Compliance e Cyber Segurança. Como Começar do Jeito Certo

Wendel Siota

Compliance, (do inglês to comply) em palavras resumidas, significa estar de acordo com determinadas normas ou regulamentos preestabelecidos. Assim sendo, quando falamos sobre compliance dentro da cibersegurança, estamos nos referindo a seguir um conjunto de boas práticas relacionadas à segurança da informação.

Mesmo que o compliance não queira dizer exatamente segurança, certamente a adequação a alguma norma ou regulamento melhora a responsabilidade e a transparência das operações de segurança das empresas. Organizações que não adotam um programa de compliance costumam enfrentar auditorias mais severas e, em muitas situações, acabam por perder boas oportunidades de negócio ou mesmo ter sua reputação manchada.

Sejam quais forem os regulamentos ou normas a serem seguidos, a fórmula ideal de preparação, para se obter sucesso, deve, obrigatoriamente, passar por algumas etapas, que listamos abaixo:

Conheça sua conformidade

Países e mercados diferentes possuem normas e práticas distintas. Dependendo do setor ou do país em que você está, das informações que armazena, das transações que realiza ou com quem faz negócios, sua organização pode precisar cumprir uma série de regulamentações. Portanto, seja CCPA, GDPR, LGPD, CMMC, HIPAA, PCI-DSS ou NYDFS, um estudo aprofundado da norma e de seus requisitos, antes de qualquer ação, é sumariamente recomendável.

Autoavaliação

De posse do entendimento sobre as normas, uma avaliação completa, e honesta, de segurança cibernética deve estar no topo da lista ao iniciar o processo de conformidade. Entenda o posicionamento de sua organização perante as recomendações exigidas.

Priorize as lacunas de segurança

Depois que a avaliação estiver concluída, certifique-se de levar em consideração quaisquer lacunas que impeçam a organização de atingir a conformidade total. Priorize as lacunas com base no nível de risco relativo e crie um plano para implementar as mudanças necessárias. Lembre-se, quanto mais itens você optar por ignorar ou varrer para debaixo do tapete, maiores serão as lacunas e mais complicado será alcançar a conformidade a longo prazo.

Estabeleça Cronogramas

Cronogramas ajudam a definir um caminho claro e um conjunto de prioridades a serem alcançadas para que os negócios se tornem compatíveis com a segurança. Os organismos de acreditação podem exigir que as organizações planejem pelo menos seis meses antes da auditoria. Nos casos em que o negócio não está preparado ou não possui um programa estabelecido, alguns organismos de acreditação podem exigir que você inicie os preparativos pelo menos 12 meses antes da auditoria.

Empregue uma Abordagem sistemática

Uma das coisas mais importantes sobre conformidade é simplificar e organizar as informações para que possam ser acessadas facilmente, quando o auditor tiver dúvidas. Isso não apenas torna as coisas menos demoradas, mas também ajuda a definir o tom da auditoria. As plataformas GRC (governança, risco e conformidade) geralmente são equipadas com modelos integrados para uma ampla gama de regulamentações que podem reduzir o tempo, o esforço e o dinheiro necessários para atender às obrigações de conformidade. Procure ferramentas que possam fornecer uma visão única do estado geral da organização quanto à sua postura de risco e conformidade (incluindo seus ecossistemas estendidos, como fornecedores, vendedores e parceiros).

Monitoramento Contínuo

As organizações podem ficar fora de conformidade se não estiverem rastreando seus controles e ações regularmente. As equipes de segurança devem estabelecer um processo de monitoramento e ajuste fino dos sistemas de segurança cibernética com atualizações, patches de segurança, verificações de vulnerabilidade e avaliações de terceiros. Implante um sistema que identifica problemas de segurança e fornece alertas proativos em caso de falhas. Alguns regulamentos podem exigir o monitoramento de fornecedores e parceiros por questões de segurança.

As Pessoas no Centro da Segurança

A maioria dos regulamentos exige que as organizações treinem e eduquem os funcionários sobre as melhores práticas de segurança cibernética, como o uso de senhas fortes, navegação segura, reconhecimento de golpes online etc. à equipe de segurança. Os usuários também devem cumprir os requisitos que regem como os dados devem ser tratados, armazenados, copiados e excluídos. Estudos mostram que a conformidade é uma questão cultural , portanto, os líderes organizacionais devem liderar pelo exemplo.

Documente tudo

A maioria dos reguladores e avaliadores espera que as empresas forneçam documentos sob demanda assim que forem confrontados com alguma questão. Portanto, as equipes de segurança devem capturar tudo, desde processos e logs de segurança até dados históricos, que podem ser apresentados como evidência conforme necessário. As organizações que tendem a se sair melhor em auditorias são aquelas que tratam todos os dias como dia de auditoria.

Conte com ajuda especializada

Atingir níveis elevados de compliance pode ser uma tarefa hercúlea em muitas situações. É importante ter em mente que você pode, e deve, buscar ajuda durante o processo de adequação às normas de segurança, sejam elas quais forem. A EximiaCo dispõe de consultores especialistas em segurança cibernética e que fazem questão de conhecer o seu negócio para ajudar a produzir níveis de aderência adequados a qualquer normativo.

Confira o episódio do Eximia Talks onde Elemar Jr. e Wendel Siota conversam sobre como adotar leis e normas relacionadas a segurança da informação.

Compartilhe este insight:

Comentários

Participe deixando seu comentário sobre este artigo a seguir:

Subscribe
Notify of
guest
0 Comentários
Inline Feedbacks
View all comments

AUTOR

Wendel Siota
Mais de 25 anos de experiência em cyber security em grandes corporações.

SOLUÇÕES EXIMIACO

Gestão em Segurança da Informação

Ambientes mais seguros para sua empresa crescer com confiança.

Manual do CSO

Como atuar com excelência na gestão de segurança corporativa.
Especialista em segurança da informação

NOVOS HORIZONTES PARA O SEU NEGÓCIO

Nosso time está preparado para superar junto com você grandes desafios tecnológicos.

Entre em contato e vamos juntos utilizar a tecnologia do jeito certo para gerar mais resultados.

Insights EximiaCo

Confira os conteúdos de negócios e tecnologia desenvolvidos pelos nossos consultores:

Engenharia de Software

Três vantagens reais de utilizar orquestradores BPM para serviços

Arquiteto de software e solução com larga experiência corporativa
Desenvolvimento de Software

Os principais desafios ao adotar testes

Especialista em Testes e Arquitetura de Software
Arquitetura de Dados

Insights de um DBA na análise de um plano de execução

Especialista em performance de Bancos de Dados de larga escala

Acesse nossos canais

Simplificamos, potencializamos e aceleramos resultados usando a tecnologia do jeito certo

EximiaCo 2022 – Todos os direitos reservados

0
Queremos saber a sua opinião, deixe seu comentáriox
()
x

Compliance e Cyber Segurança. Como Começar do Jeito Certo

Para se candidatar nesta turma aberta, preencha o formulário a seguir:

Condição especial de pré-venda: R$ 14.000,00 - contratando a mentoria até até 31/01/2023 e R$ 15.000,00 - contratando a mentoria a partir de 01/02/2023, em até 12x com taxas.

Tenho interesse nessa capacitação

Para solicitar mais informações sobre essa capacitação para a sua empresa, preencha o formulário a seguir:

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

O seu insight foi excluído com sucesso!

O seu insight foi excluído e não está mais disponível.

O seu insight foi salvo com sucesso!

Ele está na fila de espera, aguardando ser revisado para ter sua publicação programada.

Tenho interesse em conversar

Se você está querendo gerar resultados através da tecnologia, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse nessa solução

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

Tenho interesse neste serviço

Se você está procurando este tipo de solução para o seu negócio, preencha este formulário que um de nossos consultores entrará em contato com você:

× Precisa de ajuda?