5.3 Implementação da Framework para a Gestão da Compliance dos SI/TIC
5.3.5 Processo: Implementar (PI)
Conceber a Solução de Compliance (PI.1)
No Domínio Tecnológico os Requisitos Aplicacionais foram detalhados, em Funcionalidades Aplicacionais, e os objectivos de controlo em Controlos de Compliance aplicáveis, e mecanismos de monitorização e critérios e necessidades de monitorização dos controlos. Os controlos concebidos pretenderam assegurar que a integridade e a veracidade dos dados ao longo de todo o ciclo de extracção e entrega fossem efectuadas por pessoas qualificadas e autorizadas. A pretensão foi garantir que desde a recolha dos dados e que após verificação, detecção e correcção, fosse entregue ao Banco de Portugal, assegurando por outro lado a protecção e autenticidade da mesma durante a sua transmissão. Os mecanismos de monitorização concebidos estavam relacionados com a prevenção de falha na extracção, detecção e correcção de erros nos dados quer da ENTIDADE quer do Banco de Portugal. A periodicidade da monitorização é mensal, ou seja a cada ocorrência de processamento dos dados. No Domínio Organizacional constatou-se que as recomendações para assegurar as exigências do Requisito de Conformidade - Lei nº 36/2010 estavam a ser incorporadas na especificação do Processo de Trabalho: Gestão da Segurança da Informação.
64
Na execução desta actividade foram envolvidas pela ENTIDADE, a Gestão da Procura e a Função
Compliance dos SI/TIC, também foi envolvido o Gestor de Aplicação do Datawarehouse de Clientes.
Esta actividade foi acompanhada pela Área de Risco e Segurança e Área de Qualidade da ENTIDADE e por parte do BANCO, pela Função Compliance do BANCO e pela Unidade de Negócio.
A realização desta actividade veio dar resposta à recomendação: (Rai.2) (Secção 5.2), e o alinhamento com o benefício esperado com a implementação da framework – (B6) (Secção 4.5), porque se pretendem conceber as medidas e os Controlos necessários para responder às exigências dos Requisitos de Conformidade, com o objectivo de melhorar a qualidade dos Serviços de SI/TIC prestados em matérias de Compliance.
Validar a Concepção da Solução de Compliance (PI.2)
Após a concepção, para mitigar situações relacionadas com possíveis deficiências de concepção e especificação, foram executados testes e realizadas reuniões de forma a assegurar que existe uma ligação entre o controlo e o objectivo de controlo, bem como se encontram assegurados os Requisitos Aplicacionais determinados. O grupo de trabalho foi composto pela Direcção de Processo de Qualidade do Banco, a Função Compliance do BANCO, a Função Compliance dos SI/TIC e um Gestor da Aplicação. Verificou-se que o mecanismo concebido para a extracção dos dados não era o mais adequado por não devolver toda a informação necessária para remeter ao Banco de Portugal.
Na execução desta actividade estiveram envolvidas por parte da ENTIDADE, a Função Compliance dos SI/TIC, a Área de Risco e de Segurança, por parte do BANCO, a Unidade de Negócio. Esta actividade foi acompanhada por parte do BANCO, pela Função Compliance do BANCO, e pela ENTIDADE, pelo Gestor de Aplicação do Datawarehouse de Clientes.
A realização desta actividade veio dar resposta à recomendação: (Rai.3) (Secção 5.2), porque permite identificar, e comunicar eventuais desvios quanto às medidas e Controlos a implementar para responder às exigências dos Requisitos de Conformidade. Por outro lado alinha-se com o benefício esperado com a implementação da framework – (B7) (Secção 4.5), porque o que é pretendido é que a monitorização seja efectiva.
Implementar a Solução de Compliance (PI.3)
Após as devidas correcções deu-se início à implementação das Funcionalidades Aplicacionais concebidas. Por outro lado, verificou-se que a especificação do Processo de Trabalho: Gestão da Segurança da Informação ainda se encontrava em curso. No entanto, as recomendações estavam a ser incorporadas, dando garantias de que o que tinha sido determinado para assegurar as exigências do Requisito de Conformidade - Lei nº 36/2010, ao nível do Domínio Organizacional iria ser alcançado.
Na execução desta actividade estiveram envolvidas por parte da ENTIDADE o Gestor de Aplicação do Datawarehouse de Clientes e o Gestor de Processo de Trabalho e Área de Qualidade. Esta
65
actividade foi acompanhada por parte da ENTIDADE, pela Função Compliance dos SI/TIC e pela Área de Risco e Segurança, por parte do BANCO, pela Unidade de Negócio e pela Função
Compliance do BANCO.
A realização desta actividade veio dar resposta à recomendação: (Rai.2) (Secção 5.2), e o alinhamento com o benefício esperado com a implementação da framework – (B6) (Secção 4.5), porque se pretendem implementar as medidas e os Controlos concebidos e avaliados para responder às exigências dos Requisitos de Conformidade, com o objectivo de melhorar a qualidade dos Serviços de SI/TIC prestados em matérias de Compliance.
Aferir a Efectividade da Solução de Compliance (PI.4)
Terminada a implementação foram executados os testes pelo grupo de trabalho para aferir se o que foi implementado opera conforme foi concebido e cumpre o objectivo de assegurar as exigências do Requisito de Conformidade - Lei nº 36/2010. No Catálogo Aplicacional foi associado o requisito à Aplicação Datawarehouse de Clientes, bem como os controlos concebidos e relacionados com a
Compliance. Verificou-se que esta informação é bastante relevante para o futuro, porque em caso de
alteração ao requisito, facilmente se identificam as aplicações relacionadas bem como os Controlos de Compliance, que asseguravam as anteriores exigências do requisito. Deste modo será mais fácil a identificação das possíveis lacunas. Após a aprovação da implementação, ou seja a verificação da efectividade das Funcionalidades Aplicacionais e dos Controlos de Compliance foi actualizado o Catálogo de Compliance dos SI/TIC. De seguida, as Funcionalidades Aplicacionais e dos Controlos de Compliance ficaram disponíveis para assegurar as exigências do Requisito de Conformidade - Lei nº 36/2010.
Na execução desta actividade estiveram envolvidas por parte da ENTIDADE, a Função Compliance dos SI/TIC, a Área de Risco e Segurança, por parte do BANCO, a Unidade de Negócio. Esta actividade foi acompanhada por parte da ENTIDADE, pelo Gestor de Aplicação do Datawarehouse de Clientes e por parte do BANCO, pela Função Compliance do BANCO.
A realização desta actividade veio dar resposta à recomendação: (Rai.3) (Secção 5.2), porque permite identificar, e comunicar eventuais desvios quanto às medidas e Controlos implementados para responder às exigências dos Requisitos de Conformidade. Por outro lado, alinha-se com o benefício esperado com a implementação da framework – (B7) (Secção 4.5), porque o que é pretendido é que a monitorização seja efectiva.