Deloitte

Soluções de governança corporativa para seus desafios de negócios

Avanços do Cloud e seus impactos regulatórios

O volume de informações cresce a cada dia e novas tecnologias surgem para garantir soluções que aliem custo, segurança e estrutura adequada para a organização de tantos dados. Ao mesmo tempo em que a tecnologia avança, as organizações se transformam, rumo ao crescimento. Como resultado, melhores práticas de governança são constantemente discutidas, de forma, também, a atender às exigências do ambiente regulatório.

É o caso do modelo de Cloud Computing (computação em nuvem), que ganha espaço entre empresas de diferentes portes e segmentos no Brasil. Segundo Fábio Pereira, sócio da área de Consultoria Empresarial e líder do CIO Program da Deloitte, a projeção é de que, até 2021, o Brasil se torne o décimo maior mercado de Cloud pública e, no mercado mundial, as soluções de computação superem o tradicional on-premises (termo que define o uso de servidor e recursos de TI dentro da própria empresa, sob sua responsabilidade).

O avanço do Cloud no Brasil tem sido frequentemente discutido: o Banco Central divulgou, em edital de consulta pública (57/2017), proposta de resolução que trata especificamente sobre política de segurança cibernética e requisitos para a contratação de serviços de processamento, armazenamento de dados e de computação em nuvem.

“Este documento tem sido avaliado pelas instituições financeiras e respectivas organizações representantes, para que todos possam dar sua contribuição e, assim, termos uma regulamentação específica para esses temas”, explica Marcelo Maylinch, Superintendente de Infraestrutura e Arquitetura do Banco Votorantim.

Maylinch diz que um dos pontos mais impactantes é a questão da territorialidade. O documento publicado prevê a vedação da contratação de serviços relevantes de processamento e armazenamento de dados e de computação em nuvem no exterior. Além disso, será preciso detalhar mais o que compreende a definição de “serviços relevantes de processamento”, assim como questões que envolvem a publicação detalhada de tecnologias adotadas e modelo da estratégia de segurança das entidades.

Jornada Cloud e seus avanços

“Dividiria os fatores de sucesso ou fracasso da jornada Cloud em três grupos de igual importância. O primeiro reúne o atendimento das questões Regulatórias, Legais, de Compliance e de Segurança. O segundo engloba as questões Financeiras e de Custos, enquanto o terceiro inclui Governança e Processos. Mas isso depende diretamente de uma adequada arquitetura técnica, que consiga explorar as vantagens e características das soluções em Cloud”, explica Fabio Pereira.

Pereira ressalta que os principais aspectos regulatórios estão vinculados a custódia, sigilo e proteção de dados, obrigando, em muitos casos, a localização física do dado em território brasileiro por questões de litígio. No mercado financeiro, a regulamentação e a fiscalização são exercidas pelo Banco Central e pela Superintendência de Seguros Privados (Susep).

O especialista destaca ainda que, com o avanço da jornada Cloud e surgimento da TI Híbrida, a governança e as políticas serão impactadas, exigindo a correta definição de pessoas, processos e tecnologias, o que definirá o sucesso dessa transição e permeará todas as áreas da empresa, envolvendo negócio, tecnologia, segurança, legal e compliance.

“A TI atual exige uma transformação orientada a serviço, operando em um modelo híbrido, distribuído em soluções on-premises e cloud”, complementa.

Responsabilidades se mantêm

Marcelo Maylinch esclarece que a empresa contratante é a responsável final pela proteção, privacidade dos dados e compliance. Consequentemente, as contratações de empresas parceiras devem ter, no seu escopo, os requisitos que mitiguem os riscos relacionados a esses temas. “De fato, essas questões já existiam antes mesmo da adoção de serviços em nuvem e são premissas nos termos de contratação dos serviços de parceiros”, argumenta.

Todos os temas relacionados a backup dos dados, mecanismos de recuperação e disponibilidade para órgãos reguladores precisam ser mantidos e são de responsabilidade da empresa contratante. A adoção do modelo de Cloud Computing envolve outras questões, como a decisão entre uma solução híbrida (por exemplo, com parte da arquitetura em Cloud e os dados em infraestrutura própria) ou uma solução que inclua o armazenamento dos dados também em nuvem (e, neste caso, questões como criptografia e outros aspectos de segurança ganham maior importância na definição da arquitetura tecnológica).

Maylinch destaca elementos que devem ser observados por toda a organização. “É uma preocupação de todos conseguirmos equilibrar os benefícios na adoção dos serviços em nuvem e os cuidados pertinentes em termos de segurança, governança e compliance.

Inscreva-se para conhecer mais conteúdos e soluções sobre governança corporativa