Desenvolvimento Integrado de Estratégias Concertadas de Governação, Risco e Conformidade
Perante as exigências cada vez mais transversais de aplicação de modelos de controlo interno, gestão do risco corporativo e de demonstração de conformidade face a requisitos legais e referenciais de negócio, várias são as áreas de uma organização (sistemas de informação, auditoria interna, apoio jurídico, administração) que necessitam de convergir para o desenvolvimento integrado de estratégias concertadas de Governação, Risco e Conformidade (GRC).
Perante esta necessidade do mercado, a Sinfic ? através da sua unidade estratégica de negócio Segurança da Informação ? estabeleceu em finais de 2007 uma parceria com a Módulo, empresa que desenvolveu a solução Risk Manager. Depois da Sinfic ter comprovado que o Risk Manager respondia na totalidade às suas necessidades, inclusive superando-as em áreas complementares à segurança da informação (como é o caso da gestão de continuidade de negócio), e tendo a Módulo verificado a qualidade, robustez e competências das equipas da Sinfic, esta tornou-se o primeiro Security Provider europeu da Módulo para os mercados onde actua (Portugal, Angola e Moçambique).
O RiskManager encaixou-se de sobremaneira nas habituais actividades de auditoria de segurança da informação da unidade estratégica de negócio Segurança da Informação (UEN-SdI) da Sinfic, uma das quase duas dezenas de unidades que compõem a organização. Cumulativamente, a utilização do RiskManager demonstrou ser extremamente válida também para os serviços de consultoria e auxílio à certificação 27001, que a UEN-SdI desenvolve desde Janeiro de 2004, uma vez que permite o acompanhamento do nível de conformidade das organizações face aos referenciais ISO 27001:2005 e ISO 27002:2007.
De igual modo, em virtude do RiskManager permitir ainda a verificação de conformidade com outros referenciais (por exemplo, o Cobit, COSO, ITIL, ISO 15335, ISO 15408, BS 25999, NIST e PCI) e com boas práticas do mercado associadas a centros de processamento de dados, edifícios, escritórios, técnicos de TI (tecnologias de informação), oficiais de segurança e utilizadores de SI/TI, entre outros), permitiu incorporar mais rapidamente valiosos conhecimentos que a Sinfic desejava aprofundar, aumentando substancialmente o âmbito de actuação dos seus serviços e diferenciando-a exponencialmente da concorrência.
Cumulativamente, a extrema facilidade de adaptação da ferramenta Risk Manager às necessidades dos clientes, permitiu desenvolver modelos únicos para análise da conformidade com procedimentos e controlos internos existentes face a, por exemplo, processos de ?abertura de contas?, ?fornecimento de cheques? e ?gestão de meios materiais? bem como, imagine-se, conformidade com as boas práticas do modelo de referência GLOBAL G.A.P. (www.globalgap.org) em matéria de gestão de ?gado e ovelhas?.
A gestão do risco, na sua vertente global, encontra-se na agenda dos decisores a nível mundial, não escapando Portugal a essa regra. Seja por decisão do negócio, face à obrigatoriedade de conformidade com o SOX, Basileia II, ou Solvência II, por exemplo, seja por iniciativas internas de diversas áreas, por necessidade de controlo, indicadores de gestão e conforto, a gestão de riscos de TI é uma realidade e uma preocupação com a qual os responsáveis dos sistemas de informação das organizações se deparam cada vez mais.
Esta é uma área especial em que a Módulo e a Sinfic têm vindo a desenvolver projectos com os clientes, a fim de auxiliar estes profissionais de TI a implementar os necessários mecanismos de forma eficaz, sustentada e com resultados visíveis a curto/médio prazo, dependendo da complexidade e maturidade do cenário existente. O RiskManager, na sua vertente GRC (gestão de riscos e conformidade) é um auxiliar ímpar no desenvolvimento deste tipo de projectos.
O RiskManager obteve o prémio Microsoft de ?Excellence in Security Management?, esteve presente no simpósio da Gartner ITxpo2007, e foi finalista nas categorias de Gestão de Riscos e Solução para auditoria para o prémio da Security Products Guide Global.
Produzido em 2008