O que é Governança da informação?

Precisa de ajuda mais personalizada ou está pronto para começar? Entre em contato conoscoou visite nosso pacote de produtos de conformidade digitalpara saber mais.
 
 

O que é governança de informações e como começar

 

O crescimento explosivo da informação é a característica mais significativa da nossa era. Nesta Era da Informação, a quantidade de dados, o uso desses dados, o número de fontes de dados e as rotas que percorre crescem de forma exponencial. O crescimento cria novos setores para definição, coleta, acesso, processamento e curadoria de informações.

 

Em tal ambiente, todos reconhecem a essência da governança das informações, mas é mais difícil entender como realizar essa enorme tarefa.

 

As organizações atuais lidam um crescimento explosivo no volume e na variedade dos dados que coletam, processam e armazenam. Infelizmente, muitos não entendem os tipos de dados com que lidam e o valor que têm. O que significa que eles não podem usá-los ou mantê-los corretamente. Como resultado, não conseguem chegar no nível de sucesso que teriam se mantivessem o gerenciamento adequado dos dados.

 

As organizações também podem sofrer sérias consequências financeiras, legais e de reputação por conta do gerenciamento insatisfatório de dados. A governança da informação ajuda a evitar um destino semelhante.

 

Então, o que é a Governança da Informação (IG) e qual o papel que ela desempenha no ambiente de negócios atual? Este guia lança alguma luz sobre a IG — uma área emergente de gerenciamento de dados que se concentra em processos de negócios e conformidade.

 

O que é Governança da Informação (IG)?

 

IG é uma abordagem estratégica para maximizar o valor dos dados e mitigar os riscos associados à criação, uso e compartilhamento de informações corporativas. Ela reconhece as informações como um ativo organizacional que requer supervisão e coordenação de alto nível para garantir responsabilidade, proteção, integridade e preservação adequada das informações corporativas.

 

A IG tem como objetivo quebrar silos e evitar qualquer fragmentação no gerenciamento de informações, o que garante que ele permaneça confiável e que as organizações tenhas ROI em processos, tecnologia e pessoal que usam para gerenciar informações.

 

A governança da informação tem muitas definições formais, mas a da Gartner é a mais aceita. A Gartner define a IG como uma estrutura de responsabilidade que garante o comportamento adequado na criação, avaliação, uso, arquivamento, exclusão e armazenamento de informações. Inclui os padrões e métricas, funções e políticas e os processos necessários para garantir o uso eficaz e eficiente das informações e permitir que as organizações atinjam seus objetivos.

 

Os processos de IG ajudam a gerenciar o uso de registros de informações, como informações de clientes, registros de funcionários, registros médicos e propriedade intelectual. Os profissionais de IG da sua empresa devem trabalhar com a liderança e quaisquer outras partes interessadas na criação de políticas que especifiquem como seus funcionários devem lidar com todos os ativos de informações corporativas.

 

Os objetivos críticos do controle de informações incluem:

 

  • Compreender e promover o valor dos ativos de dados
  • Resolver eficazmente quaisquer problemas relacionados a dados e criar processos que impeçam ocorrências futuras
  • Imposição de conformidade com padrões e políticas relacionadas ao controle de informações
  • Definição e aprovação de estratégias de dados, padrões, políticas e métricas e procedimentos associados
  • Comunicar claramente as políticas de dados com as pessoas relevantes
  • Patrocinar, rastrear e supervisionar a entrega de projetos de gerenciamento de dados

 

Estruturas de governança da informação

 

Para ajudá-lo a definir claramente as metas e os processos de controle de informações, você pode desenvolver estruturas para delinear formalmente a abordagem de sua organização. O quadro descreve e responde a perguntas, como quem, o quê, onde, quando, como e porquê.

 

Você deve adaptar sua estrutura para atender às necessidades exclusivas de sua organização, mas ela deve definir as áreas discutidas abaixo:

 

1.    Escopo: estabelece a extensão do seu programa de controle de informações, incluindo um esboço claro de suas metas gerais, os tipos de dados que o programa gerenciará e quais membros da equipe ajudarão a atingir essas metas.

2.    Políticas e procedimentos: a estrutura define as políticas e procedimentos corporativos globais que são relevantes para o programa IG como um todo. Inclui segurança de dados, agendamentos de retenção e eliminação, gerenciamento de registros, políticas de compartilhamento de informações e privacidade.

3.    Funções e responsabilidades: a estrutura deve definir as funções essenciais do programa de governança da informação, incluindo quais responsabilidades do IG específicos departamentos e funcionários terão como parte de sua integração e implementação.

4.    Gerenciamento de dados interno e externo: uma estrutura IG define como a organização e seus funcionários gerenciam dados específicos. As seções relevantes incluem conformidade legal e normativa, gerenciamento de informações pessoais, tipos de conteúdo aceitáveis, como as informações são compartilhadas e como os dados são armazenados e arquivados.

 

Também é vital estabelecer como as organizações operam e compartilham informações com seus parceiros, partes interessadas e fornecedores. Sua estrutura deve definir as políticas e procedimentos estabelecidos para compartilhar informações com terceiros, como o processo de governança da informação influencia as obrigações contratuais e como você determinará se seus parceiros e terceiros cumprem seus objetivos do IG.

 

Além disso, sua estrutura deve delinear claramente os procedimentos em caso de violações de dados, incluindo como relatar violações e perdas de informações, processos de recuperação de desastres, especificações de gerenciamento de incidentes, estratégias de continuidade de negócios e como você auditará essas recuperações de desastres e continuidade de negócios processos.

 

Finalmente, sua estrutura deve delinear seu processo de monitoramento contínuo. Inclua planos para garantia de qualidade dos processos de IG, como monitorar o acesso às informações, medir a conformidade regulatória, realizar avaliações de risco, manter a segurança adequada e analisar o programa de IG como um todo.

 

Governança de informações versus governança de dados

 

Muitas pessoas e organizações consideram IG e a governança de dados a mesma coisa. Embora ambas sejam essenciais para que as empresas atinjam os seus objetivos comerciais, e apesar de algumas semelhanças entre elas, não são idênticas.

 

O controle de informações obtém valor comercial das organizações a partir de seus ativos de dados. Governança da informação é o conjunto de atividades e tecnologias que as organizações utilizam para maximizar o valor de suas informações, enquanto diminuem os riscos e os custos associados.

 

Por outro lado, a governança de dados refere-se ao controle de informações em níveis de unidade de negócios para garantir que sejam precisas e confiáveis. Seus programas envolvem procedimentos para gerenciar a usabilidade dos dados, disponibilidade, integridade e segurança.

 

Em suma, a governança de dados impede que o lixo entre, enquanto o IG se refere às decisões que você toma ao usar os dados.

 

Aqui estão alguns exemplos dos tipos de atividades envolvidas em ambas as áreas para ajudar a ilustrar as diferenças.

  • As atividades de governança de dados incluem o gerenciamento de metadados, operações de dados, gerenciamento de dados, arquitetura de dados, qualidade de dados e dados mestres.
  • A IG, por outro lado, preocupa-se com o gerenciamento do ciclo de vida de dados de uma organização. Ele inclui atividades e processos como troca de informações pessoais, auditorias de conformidade normativa, registros, cronograma de retenção, descoberta eletrônica e proteção da privacidade de dados.

 

A governança de dados é da responsabilidade da TI, mas a IG tem um escopo mais amplo. Você pode usar o IG para atender às necessidades de negócios e conformidade relacionadas ao uso e retenção de dados, o que o torna uma disciplina estratégica que desempenha um papel significativo na governança corporativa.

 

Aplicar IG e governança de dados juntas pode resultar em práticas de gerenciamento de informações que ajudam você a oferecer maior valor comercial.

 

Por que a governança das informações é importante?

 

A informação é um recurso vital em qualquer organização ou negócio. Sem ele, as operações comerciais não são possíveis. Assim, as empresas fazem investimentos em processos, tecnologia e pessoas para garantir que as informações possam apoiar a empresa.

 

Devido aos investimentos significativos associados à criação, uso, proteção e compartilhamento de informações, as organizações veem isso como um tipo de ativo comercial, não diferentemente dos equipamentos, edifícios e recursos financeiros necessários para administrar o negócio.

 

Supervisão e gestão de recursos ou ativos é o principal objetivo de qualquer governança empresarial. Além disso, assim como qualquer outro ativo, as informações exigem gerenciamento para garantir que você aborde seu valor e riscos associados de forma responsável.

 

O controle de informações fornece às empresas uma abordagem disciplinada para gerenciar os riscos e o valor associados às informações.

 

Como a IG ainda é um campo emergente, existem inúmeras questões em torno de seu papel nos processos de negócios. No entanto, um programa IG implementado corretamente permite que as organizações façam o seguinte:

 

  • Ofereça suporte às necessidades, prioridades e objetivos estratégicos dos negócios, que variam de acordo com a cultura da organização, os recursos disponíveis e o nível de engajamento das partes interessadas
  • Evite violações de dados
  • Obtenha conformidade normativa e reduza os riscos associados, como penalidades
  • Melhore os recursos de análise
  • Melhore o ROI em inteligência de negócios corporativos
  • Desenvolva controle sobre TI terceirizada e sistemas de proliferação
  • Aumente a conscientização dos funcionários sobre as políticas de informação importantes
  • Reduza os custos de armazenamento de informações e descoberta eletrônica (tecnologia de detecção de documentos)

 

Por exemplo, devido aos desafios que o setor de saúde enfrenta atualmente, com relação a mudanças no atendimento, modelos de pagamento, requisitos para parcerias com outros, novas expectativas de clientes, tecnologia e maior regulamentação, a governança das informações agora é mais importante do que nunca. É a melhor maneira para as organizações de assistência de saúde e similares garantirem que suas informações são confiáveis para atender todas as suas necessidades diversas.

 

O IG permite que você tome decisões orientadas pelas necessidades da sua organização e não pela tecnologia. Ele também elimina tomadores de decisão acidentais (pessoas que por acaso possuem dados em um determinado ponto durante seu ciclo) porque eles tendem a tomar decisões independentemente de outras necessidades das partes interessadas.

 

Como começar

 

Para identificar o melhor lugar para iniciar sua iniciativa de IG, você precisa descobrir uma maneira de apoiar os esforços estratégicos de sua organização com informações e dados confiáveis.

 

As organizações geralmente têm uma missão e visão que as orienta ao longo da condução de negócios e desenvolvem estratégias para ajudar a atingir seus objetivos. Assim, dar uma olhada cuidadosa nessas estratégias e metas de negócios pode dar uma forte indicação sobre onde e como iniciar sua iniciativa de IG.

 

Como você não pode alcançar nenhum objetivo organizacional sem informações úteis, o melhor lugar para iniciar sua iniciativa de IG é identificar um problema (ponto problemático) com informações que exigem aperfeiçoamento, ou mesmo uma oportunidade de negócio que reduza custos e aumente a receita.

 

Tal alinhamento estratégico significa que você deve colocar suas necessidades de IG como parte de uma estratégia mais ampla que ajudará a alcançar seus objetivos organizacionais. Seus objetivos podem ser extensos e variados, como melhor gerenciamento do espaço (imobiliário), ampliação da oferta de serviços através da aquisição e integração de outros negócios, criação de novos protocolos de atendimento ao cliente ou redução de custos.

 

Uma vez que a IG é um requisito definido de responsabilidade e direitos para permitir o funcionamento adequado de vários aspectos da informação, o fornecimento de direitos de decisão determina a propriedade dos dados e quem tem o direito de tomar decisões sobre eles.

 

Portanto, ao definir proprietários e tomadores de decisão, você pode atribuir responsabilidade às decisões de dados, o que geralmente é um conceito essencial a ser implementado ao criar sua política de IG. A responsabilidade é vital, pois à medida que a dependência de dados cresce, você pode tomar decisões de negócios por padrão, geralmente selecionando o caminho mais fácil e, muitas vezes, isoladamente de outras considerações.

 

Áreas de governança da informação

 

Você deve considerar as seguintes áreas-chave ao criar sua política de controle de informações:

 

Política de uso: você pode conter muitos riscos de segurança usando uma política de uso bem definida que detalha especificamente quem pode acessar dados e em que circunstâncias.

 

Responsabilidade: você deve criar uma posição como Diretor de Dados ou dedicar um departamento à criação de políticas padrão para garantir que alguém em sua organização seja responsável por políticas de tratamento de dados.

 

Gerenciamento de registros: grandes organizações poderiam armazenar até 10 petabytes de informações anualmente, o que é dispendioso. Usando o IG, você pode economizar em custos de armazenamento identificando e armazenando dados que tenham valor. De acordo com o guia de recursos do CGOC(Compliance, Governance e Oversight Council), 69% dos dados corporativos retidos são “detritos” e não têm nenhum valor comercial, legal ou normativo.

 

Conformidade: leis, necessidades comerciais e regulamentos regem como você mantém suas informações. Depois disso, você deve descartá-lo de acordo com uma base de cronograma de ciclo de vida estabelecida em requisitos legais, normativos e de negócios.

 

Educação: como acontece com todas as outras políticas da empresa, o treinamento de seus funcionários, parceiros e fornecedores sobre seu programa de IG compete ao círculo.

 

Tecnologia: um IG completo também pode lidar com a governança de TI. Ele pode fornecer aos especialistas de TI políticas como a criação de hierarquias de armazenamento ou a obtenção de esquemas de acesso adequadamente dimensionados.

 

Benefícios da governança das informações

 

  • Dados mais seguros e protegidos. Uma política de IG eficaz permite que você crie regras, padrões, regulamentos e responsabilidades voltadas para manter os dados seguros e protegidos.
  • A IG aumenta a produtividade porque facilita a colaboração por meio do compartilhamento de informações de inteligência.
  • Reduzir custos. Uma política de IG clara permite que sua organização economize dinheiro porque ela se torna mais discernente sobre quais dados você armazena, em que mídia você os armazena e por quanto tempo. Também reduz a duplicação desperdiçada de esforços.
  • Acesso eficiente aos dados. O IG permite que você acesse dados úteis e significativos facilmente porque eles são classificados, protegidos e suportados por políticas claras.
  • Gerenciamento de riscos. As políticas de informações que classificam os dados permitem dimensionar o risco de acordo com os tipos de dados, que se concentra na alta segurança onde for necessário.
  • Inteligência de negócios O acesso eficiente e fácil a dados históricos e de tendências permite que desenvolvedores e profissionais de marketing tomem decisões mais bem informadas.
  • Eficiências de ciclos de vida. O IG remove silos de dados, o que significa que você pode obter mais valor de seus dados em cada ponto do ciclo de vida.
  • Conformidade regulamentar. Sem dados bem classificados e facilmente acessíveis, o processo de coleta de dados para requisitos normativos torna-se um pesadelo.
  • A IG reduz drasticamente os custos de litígio e descoberta. Ele permite a descoberta eletrônica rápida e completa, pois permite fácil identificação e acesso apenas às informações apropriadas.
  • A IG aumenta a agilidade dos negócios devido à melhoria dos processos de tomada de decisão. Ele descreve como a organização aproveitará as informações aos usuários de negócios, o que reduz a compartimentalização e burocracias.
  • Ciclos de vendas reduzidos aumentam a rentabilidade.
  • Ajuda as empresas a fornecer um melhor serviço ao cliente. A IG definiu o padrão para a forma como você organiza, categoriza e acessa informações.
  • A IG melhora a produtividade dos funcionários fornecendo o menor número possível de versões de informações ou documentos, facilitando o armazenamento e o acesso das informações.

 

Leis e Regulamentos de Governança da informação

 

À medida que os volumes de dados corporativos crescem e as inovações tecnológicas expandem continuamente os recursos de negócios, as regulamentações que colocam leis e mandatos rígidos no processo de IG tornaram-se a norma. Isso é verdade para a segurança e a privacidade dos dados, uma vez que as informações de identificação pessoal (PIN) se tornaram recentemente um alvo enorme para atores e hackers nefastos on-line.

 

As leis de privacidade começaram a se expandir globalmente, criando novas obrigações de governança de segurança da informação. Muitas indústrias se tornaram sujeitas a regulamentações que exigem a retenção de comunicações e registros eletrônicos por um período mínimo. Esses regulamentos incluem diretivas de agências federais, como o Departamento de Justiça e Agência de Proteção Ambiental ou a Securities and Exchange Commission.

 

Os requisitos de relatórios normativos também exigem que as organizações forneçam uma conta anual detalhada da conformidade. Um sólido processo de gerenciamento de registros de negócios fornece evidências para demonstrar conformidade.

 

Além disso, as regras de conformidade, como o Foreign Corrupt Practices Act, exigem que as organizações atestem a autenticidade de seus programas e registros de IG.

 

Existem vários requisitos do setor e do governo relacionados à segurança de dados, gerenciamento de registros e retenção de dados que podem afetar sua estratégia de IG. Abaixo estão algumas das leis essenciais que todas as organizações que operam nos EUA precisam conhecer.

 

  • Sarbanes-Oxley Act de 2002 (SOX): é um regulamento crítico que se aplica a todas as empresas públicas. O SOX padroniza as práticas de gerenciamento de registros sem exceção. Requer a implementação de controles sobre o processo de mitigação de riscos e registros financeiros corporativos. Estipula igualmente que as empresas devem manter registos comerciais durante, pelo menos, cinco anos.
  • Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA): Aplica-se a prestadores de cuidados de saúde, bem como organizações de informações de saúde e outros associados de negócios cobertos e entidades que armazenam, gerenciam e transmitem informações de saúde protegidas.
  • O Federal Records Act (44 USC 31) e estatutos relacionados: exigir que agências federais criem registros completos que documentem todas as suas atividades. Eles também devem fazer registros para práticas de armazenamento seguras, recuperação eficiente e eliminação adequada.
  • A Lei Gramm-Leach-Bliley (GLBA): exige que as instituições financeiras protejam as informações pessoais não públicas dos seus clientes. Eles devem armazenar registros financeiros com segurança até quando não forem mais necessários, então devem destruí-los para garantir que ninguém possa acessá-los.
  • Lei de Conformidade Fiscal de Contas Estrangeiras (FATCA)
  • Padrão de Segurança de Dados do Setor de Cartão de Pagamento (PCI-DSS)
  • Regras Federais de Processo Civil

 

Medição do progresso da governança

 

Ferramentas de avaliação, como o Modelo de Maturidade do IG e o Modelo de Referência do IG, ajudam as empresas a medir o progresso do seu progresso no controle O Modelo de Referência do IG fornece às empresas, associações do setor, empresas de analistas e outras partes interessadas uma ferramenta que lhes permite comunicar com as partes interessadas sobre processos, práticas e responsabilidades de seu programa de IG.

 

Por outro lado, o Modelo de Maturidade IG baseia-se nos oito Princípios de Manutenção de Registros Geralmente Aceitos da ARMA. O modelo de maturidade define as características de vários níveis de programa de manutenção de registros que variam de baixa qualidade a IG transformacional. O objetivo das organizações é alcançar o nível de transformação superior em que as estratégias de IG são integradas à infraestrutura corporativa geral ou aos processos de negócios para ajudar a aumentar a contenção de custos, os serviços ao cliente e a vantagem competitiva.

 

Conclusão

 

IG é um requisito definido de responsabilidade e direitos para permitir o funcionamento adequado de vários aspectos das informações que incluem criação, avaliação, uso, armazenamento, exclusão e arquivamento. Para usar dados de forma eficaz, a IG inclui políticas, propósitos, processos e padrões que ajudam as organizações a atingir seus objetivos.

 

O controle de informações traz benefícios e valor significativos às organizações, especialmente à medida que sua coleta e armazenamento de dados crescem e a supervisão regulatória aumenta. O desenvolvimento e a implementação de uma estratégia de IG sólida ajudam as organizações a garantir a disponibilidade dos dados, controlar os custos, reduzir os riscos cibernéticos e enfrentar os desafios regulatórios. Comece hoje mesmo antes que sua organização sofra uma violação de segurança, enfrente uma ação judicial, repasse uma auditoria ou sofra danos à reputação.

 

 

 

Entre os clientes da Veritas estão 98% das empresas da Fortune 100, e o NetBackup™ é a primeira opção para as organizações que desejam fazer backup de grandes quantidades de dados.

 

Saiba como a Veritas mantém seus dados totalmente protegidos em cargas de trabalho virtuais, físicas, na nuvem e legadas com seus serviços de proteção de dados para empresas.

 

 

Outras recomendações para você:

 

Plano de proteção de dados de quatro etapas

Uma abordagem passo a passo para garantir a proteç`ão eficiente das cargas de trabalho.

Proteção de Dados Moderna

ESG e Veritas discutem como a solução certa de proteção de dados hoje pode prepará-lo para as demandas de negócios de amanhã

Aproveite o poder dos dados corporativos

Uma pesquisa com 1.500 tomadores de decisão em TI mostrou que as dificuldades do gerenciamento de dados custam às empresas 2 milhões de dólares ao ano.

Contato

Precisando de um plano de proteção de dados de nível empresarial para sua organização? Nós podemos ajudar.