Todos os anos, dependemos de tecnologia para nos ajudar a armazenar e gerenciar vários tipos de dados para diversos fins. No entanto, com isso, vem a responsabilidade de gerenciá-lo de forma adequada e a melhor forma de fazer isso é adotando um checklist das melhores práticas de governança de TI.
Entretanto, essa é uma questão relativamente nova para ser tratada pelos conselhos. Na prática, a responsabilidade pela supervisão da gestão dos processos eletrônicos cabe ao conselho de administração. Contudo, esta não é uma tarefa fácil devido ao grande número de indivíduos e funcionários que precisam acessar os dados da organização regularmente.
Portanto, as tentativas iniciais de governar a tecnologia da informação certamente parecerão opressoras. Porém, ao dar um passo de cada vez, adotar um checklist de governança de TI e considerá-la um trabalho em andamento, sua diretoria estará no caminho certo para entender como pode enfrentar melhor a difícil tarefa de supervisionar a governança de TI.
Para ajudá-lo a começar, confira um checklist detalhado de governança de TI a seguir. Afinal, ele pode ajudar na supervisão da estratégia geral de governança de TI de sua organização. Entretanto, saiba que esta não se destina a ser uma lista abrangente, portanto, você precisará personalizá-la de acordo com as necessidades de seu setor e organização. Então, antes do checklist de governança de TI propriamente dito, observe as sugestões abaixo.
Alinhamento estratégico entre negócio e TI
A TI deve estar envolvida no planejamento estratégico da organização, portanto, deve desenvolver seu próprio plano e trabalhar em colaboração com o conselho para apoiar o plano estratégico da empresa. Dessa forma, é preciso avaliar e delinear a direção geral da tecnologia.
Então, revise as operações de TI em todos os departamentos, estabeleça um orçamento específico para a TI e analise-o com a diretoria. Assim poderá estabelecer as melhores práticas para iniciativas de TI. Basta dedicar algum tempo e recursos para avaliar tecnologias capazes de criar novas oportunidades de negócios.
Agregando valor à organização
É fundamental que o conselho da empresa revise a política de TI anualmente. No entanto, também é importante comunicar-se regularmente com os funcionários sobre políticas de TI e protocolos de segurança cibernética.
Afinal, assim fica mais fácil garantir que todos os funcionários e terceiros estão seguindo as políticas adequadamente. Entretanto, enquanto revisa o programa de TI vigente, considere o impacto das tecnologias emergentes e faça recomendações para mudanças assertivas de fornecedores, equipamentos e serviços.
Gerenciamento de riscos
Para começar, faça uma avaliação de risco. Ou seja, revise o plano de recuperação de desastres da organização e teste os resultados.
Então, contrate um terceiro para avaliar o risco da organização e fazer as mudanças necessárias. Também é interessante atualizar as mudanças nos processos de TI e documentá-las no plano de gerenciamento de riscos.
Contudo, mantenha o departamento de TI da empresa devidamente informado sobre mudanças, novas legislações ou regulamentações a fim de garantir a conformidade.
Gerenciamento de recursos de TI
Agende uma revisão regular do orçamento das operações de TI e avalie regularmente o pessoal do departamento de TI para evitar fraudes ou problemas com atores internos.
Contudo, além disso, é importante monitorar as despesas de capital para garantir que o departamento de TI esteja sempre dentro do orçamento. Então, revise o plano da organização para proteger os ativos e estabeleça treinamento e desenvolvimento contínuos para a equipe.
Mensurando o desempenho de TI
O primeiro passo é entender como a empresa mede o desempenho. Então, estabeleça padrões de desempenho específicos para o departamento de TI. O ideal é que você revise os resultados de desempenho do departamento de TI anualmente e recomende mudanças para a área, se necessário.
Você também deve avaliar o desempenho do departamento de TI em comparação aos seus pares. Para isso, pergunte-se:
Nosso processo de classificação de dados é eficaz?
Como lidamos com a confidencialidade dos dados que várias áreas e indivíduos precisam acessar?
Até que ponto nossa equipe de TI aplica as melhores práticas e políticas de segurança e confidencialidade?
Compreendendo o volume de dados
Descubra quantos dados a organização possui e, então, faça um diagrama das fontes que canalizam os dados para a organização. Por exemplo:
Quantos dados novos são gerados a cada ano?
Os dados estão em formato eletrônico ou papel?
Avaliando o sistema de gerenciamento de registros atual
Você sabe qual é sua política atual de gerenciamento de registros ou se o sistema responsável por isso é centralizado? Pois bem, para que o checklist de governança de TI surta um efeito positivo, você precisa saber tudo isso e mais. É o caso de saber onde os dados eletrônicos estão armazenados, identificar e documentar a localização dos backups de dados e garantir que as práticas de retenção de dados correspondam às políticas de retenção de dados. Neste caso, pergunte-se:
Existe segurança suficiente para o manuseio de registros físicos?
Quais grupos ou indivíduos têm acesso aos processos de gerenciamento de dados?
Estabelecendo processos para conformidade com a guarda de documentos legais
É essencial designar um responsável para manter o controle dos dispositivos eletrônicos da empresa. Contudo, esse controle deve incluir um processo de rastreamento de dispositivos e um manual abrangente de retenção legal.
Entretanto, antes disso, você precisa saber definir quais são os dados de retenção legal, quais são as políticas para o uso de dispositivos pessoais no trabalho e armazenamento de dados corporativos.
Além disso, aposte em treinamentos para que seus funcionários saibam como e quando fazer backup dos dispositivos. Em seguida, invista em um sistema capaz de monitorá-los e manter os dados de retenção legal separados de outros dados. Nessa frente, descubra também como recuperar dados de guarda de documentos durante períodos de litígio ou investigação.
Processo de gerenciamento de dados
É importante saber qual departamento ou indivíduo controla os dados da empresa da mesma forma que é preciso saber com quem esses dados devem ser compartilhados?
Portanto, cabe verificar se as políticas de gerenciamento de dados organizacionais são suficientes para a conformidade, se permite uma navegação rápida ou se o armazenamento de dados é suficiente para os próximos três a cinco anos.
Não obstante, você deve garantir que exista um processo de exclusão de dados após um determinado período, além de um programa de aplicativos móveis para acessar dados tal como fazer melhorias na forma como a empresa os classifica.
Mitigando riscos e criando economia de custos
Após a instauração da LGPD se tornou essencial contar com políticas para lidar com dados em geral, especialmente os confidenciais. Portanto, é recomendado manter um orçamento e processos para gerenciamento de dados, tal como proteções para evitar a perda de dados, além de programas de backup.
Checklist de governança de TI
Conformidade
- Você tem e segue um processo formal de gerenciamento de risco para avaliar as vantagens e desvantagens técnicas e de negócios que acompanham os projetos de infraestrutura?
- Quais postos de escuta você estabeleceu para entender a natureza dos novos requisitos regulamentares ou legais que estão sendo considerados aplicáveis ao seu setor?
- Você registrou as implicações da infraestrutura de TI no resultado das três importantes iniciativas de marketing recentes que sua empresa lançou? Existem maneiras de se “vincular” a essas iniciativas para antecipar o impacto da TI?
- Quais códigos de comportamento e ética específicos do setor influenciam a operação das funções de TI em sua empresa? Como você está acumulando evidências de que apoia esses códigos?
- As conclusões e recomendações recentes das auditorias da EDP foram abordadas como parte da prática diária na sua área?
Desempenho
- Você está satisfeito com os mecanismos existentes para medir e relatar o custo dos serviços de TI para a empresa? Você analisou esses custos em comparação com o valor que a empresa obtém desses serviços?
- Quais métricas de produtividade você identificou para as funções e posições da equipe de TI? Você notou melhora nas medições no último trimestre?
- Visto que os serviços de TI oferecem suporte aos processos de negócios, como você e a empresa têm colaborado em programas de melhoria contínua de processos para gerar eficácia e eficiência adicionais?
Relacionando-se com responsabilidade
- Você identificou as principais partes interessadas internas e externas na entrega de qualidade dos serviços de TI? Você tem meios periódicos para se comunicar com essas partes interessadas?
- Como sua organização de TI “retribui” à comunidade em torno de suas instalações?
- Seus fornecedores estão cientes de suas metas e objetivos? Você os convidou para participar das principais iniciativas de gerenciamento de serviços de TI?
- Seu conselho corporativo ou proprietários percebem a TI atuando em uma função de liderança na definição de procedimentos de governança e execução?
A infraestrutura
- A infraestrutura foi projetada de forma a dar suporte consistente ao cumprimento dos requisitos e compromissos do negócio?
- Esta infraestrutura é robusta o suficiente para manter níveis de serviço aceitáveis para o negócio?
- A infraestrutura foi projetada, desenvolvida e implementada para fornecer níveis suficientemente altos de disponibilidade, flexibilidade, escalabilidade e desempenho?
- A infraestrutura é interna e externamente segura?
Clientes e partes interessadas externas
- Existe um nível adequado de satisfação do cliente com o nível de serviço?
- Os serviços prestados são adequados e adequados ao seu propósito?
- A experiência e o feedback do cliente estão sendo coletados e usados em um processo de melhoria contínua do serviço
- Até que ponto a cultura organizacional e a percepção dos serviços prestados estão sendo monitoradas e comparadas com a proposta de valor para o cliente?
Pessoas e processos internos
- As atividades operacionais em andamento e os investimentos realizados para a prestação dos serviços necessários estão sendo monitorados?
- Essas atividades e investimentos estão sendo comparados aos resultados e benefícios de valor agregado fornecidos?
- A oferta é determinada como adequada com base no valor fornecido e na eficácia de custo?
- O serviço prestado potencializa e maximiza o uso da propriedade intelectual da organização?
Criação de valor
- Existem processos de qualidade eficazes para garantir o desenvolvimento, a entrega e o suporte contínuo dos serviços e infraestrutura de TI?
- Há algum processo em vigor para apoiar os relacionamentos internos e externos entre prestadores de serviços e fornecedores e seu desempenho interativo?
***Este capítulo pertence ao livro CIO Wisdom II: Mais práticas recomendadas
Processos para dar conta da mudança e adaptabilidade
Este checklist de governança de TI pode ser aplicado a qualquer empresa, contudo, idealmente, você deve contar com uma parceira de TI experiente nessa frente a fim de assegurar a conformidade.
Ainda assim, antes de contratar uma empresa de TI, você pode ser questionar o seguinte:
Temos flexibilidade suficiente em nossos processos de gerenciamento de dados para implementar mudanças rapidamente?
Definimos os indivíduos internos e externos adequados para atualizar os processos e políticas de gerenciamento de dados, incluindo políticas de conformidade?
O conselho tem um processo para supervisionar adequadamente as mudanças nos processos de gerenciamento de dados?
Então, considere esta uma excelente oportunidade para seu conselho trabalhar em colaboração com seu departamento de TI para fazer grandes melhorias usando este checklist de melhores práticas de governança de TI. Entretanto, lembre-se que, à medida que novos avanços em tecnologia surgem, você deve revisar a lista de verificação e fazer os ajustes em suas políticas conforme necessário.
Mais importante ainda, certifique-se de estar atualizado com as novas leis e regulamentações que podem afetar suas atividades de governança de TI agora e no futuro.