Feito nos EUA

Ambigüidade Conformidade Regulamentar

07 de abril

Houve muita animação sobre a conformidade imposta pelo governo de regulamentação sobre os últimos anos, resultando em volumes de regulamentos excessivamente confusa e sinistra ameaça. As empresas dizem que eles devem controlar o acesso a dados, especificando e justificando para quem pode acessar quais tipos de informações. Também deve haver testes e prova documentada de que [...] [... mais]

Postado: em Negócios , Economia .
Tags: cumprimento , regulamentar , empresa de pequeno porte

Houve muita animação sobre a conformidade imposta pelo governo de regulamentação sobre os últimos anos, resultando em volumes de regulamentos excessivamente confusa e sinistra ameaça. As empresas dizem que eles devem controlar o acesso a dados, especificando e justificando para quem pode acessar quais tipos de informações. Também deve haver testes e provas documentadas de que os dados não podem ser acessados ​​por pessoas não autorizadas. No entanto, para meu conhecimento não há documentos oficiais, especificando ou recomendando como isso deve ser feito. Parece ser até os Sistemas de Informação administradores de cada empresa ou organização, para descobrir como. Mas, então, uma auditoria ou uma ordem do tribunal poderia determinar se os seus procedimentos foram adequados ou digno de multas ou penalidades.

Há também requisitos de retenção de dados ambíguos que parecem colocar automaticamente muitas pequenas empresas em risco simplesmente por não ter os recursos existentes para suportar a carga de longo prazo de retenção de dados. Além de retenção, deve também haver um meio de descoberta de dados rápida. Isso se torna extremamente problemática quando o negócio do software do sistema de gestão é desenvolvido por fornecedores terceirizados. Periodicamente, novas versões do software são liberadas que não são capazes de acessar diretamente os dados conservados por versões anteriores do software. Você poderia pensar então que seria até os fornecedores de software para fornecer um meio de descoberta de dados, mas eles poderiam estar inclinados a cobrar taxas exorbitantes para fazê-lo. Ou pode haver um processo de conversão que podem pôr em causa a integridade e autenticidade ou pureza histórica dos dados.

Outra questão que afeta a retenção de dados são as mudanças tecnológicas e os avanços nos materiais e metodologias de retenção de dados. Por exemplo, os dados podem ter sido armazenados de forma consistente em fita por anos, mas depois as unidades de fita falhar e devem ser substituídos por unidades tecnologicamente mais novos, diferentes que são incapazes de ler as fitas antigas. Claro que um backup completo dos dados existentes é realizada nos novos meios e está tudo bem até que haja uma solicitação para os dados como ele existia em uma data bem antes da conversão, ou envolvendo arquivos que foram apagados antes dessa data, e pode ser encontrado apenas em backups em fita, que não podem ser lidos pelo equipamento existente.

A criptografia de dados apresenta um outro dilema em termos de descoberta de dados. Os algoritmos de criptografia e chaves não são sempre gerenciados pela equipe de Tecnologias de Informação. Indivíduos pode senha proteger seus próprios documentos e encriptar os seus próprios e-mails, fazendo tentativas de descoberta de dados extremamente difícil.

Pequenas empresas terão um tempo difícil cumprir com os regulamentos, e pode ser forçado para fora do negócio ao invés de gastar os recursos e esforços para implementá-las. Então, num momento em que a economia está sofrendo, os trabalhos são poucos, o desemprego é alto, e as empresas grandes e pequenas estão se esforçando, junto vem as regulamentações do governo para fechar negócios mais pequenos e colocar mais pessoas fora do trabalho.

Do outro lado da moeda, porém, novas empresas surgiram oferecendo para ajudar outras empresas filtrarem as questões de conformidade regulamentar. E isso é bom para algumas empresas grandes e médias empresas e até mesmo algumas companhias de pequeno porte. Mas ainda há um monte de empresas pequenas e lutando que simplesmente não pode justificar o gasto de algo que nunca pode realmente precisa. Claro que você poderia dizer que cerca de seguros, também. E isso pode ser visto como um tipo de seguro. Mas em algum ponto você tem que traçar a linha em algumas despesas de negócio só assim você pode manter a sua viabilidade.

Há uma grande diferença entre incentivar a governança de dados responsável, com recomendações para a implementação bem sucedida, e impor regulamentos e exigências com penas severas em caso de incumprimento. Fui informado que existem esses regulamentos, mas eu tenho dificuldade em encontrar um kit de faça-você-mesmo de base para as pequenas empresas a pôr-se em conformidade, ou pelo menos ter uma idéia melhor para o que deve ser feito.

Às vezes me pergunto se aqueles escrever e definir as normas realmente querem as empresas a falhar auditorias de conformidade, para que os reguladores podem lucrar com as multas por eles aplicadas.

Henness Tracy

Comentários (0)