6 razões para aumentar seu orçamento de conformidade em 2021

Views: 956
0 0
Read Time:13 Minute, 22 Second

Em uma economia em recessão como a que estamos vivendo hoje, faz sentido para os CFOs puxar as cordas da bolsa apertado, segurar os gastos, ou cortar orçamentos imediatamente. Mas isso não significa que todos os departamentos devem simplesmente tentar fazer mais com menos.

Gestão de riscos e compliance são capacidades críticas de negócios que merecem atenção e recursos adequados no clima atual. Uma organização com recursos fracos de gerenciamento de riscos e conformidade convida riscos e problemas regulatórios, mas um forte programa de conformidade pode ajudar uma empresa a prosperar.

Neste artigo, explicaremos por que sua organização deve aumentar seu orçamento de gestão de riscos e conformidade em 2021.

1. Os reguladores querem ver que os programas de conformidade possuem “recursos adequados para o perfil de risco da empresa”

Quando uma violação de conformidade é descoberta pelos reguladores, a primeira coisa que eles procuram é se a empresa tem um programa de conformidade bem documentado, atual e eficaz. As diretrizes da sentença federal dos EUA afirmam que, quando uma corporação foi condenada por um crime, os dois fatores que mitigam a punição final da organização são: “(1) a existência de um programa de conformidade e ética eficaz; e (2) auto-relato, cooperação ou aceitação da responsabilidade. “

Em junho de 2020, o Departamento de Justiça publicou uma rodada de novas revisões para sua orientação “Avaliação de Programas de Conformidade Corporativa“. A atualização descreve e esclarece quais novos itens os procuradores podem considerar nas áreas de gestão de riscos, políticas e procedimentos, treinamentos e comunicações, fusões e aquisições e muito mais na avaliação de programas de compliance corporativo.

Novas linguagens foram adicionadas para refletir como a Divisão Criminal avalia o perfil de risco de uma empresa; afirma que os promotores farão uma determinação “razoável e individualizada em cada caso que considere vários fatores, incluindo, mas não se limitando a, o tamanho da empresa, indústria, pegada geográfica, cenário regulatório e outros fatores, tanto internos quanto externos às operações da empresa, que podem impactar seu programa de compliance.”

A linguagem revisada orienta os promotores a perguntar às empresas se seu programa de conformidade é “adequadamente recursos e habilitados para funcionar efetivamente“.

Lendo entre as linhas, isso significa que os reguladores querem ver que você tem pessoas suficientes com as habilidades certas para executar seu programa de conformidade, um conjunto suficiente de ferramentas para operar e manter seu programa de conformidade e recursos suficientes dedicados a fazer melhorias contínuas ao seu programa — tudo em linha com seu perfil de risco.

2. Os reguladores colocaram as empresas em alerta para criar programas de gerenciamento de riscos de terceiros (TPRM)

Neste momento, os reguladores concluíram que as organizações não podem manter um programa de conformidade eficaz, a menos que estejam fazendo diligências suficientes e monitoramento contínuo dos terceiros com quem trabalham.

A orientação atualizada do DOJ de “Avaliação de Programas de Compliance Corporativo” divulgada em junho de 2020 menciona terceiros 33 vezes. Específica para terceiros, a orientação atualizada do DOJ diz aos promotores para considerarem “se a empresa sabe… os riscos representados por parceiros de terceiros.” Outra pergunta relacionada à TPRM adicionada à nova orientação diz respeito ao monitoramento contínuo: “A empresa se envolve na gestão de riscos de terceiros ao longo da vida útil do relacionamento, ou principalmente durante o processo de onboarding?”

Se você não tem prestado muita atenção aos seus terceiros até o momento, o DOJ deixou claro que prestar atenção não é opcional.

Faz sentido que o DOJ tenha colocado orientações atualizadas sobre essa área em particular, à medida que as organizações estão desenvolvendo e mantendo cada vez mais relacionamentos de terceiros a cada ano. Uma grande organização pode trabalhar com mais de 10.000 terceiros em um determinado ano, de acordo com uma nova pesquisa da Compliance Week e da Aravo. No entanto, a maioria das organizações não leva riscos de terceiros tão a sério.

A mesma pesquisa também constatou que 83% das organizações não estão realizando monitoramento contínuo ou due diligence em todos os seus terceiros. Enquanto isso, 33% dos entrevistados disseram que seus programas de TPRM não são adequadamente recursos e 27% disseram não ter uma equipe dedicada à TPRM.

Se você está entre os 33% sem um programa TPRM com recursos adequados, seu programa de conformidade está fora de sintonia com a orientação do DOJ.

E se entrar em problemas regulatórios não é preocupante o suficiente, você deve saber que terceiros são muitas vezes a causa principal de incidentes disruptivos que comprometem a reputação de uma empresa. Em uma pesquisa global de 2016 com 170 empresas conduzida pela Deloitte, 87% dos entrevistados disseram que enfrentaram um incidente disruptivo com terceiros nos últimos 2-3 anos. Dos que sofreram um incidente de terceiros, 26,2% sofreram danos à reputação, 23% violaram os requisitos regulatórios e 20,6% sofreram uma violação de dados confidenciais.

Manter-se em conformidade com o GDPR e a CCPA requer supervisão de terceiros

Seguindo em frente, prevemos que organizações com programas de conformidade frouxos enfrentarão maior risco de sofrer infrações regulatórias e danos à reputação.

Porque? Porque as novas leis de privacidade, como o GDPR e a CCPA, responsabilizam as empresas pela privacidade e segurança de seus terceiros. Essas leis concedem aos consumidores um direito privado limitado de ação contra acesso e exfiltração não autorizados, roubo ou divulgação de certos tipos de informações pessoais, incluindo o direito de buscar danos legais.

Embora o CCPA tenha entrado em vigor em janeiro de 2020, foram abertos processos judiciais já em fevereiro contra empresas que supostamente perderam informações pessoais dos consumidores, embora essas informações pessoais tenham sido hospedadas por um aplicativo de terceiros.

Em 3 de fevereiro, Bernadette Barnes, uma residente da Califórnia que fez compras na Hanna Andersson (uma loja de roupas infantis) e seu advogado usaram o CCPA como base legal para apresentar uma queixa coletiva ao Tribunal Distrital dos EUA contra Hanna Anderson, LLC. e Salesforce.com. Eles registraram a queixa depois que Barnes soube que os hackers tinham raspado nomes de clientes, números de cartões de pagamento e outras informações pessoais da plataforma de comércio eletrônico de Hanna Anderson. A denúncia alega que os dados hackeados, que foram encontrados à venda na dark web, foram hospedados pela Salesforce em sua plataforma de e-commerce. Também alega que a plataforma de comércio eletrônico foi infectada com malware, o que levou à violação de dados.

3. Governos e empresas esperam que os fornecedores demonstrem maturidade de cibersegurança com auditorias e certificações independentes

Sua organização planeja entrar em novos mercados ou verticais no próximo ano? Se assim for, você pode não ter escolha a não ser investir mais em cibersegurança, atestados de terceiros e programas de certificação de conformidade. Isso é especialmente verdade se você quiser conduzir negócios com o governo dos EUA.

No outono de 2020, o Departamento de Defesa (DOD) lançou seu novo programa de Certificação de Modelo de Maturidade de Cibersegurança (CMMC),um programa que exige que as empresas demonstrem a prática de nível CMMCe a eficácia do processo, governança e maturidade de segurança cibernética com auditorias independentes e certificação como requisito de “pré-qualificação” antes da concessão do contrato. É provável que crie um efeito cascata e se torne um padrão de segurança cibernética amplamente adotado para todos os futuros negócios comerciais e governamentais dos EUA.

O DoD já havia permitido que seus fornecedores e empreiteiros auto-atestassem que estavam mantendo um programa de segurança cibernética que protege informações não classificadas controladas e informações de contratos federais. Mas o DoD viu que muitas organizações não fizeram os investimentos necessários para proteção de informações, não têm as habilidades ou maturidade necessárias para a segurança cibernética e não se percebem como alvos prováveis.

A resposta do DOD destinada a reduzir a exfiltração de Informações Não Classificadas Controladas(CUI) e a exfiltração de Informações de Contratos Federais(FCI)é aumentar os requisitos de segurança cibernética, penalidades não compatíveis e a aplicação da cadeia de suprimentos para os contratantes de defesa, incluindo muitos na indústria aeroespacial. O ápice disso é o CMMC, um novo requisito para todos os contratos do DOD a partir do outono de 2020.

“O CMMC é um elemento-chave da estratégia global do DOD para facilitar uma mudança cultural em todo o setor com impactos significativos e de longo alcance, entre eles as penalidades elevadas por não conformidade — incluindo a perda de negócios atuais e futuros doD, responsabilidade pessoal e corporativa e impacto negativo da marca corporativa”, diz Jerry Fleishman, vice-presidente de assessoria de negócios regulatórios do GRUPO CORTAC.

4. Atrasar o investimento no curto prazo pode elevar os custos totais de conformidade no longo prazo

Se sua organização depende de processos manuais e ferramentas adhoc (por exemplo, Excel, sistemas de armazenamento de arquivos, sistemas de gerenciamento de projetos, e-mail) para obter o trabalho de conformidade feito hoje, e você precisa atender a requisitos regulatórios adicionais no próximo ano, fazer um investimento inicial em ferramentas de suporte é a escolha inteligente. Caso contrário, os custos totais que você incorrerá nos próximos anos, a fim de cumprir suas obrigações de conformidade provavelmente acabarão sendo maiores do que você havia projetado.

Por que esse poderia ser o caso?

Primeiro, usar planilhas para executar seu programa de conformidade simplesmente não é dimensionada. Se sua organização precisa passar por várias auditorias relacionadas à segurança cibernética a cada ano e a equipe de conformidade acompanhar os requisitos, controles e seus to-dos’ no Excel, o risco de cometer erros e perder questões importantes é bastante alto.

Em segundo lugar, dado que diferentes padrões de segurança cibernética (por exemplo, HIPAANIST SP 800-53PCI DSSSOC 2, CMMC) têm algum grau de sobreposição, você pode economizar tempo e esforço se você cruzar os controles primeiro e ter tempo para ver quanto do seu programa existente pode ser aproveitado para cumprir um novo padrão de conformidade. No entanto, é extremamente difícil cruzar controles entre diferentes frameworks de cibersegurança no Excel — portanto, o exercício de faixa de pedestres normalmente não é feito.

Se sua equipe de conformidade não tiver visibilidade sobre os requisitos sobrepostos em diferentes frameworks de segurança/conformidade, eles repetirão o mesmo trabalho várias vezes (por exemplo, coletando evidências que satisfariam um controle para PCI, ISO 27001e SOC 2 três vezes separadas). Os proprietários de controle acabam testando o mesmo controle várias vezes (para várias avaliações) porque não percebem que um controle específico é comum em vários padrões de segurança.

Um relatório de 2020 da Coalfire e da Omdia constatou que, para a maioria das organizações, as obrigações crescentes de conformidade estão agora consumindo 40% ou mais dos orçamentos de segurança de TI e ameaçam se tornar um custo insustentável. Isso se deve principalmente ao fato de que as organizações têm cada vez mais estruturas de conformidade que precisam aderir, e estão duplicando o esforço de estrutura em quadro.

Essas ineficiências na gestão de compliance têm um efeito insidioso. As equipes de segurança e conformidade têm uma quantidade finita de tempo e recursos para alcançar seus objetivos. Quanto mais tempo as equipes de segurança e conformidade têm de gastar mais tempo em tarefas administrativas e repetitivas apenas para cumprir suas obrigações de conformidade existentes, menos tempo eles têm para todas as outras tarefas importantes, como:

  • Investigando alarmes de segurança
  • Testando controles em áreas de alto risco
  • Implementação de novas ferramentas para identificar melhor ameaças e priorizar seu trabalho
  • Treinar funcionários para serem mais conscientes da segurança
  • Conversar com unidades de negócios para entender o que está mudando no negócio e como essas mudanças podem criar novos riscos ou amplificar ameaças existentes
  • Atualização de políticas de segurança e procedimentos operacionais em resposta a essas mudanças.

Quando você implanta software de operação de conformidade para minimizar o tempo gasto em atividades manuais e repetitivas e criar fluxos de trabalho simplificados, as equipes de conformidade e segurança são capazes de obter o tempo de volta para se concentrar em fazer melhorias no seu programa de gerenciamento de riscos.

Por último, mas não menos importante, investir em tecnologia de compliance agora pode salvá-lo de um custo muito maior no futuro: Perder conhecimento valioso quando um membro-chave da sua equipe de compliance deixa a empresa.

Agora que todos nós nos adaptamos a uma nova realidade de trabalho remoto devido à pandemia, os empregadores começaram a ampliar suas buscas de candidatos para considerar candidatos remotos que não teriam considerado apenas um ano atrás. Isso significa que profissionais qualificados têm mais oportunidades do que nunca para saltar de navio. Neste momento, temos que estar preparados para ver alguma atribuição em equipes de compliance e segurança cibernética.

Se um membro-chave de sua equipe de conformidade desistisse, e os registros de conformidade corporativa e atividades relacionadas à auditoria não fossem bem rastreados ou documentados em um formato acessível, sua saída poderia deixá-lo com dores de cabeça e despesas inesperadas.

5. A conformidade pode criar uma vantagem competitiva

Se você está operando em um mercado lotado e quer ganhar uma vantagem sobre a concorrência, executar um programa eficaz de gerenciamento de riscos e conformidade pode lhe dar essa vantagem.

Quando você usa uma estrutura de gerenciamento de riscos para orientar suas atividades de cibersegurança e conformidade, monitorar continuamente seu ambiente e fazer melhorias à medida que você vai, você está construindo uma organização mais segura e resiliente. Você pode evitar os incidentes disruptivos que outros experimentaram e usar seu programa de conformidade como ponto de venda.

Pesquisas sugerem que as empresas que incorporam a gestão de riscos em sua estratégia de negócios veem melhor crescimento e maiores margens de lucro, ao mesmo tempo em que melhoram sua capacidade de proporcionar uma melhor experiência ao cliente. Um relatório da PwC US que entrevistou mais de 1.200 executivos seniores e membros do conselho revelou que 55% das empresas que adotaram a gestão de riscos registraram aumento das margens de lucro; 41% alcançaram margens de lucro anuais de +10%.

Na verdade, 87% dos líderes de risco disseram que estão investindo na melhoria dos programas de resiliência de sua organização.

6. CEOs podem enfrentar pena de prisão por ataques de IoT até 2024

Ataques cibernéticos podem causar mais danos do que simplesmente causar a perda de IP das empresas, segredos comerciais e informações confidenciais do cliente ou paralisações de serviços. Eles também podem levar a mortes humanas. Nesses casos, os líderes não serão capazes de alegar ignorância ou se esconder atrás de apólices de seguro.

A Gartner, empresa de analistas, previu que até 75% dos líderes empresariais poderiam ser responsabilizados até 2024 devido ao aumento das regulamentações em torno dos chamados “sistemas cibernéticos físicos” (CPSs), como IoT e tecnologia operacional (OT).

O Gartner define os CPSs como “projetados para orquestrar sensoriamento, computação, controle, rede e análises para interagir com o mundo físico, incluindo os humanos”. Por exemplo, um dispositivo médico pode ser sequestrado para evitar que medicamentos que salvam vidas sejam dispensados, ou um carro conectado pode ser remotamente direcionado para acidente.

O Gartner afirmou que o impacto financeiro desses ataques aos CPSs que resultam em mortes pode chegar a US$ 50 bilhões até 2023.

“Reguladores e governos reagirão prontamente a um aumento de incidentes graves resultantes da falha em proteger os CPS, aumentando drasticamente as regras e regulamentos que os regem”, disse Katell Thielemann, vice-presidente de pesquisa do Gartner.

“Nos EUA, o FBI, a NSA e a Agência de Segurança Cibernética e Segurança de Infraestrutura (CISA) já aumentaram a frequência e os detalhes fornecidos em torno de ameaças a sistemas críticos relacionados à infraestrutura, a maioria dos quais pertencem à indústria privada. Em breve, os CEOs não poderão alegar ignorância ou recuar por trás das apólices de seguro.”

Como tal, os líderes devem tomar conhecimento da escala de investimento do CPS em suas organizações, entender os riscos que os CPSs representam e alocar o orçamento adequadamente para garantir esses sistemas.

FONTE: SECURITY BOULEVARD

POSTS RELACIONADOS