza multidimensional da retenção e eliminação de dados e suporte das interdependências e colaboração entre as principais partes interessadas para atender a todos os requisitos legais, regulamentares e empresariais.
  • Políticas e processos de governança integrados em prática para atender às diversas e variadas necessidades das partes interessadas, atingir a conformidade global e permitir atualizações regulares para ficar a par das alterações nas leis e na empresa
  • Um gerenciamento de informações mais eficiente e em conformidade com políticas e processos de governança transparentes e claramente definidos

Nesse tipo de ambiente, os usuários teriam o conhecimento e as ferramentas necessárias para classificar as informações, e a TI teria o apoio jurídico e de registros necessário para implementar uma programação de retenção viável e eliminação adequada de informações sem valor no momento correto.

A seguir estão os principais elementos que devem ser incorporados a uma programação de retenção para que a mesma seja funcional na moderna era da informação:

  1. Aplicar as programações de retenção a todas as informações, não apenas a registros. A programação de retenção deve refletir a convergência constante do gerenciamento de registros e de dados e deve ser aplicada a todos os dados sob domínio da organização. Classificar todas as informações - incluindo fontes de dados estruturadas e não estruturadas - como tendo valor legal, regulamentar ou comercial ou como detrito.
  2. Vincular obrigações de retenção legais, de privacidade e regulamentar específicas diretamente às informações relevantes. A programação de retenção deve ser suportada por uma estrutura global transparente, que define claramente como as obrigações legais e regulamentares se aplicam a todos os tipos de informações e usuário empresariais, incluindo o que é coberto, quem é obrigado a estar em conformidade e como a retenção e a eliminação são desencadeadas. Esta estrutura também deve incluir obrigações de privacidade em evolução. Soluções tecnológicas, como as que classificam e realizam análise de texto para agrupar dados, agora estão disponíveis para conectar automaticamente informações aos requisitos de retenção e eliminação, ao mesmo tempo em que aplica as diretivas legais, de privacidade e regulamentar mais atuais em todas as informações.
  3. Levar em consideração o valor comercial das informações. Este valor deve ser explicitamente determinado pelas partes interessadas do negócio e ser transparente para a RIM e TI. Novamente, as soluções tecnológicas atuais podem abordar essa preocupação de longa data dos gerentes de dados das empresas, ajudando os usuários a associar mais facilmente os tipos de informações (ex: ordens de compra ou contratos de funcionários) às fontes de dados específicas (ex: sistemas ECM e RH ou aplicações como o Microsoft SharePoint) e incluir detalhes sobre a razão pela qual a informação é de valor comercial e por quanto tempo.
  4. Identificar onde as informações estão localizadas.A programação de retenção deve incluir inventários de informações que descrevem onde a mesma é armazenada, que classes de registro são aplicadas a repositórios específicos, quem era e é responsável pelo conteúdo e quem o gerencia. Com o auxílio de um mapa de dados confiável, os administradores de dados podem identificar as informações mais facilmente e compreender o valor e as obrigações relacionadas à mesma de acordo com, por exemplo, as linhas de negócios ou departamentos.
  5. Informar as obrigações de retenção e eliminação em uma linguagem que as partes interessadas possam compreender. Isso envolve dois elementos. Em primeiro lugar, os usuários de dados devem saber o que lhes é exigido ao criar e identificar informações. Em segundo lugar, os administradores de dados devem compreender as responsabilidades relacionadas à eliminação de informações. Por exemplo, talvez para a equipe de TI, uma diretiva de eliminação que diz “Cumpra a classe de registro HUM100” não faça sentido. Uma tradução útil poderia ser: “Aplicações de trabalho criadas pelos usuários de recursos humanos (RH) e armazenadas no drive compartilhado de RH devem ser permanentemente excluídas após 10 anos do desligamento do funcionário.” A clareza incentiva a conformidade.
  6. Basear-se na flexibilidade para adaptar-se às leis, obrigações e limitações locais. Usuários corporativos em cada área e jurisdição funcional são os mais bem informados sobre o valor e finalidade das informações por eles criadas. A programação de retenção deve ser flexível para incorporar esse conhecimento local. Além disso, as soluções tecnológicas da programação de retenção podem ser usadas para catalogar todas as leis e regulamentações específicas em regiões e jurisdições aplicáveis, para que várias exceções e alterações possam ser incorporadas à programação de retenção e informadas às partes interessadas relevantes para garantir a conformidade em escala global.
  7. Incluir um mecanismo acionável que permite que o departamento jurídico e de TI colaborem na execução e encerramento de retenções legais. Nenhuma programação de retenção pode alcançar o objetivo da eliminação defensável sem uma clara compreensão de quais informações estão sujeitas à retenção legal e quando esta foi liberada. A compreensão da localização física das informações é essencial, especialmente para protocolos rigorosos, como a trituração de fitas de vídeo de unidades de disco rígido. Com vínculos claramente estabelecidos entre o valor das informações e os sistemas de TI, os departamentos jurídicos podem solicitar retenções legais de todo o mundo e identificar registros e informações relevantes com programações locais e registros individuais sinalizados e mantidos.
  8. Identificar e eliminar informações duplicadas.A confusão sobre o que exatamente deve ser mantido e por quanto tempo pode criar uma tendência de “guardar tudo, só para garantir.” Além de entrar em conflito com o número crescente de leis de privacidade (ex: Lei de portabilidade de seguro de saúde e responsabilidade dos EUA, Diretiva europeia sobre proteção de dados pessoais) que exigem a exclusão de certos tipos de informações após um determinado período de tempo, guardar tudo significa que dezenas ou até centenas de cópias do mesmo arquivo estão sendo armazenadas. Por meio de uma estrutura de governança e gerenciamento transparentes, as empresas podem estar confiantes de que armazenaram as informações necessárias e eliminaram todas as cópias desnecessárias.
  9. Atualizar-se em tempo real para acompanhar as mudanças nas leis de negócios e tecnologia. Com a constante evolução de requisitos globais legais, regulamentares e de privacidade, é essencial ficar à frente das mudanças e incorporar imediatamente novas exigências ao programa de retenção. As soluções tecnológicas podem atualizar automaticamente os sistemas e alertar os administradores de dados sobre as mudanças relevantes. Vários grandes fornecedores de banco de dados de pesquisa jurídica também oferecem ferramentas que permitem que os usuários acompanhem as modificações nas leis.
  10. Aplicar automaticamente programações de retenção e armazenamentos legais a fontes de dados que não são capazes de receber instruções de ferramentas de política automatizadas e orquestrar todos os processos de retenção e eliminação. Isso garante a eliminação consistente de dados desnecessários, permite que a equipe jurídica e a RIM validem solicitações de retenção e esforços de conformidade e permite que os líderes de governança da informação monitorem e aprimorem o programa de eliminação defensável.

Boa Governança em Todo Ciclo de Vida das Informações

Um crescimento de dados sem precedentes, operações comerciais globais, preocupações com gastos e um ambiente regulamentar complexo e constantemente em mudança criaram desafios de governança das informações assustadores para os CIOs. No entanto, a estrutura COBIT torna possível aplicar princípios de governança comprovados para superar esses desafios, administrando de forma eficiente e rentável o fluxo de informações corporativas por meio do ciclo de vida útil e eliminando automaticamente informações que não têm mais valor legal, regulamentar ou comercial. Ao colaborar com a equipe jurídica, RIM e partes interessadas, a TI também pode ajudar a criar uma programação de retenção moderna, transparente e executável, que pode garantir a conformidade, enquanto aumenta a agilidade dos negócios, reduzindo riscos e diminuindo os custos por meio da eliminação defensável de informações sem valor.

Notas Finais

1 O Conselho de conformidade, governança e supervisão (CGOC), fundado por Deidre Paknad, diretor de governança do ciclo de vida de informações da IBM Corporation, é um fórum com mais de 1.900 profissionais de gerenciamento de TI e informações de empresas e agências governamentais.
2 Conselho de conformidade, governança e supervisão (CGOC), “Relatório de avaliação de desempenho sobre governança da informação em 1.000 empresas globais,” www.cgoc.com/register/benchmark-survey-information-governance-fortune-1000-companies
3 Ibid.

Lorrie Luellig, J.D., da Ryley Carlock & Applewhite, é o membro fundador e líder da prática de Governança da informação (RCA-IG) PC, membro do corpo docente do Conselho de conformidade, governança e supervisão (CGOC) e líder do Modelo de referência de descoberta eletrônica (EDRM) Subgrupo de empresas IGRM e Grupo de trabalho CGOC RIM. Luellig presta consultoria para clientes globais da Fortune 100 para pequenas empresas privadas sediadas na Europa e nos EUA.

Jake Frazier, J.D., é especialista em governança do ciclo de vida das informações da IBM e é diretor executivo do CGOC. Frazier oferece assistência a departamentos jurídicos corporativos e escritórios de advocacia na identificação, avaliação e implementação de descoberta eletrônica interna e soluções de governança de informações.