Infoglobo garante a governança de TI como elemento estratégico
Solução da Módulo ajuda a integrar governança, gestão de riscos e conformidade na Infoglobo, gerar planos de ação e garantir o atendimento aos requisitos de conformidade do PCI DSS
Sediada no Rio de Janeiro, a Infoglobo, empresa do segmento de comunicação e mídia das organizações Globo, entende que é fundamental observar as normas e os padrões internacionais de Segurança da Informação, Gestão de Riscos e Governança de TI, tendo como um dos principais exemplos o Payment Card Industry Data Security Standard (PCI DSS), padrão aberto que regulamenta a segurança de dados na indústria de cartão de crédito, além da legislação brasileira à qual a Infoglobo também está subordinada. Para atender a esse cenário complexo, a Infoglobo contratou a Módulo, empresa pioneira e especializada nesse serviço, para implantar um projeto de governança em TI, integrada à gestão de riscos e conformidade, com base no modelo de trabalho do Control Objectives for Information and Related Technology (COBIT).
Com produtos referência em tecnologia e qualidade, como os jornais O Globo, Extra e Expresso, os sites Globo e Extra e a Agência O Globo, a Infoglobo tinha a preocupação de avaliar os processos existentes em TI, por meio da execução de Gap Analysis em relação ao COBIT, da adequação aos pontos necessários para atender aos objetivos de controles e do uso dos conceitos, metodologias e ferramentas disponíveis no mercado. A área de Gestão de Riscos da Infoglobo assumiu, então, esse desafi o: organizar os processos da empresa dentro dos princípios exigidos pela Governança Corporativa e aproveitar os resultados para melhorar o alinhamento estratégico da governança de TI com os objetivos da organização e, além disso, garantir o objetivo de curto prazo de obter a conformidade com o PCI DSS, reforçando a presença de TI, não apenas como uma área de suporte ao negócio, mas sim como parte fundamental da estratégia de negócio da Infoglobo.
“O objetivo do Projeto de Implantação da Governança em TI com COBIT na Infoglobo é proporcionar um nível sempre crescente de controles, com redução de custo e riscos operacionais, maximização de resultados e garantia da entrega de produtos e serviços. Buscamos a ajuda da Módulo pois, desde 2005, já utilizávamos na empresa o Módulo Risk Manager, sistema muito útil de análise de riscos, que consolida as informações e facilita a gestão”, diz Armando Linhares Neto, Gerente de Riscos e Segurança da Informação da Infoglobo.
Para atender às demandas da empresa, além do uso do Módulo Risk Manager, o projeto da Módulo previa o fornecimento de bases de conhecimento desenvolvidas com o intuito de prover maior produtividade ao projeto e ao programa de Governança em TI da Infoglobo; execução de Gap Analysis em COBIT e nivelamento de conhecimento dos seus gestores a respeito do tema; obtenção de uma visão estratégica dos níveis de maturidade ao COBIT; e proposição de uma estratégia e um plano de ação para melhoria dos processos de tecnologia da informação da Infoglobo, com base nas análises efetuadas.
“Esse foi um trabalho que se integrou ao compliance de PCI DSS, em que desenvolvemos junto à área de Riscos e Segurança da Informação da Infoglobo políticas para permitir que as organizações aumentassem a maturidade da governança de TI, melhorassem o índice de conformidade com o COBIT e garantissem o atendimento dos requisitos do PCI DSS ao mesmo tempo. Todas essas ações foram priorizadas com base nos riscos para os objetivos de negócio da organização. Um trabalho completo de GRC!”, diz Gustavo Minarelli, Gerente de Projetos da Módulo.
Do intuitivo ao documentado
A primeira etapa do projeto consistiu em levantar os doze processos mais importantes para atender às necessidades do negócio e atingir os objetivos da Infoglobo naquele momento. Os processos e componentes de negócios foram cadastrados no Módulo Risk Manager, que permitiu identifi car facilmente as atividades e responsabilidades dos processos. Em seguida, foram aplicados questionários para os profi ssionais da empresa responsáveis por esses pontos, a fi m de de avaliar o nível de maturidade dos processos. A automatização das entrevistas feita pelo Módulo Risk Manager agilizou essa fase. “Ao fi nal do trabalho, tínhamos o nível de maturidade de cada processo e a média de mercado do nosso segmento. A partir daí, é possível defi nir os planos de ação e o monitoramento para garantir a eficiência nos controles desejados”, explica Armando.
Ao final da execução do projeto, foi feita uma fotografi a mostrando o nível de maturidade dos processos da empresa em relação às outras do mesmo segmento. A partir desse panorama, foram gerados planos de ação para melhorar os processos selecionados. “Vimos que estamos bem em comparação aos resultados de uma pesquisa do ISACA sobre o tema, que ouviu empresas em países da América do Sul e da América Central”, diz.
Para 2010, a equipe de Gestão de Riscos tem a meta de revisar os ajustes nos doze processos selecionados e expandir a etapa iniciada em 2009, após a elaboração dos planos de ação. “Devemos nos manter sempre atualizados, focando nos objetivos e estratégias da organização e otimizando o uso dos recursos com processos mais estruturados”, afirma.
.png)