Compliance, (do inglês to comply) em palavras resumidas, significa estar de acordo com determinadas normas ou regulamentos preestabelecidos. Assim sendo, quando falamos sobre compliance dentro da cibersegurança, estamos nos referindo a seguir um conjunto de boas práticas relacionadas à segurança da informação.
Mesmo que o compliance não queira dizer exatamente segurança, certamente a adequação a alguma norma ou regulamento melhora a responsabilidade e a transparência das operações de segurança das empresas. Organizações que não adotam um programa de compliance costumam enfrentar auditorias mais severas e, em muitas situações, acabam por perder boas oportunidades de negócio ou mesmo ter sua reputação manchada.
Sejam quais forem os regulamentos ou normas a serem seguidos, a fórmula ideal de preparação, para se obter sucesso, deve, obrigatoriamente, passar por algumas etapas, que listamos abaixo:
Conheça sua conformidade
Países e mercados diferentes possuem normas e práticas distintas. Dependendo do setor ou do país em que você está, das informações que armazena, das transações que realiza ou com quem faz negócios, sua organização pode precisar cumprir uma série de regulamentações. Portanto, seja CCPA, GDPR, LGPD, CMMC, HIPAA, PCI-DSS ou NYDFS, um estudo aprofundado da norma e de seus requisitos, antes de qualquer ação, é sumariamente recomendável.
Autoavaliação
De posse do entendimento sobre as normas, uma avaliação completa, e honesta, de segurança cibernética deve estar no topo da lista ao iniciar o processo de conformidade. Entenda o posicionamento de sua organização perante as recomendações exigidas.
Priorize as lacunas de segurança
Depois que a avaliação estiver concluída, certifique-se de levar em consideração quaisquer lacunas que impeçam a organização de atingir a conformidade total. Priorize as lacunas com base no nível de risco relativo e crie um plano para implementar as mudanças necessárias. Lembre-se, quanto mais itens você optar por ignorar ou varrer para debaixo do tapete, maiores serão as lacunas e mais complicado será alcançar a conformidade a longo prazo.
Estabeleça Cronogramas
Cronogramas ajudam a definir um caminho claro e um conjunto de prioridades a serem alcançadas para que os negócios se tornem compatíveis com a segurança. Os organismos de acreditação podem exigir que as organizações planejem pelo menos seis meses antes da auditoria. Nos casos em que o negócio não está preparado ou não possui um programa estabelecido, alguns organismos de acreditação podem exigir que você inicie os preparativos pelo menos 12 meses antes da auditoria.
Empregue uma Abordagem sistemática
Uma das coisas mais importantes sobre conformidade é simplificar e organizar as informações para que possam ser acessadas facilmente, quando o auditor tiver dúvidas. Isso não apenas torna as coisas menos demoradas, mas também ajuda a definir o tom da auditoria. As plataformas GRC (governança, risco e conformidade) geralmente são equipadas com modelos integrados para uma ampla gama de regulamentações que podem reduzir o tempo, o esforço e o dinheiro necessários para atender às obrigações de conformidade. Procure ferramentas que possam fornecer uma visão única do estado geral da organização quanto à sua postura de risco e conformidade (incluindo seus ecossistemas estendidos, como fornecedores, vendedores e parceiros).
Monitoramento Contínuo
As organizações podem ficar fora de conformidade se não estiverem rastreando seus controles e ações regularmente. As equipes de segurança devem estabelecer um processo de monitoramento e ajuste fino dos sistemas de segurança cibernética com atualizações, patches de segurança, verificações de vulnerabilidade e avaliações de terceiros. Implante um sistema que identifica problemas de segurança e fornece alertas proativos em caso de falhas. Alguns regulamentos podem exigir o monitoramento de fornecedores e parceiros por questões de segurança.
As Pessoas no Centro da Segurança
A maioria dos regulamentos exige que as organizações treinem e eduquem os funcionários sobre as melhores práticas de segurança cibernética, como o uso de senhas fortes, navegação segura, reconhecimento de golpes online etc. à equipe de segurança. Os usuários também devem cumprir os requisitos que regem como os dados devem ser tratados, armazenados, copiados e excluídos. Estudos mostram que a conformidade é uma questão cultural , portanto, os líderes organizacionais devem liderar pelo exemplo.
Documente tudo
A maioria dos reguladores e avaliadores espera que as empresas forneçam documentos sob demanda assim que forem confrontados com alguma questão. Portanto, as equipes de segurança devem capturar tudo, desde processos e logs de segurança até dados históricos, que podem ser apresentados como evidência conforme necessário. As organizações que tendem a se sair melhor em auditorias são aquelas que tratam todos os dias como dia de auditoria.
Conte com ajuda especializada
Atingir níveis elevados de compliance pode ser uma tarefa hercúlea em muitas situações. É importante ter em mente que você pode, e deve, buscar ajuda durante o processo de adequação às normas de segurança, sejam elas quais forem. A EximiaCo dispõe de consultores especialistas em segurança cibernética e que fazem questão de conhecer o seu negócio para ajudar a produzir níveis de aderência adequados a qualquer normativo.
Confira o episódio do Eximia Talks onde Elemar Jr. e Wendel Siota conversam sobre como adotar leis e normas relacionadas a segurança da informação.