Até que ponto a conformidade regulatória pode fornecer à empresa uma falsa sensação de segurança, colocando em alto risco informações vitais ao seu negócio?
O ambiente de riscos de TI e compliance mudam constantemente. Para se manter competitiva, sua empresa precisa adotar uma estratégia de governança, gestão de riscos e compliance que acompanhe as constantes mudanças no ambiente de negócios e na regulamentação. É preciso, também, atender às crescentes expectativas de acionistas e clientes. Contudo, o alinhamento desta estratégia com as melhores práticas de segurança da informação pode gerar impactos bem mais proativos à sua corporação, do que a mera adoção de uma ingênua postura reativa, focada apenas em requisitos de conformidade regulatórios.
A busca por compliance com normas e legislações internacionais, tais como ISO-27001, HIPAA, SOX, SAS-70 II é, sem dúvida, muito importante, tendo ajudado no amadurecimento da área de segurança da informação. Além disto, um estudo comparativo feito pelo portal IT Service Strategy demonstra que, 90% dos requisitos regulatórios associados à segurança são idênticos. Os regulamentos podem adicionar ou remover um requisito aqui ou ali, mas na maioria das vezes, eles tentam atingir o mesmo objetivo. Então, se sua empresa abordar os 90% e, em seguida, buscar os requisitos adicionais, ela “deve” estar em conformidade com todos eles.
Porém, segundo Marcello Zillo, várias empresas erroneamente afirmam: “o importante é estar compliance, vamos fazer o mínimo necessário para isto”. Deste modo, elas fazem pouco caso de diversos aspectos da segurança da informação que, embora relevantes, não são imperativos à obtenção de compliance – o que é um enorme equívoco. Caso sua empresa adote esta postura, você precisa ler este artigo até o fim.
Pergunto ao leitor: estar compliance é sinônimo de “estar seguro”? Até que ponto a conformidade regulatória pode fornecer à empresa uma falsa sensação de segurança, colocando em alto risco informações vitais ao seu negócio? É possível estar compliance e seguro? Na minha opinião, estar compliance não garante que seu negócio esteja seguro. Pode, talvez, aliviar um pouco a responsabilidade da área de segurança da informação da empresa, mas é preciso estar mais do que compliance para uma empresa poder se considerar genuinamente segura. É preciso estar compliance e também seguro, em um perfeito alinhamento estratégico mútuo, sendo que estar compliance é o mínimo necessário e desejado.
Portanto, a adoção de um eficiente programa de compliance, em paralelo à introdução de mecanismos mais eficazes para controle de segurança da informação em meio digital – como a opção por um provedor de serviços gerenciados de segurança (MSSP) – constituem excelente rumo a ser seguido. Em particular, com um serviço MSS, a equipe interna de segurança da informação da sua empresa pode manter um foco estratégico em apoio ao programa de governança, gestão de riscos e compliance, uma vez que pode delegar as atividades, de nível operacional da segurança da informação digital corporativa, a um provedor especializado em serviços gerenciados de segurança.
*Paulo Sergio Pagliusi é Gerente de Produtos e Processos da Arcon
