Nós usamos cookies e outras tecnologias semelhantes para melhorar a sua experiência em nosso site.
Ao utilizar nosso site e suas ferramentas, você concorda com a nossa Política de Privacidade.

Cia Consultores - Política de Privacidade

Esta política estabelece como ocorre o tratamento dos dados pessoais dos visitantes dos sites dos projetos gerenciados pela Cia Consultores.

As informações coletadas de usuários ao preencher formulários inclusos neste site serão utilizadas apenas para fins de comunicação de nossas ações.

O presente site utiliza a tecnologia de cookies, através dos quais não é possível identificar diretamente o usuário. Entretanto, a partir deles é possível saber informações mais generalizadas, como geolocalização, navegador utilizado e se o acesso é por desktop ou mobile, além de identificar outras informações sobre hábitos de navegação.

O usuário tem direito a obter, em relação aos dados tratados pelo nosso site, a qualquer momento, a confirmação do armazenamento desses dados.

O consentimento do usuário titular dos dados será fornecido através do próprio site e seus formulários preenchidos.

De acordo com os termos estabelecidos nesta política, a Cia Consultores não divulgará dados pessoais.

Com o objetivo de garantir maior proteção das informações pessoais que estão no banco de dados, a Cia Consultores implementa medidas contra ameaças físicas e técnicas, a fim de proteger todas as informações pessoais para evitar uso e divulgação não autorizados.

fechar
Linkedin

Notícias

Segurança é fator crítico para Compliance da Informação! Fonte: IT Fórum 365, 28/10/2016

Em relação ao recurso informação para se estar em Compliance é fundamental a existência de um Processo Corporativo de Segurança da Informação. Mas como fazer?

Em tempos atuais de turbulências corporativas, a questão do Compliance (Conformidade com a legislação e comportamentos definidos) tem sido mais fortemente debatida. Em relação ao recurso informação para se estar em Compliance é fundamental a existência de um Processo Corporativo de Segurança da Informação. Compliance não acontece sem a segurança da informação! A segurança da informação é a base para um processo de Compliance Corporativo.

Mas, como desenvolver uma Gestão de Compliance da Informação? Descrevemos abaixo as etapas necessárias para que uma organização desenvolva e mantenha a sua informação ou a informação que está sob sua responsabilidade, de maneira adequada aos requisitos de conformidade exigidos.

1. Identifique seus direcionadores
Inicialmente para realizar uma Gestão de Compliance da Informação é necessário identificar quais são os direcionadores obrigatórios que a organização precisa seguir, precisa estar em conformidade, isto é, precisa estar Compliance.

Definimos como Direcionadores Obrigatórios:
- Legislação (nacional ou de outros países).
- Regulamentos específicos de um determinado segmento (exemplo das instituições financeiras).
- Exigências de mercado (pode ser uma certificação).
- Regras definidas pela própria organização, como Código de Conduta, Código de Ética, Código de Transparência da Informação.
- Algum elemento específico para a organização.

Exceto em relação à legislação e regulamentos setoriais onde todas as organizações são obrigadas a cumprir, os demais direcionadores vão depender do que a organização deseja. Sendo assim, está em conformidade pode ser diferente para organizações diferentes. O exemplo mais simples é o Código de Conduta. Apesar de todas as organizações possuírem um belo e exemplar texto, o que vale na prática é a prática do Código de Conduta.

2. Identifique quais são os controles exigidos pelos direcionadores
Cada direcionador define uma série de controles que devem ser desenvolvidos, implementados e mantidos (sustentados) ao longo do tempo pela organização. Algumas definições são amplas e bem conceituais, dando margem a várias interpretações para a sua implementação. Outras definições, por sua vez, são bastantes específicas e de fácil verificação o seu funcionamento.

Para os controles mais conceituais, explicite o que significa seguir estes controles. É necessário que toda a organização e principalmente o seu Corpo Diretivo entenda e esteja ciente das consequências do atendimento a estes controles.

3. Defina uma Arquitetura de Segurança da Informação
Para a existência de um Processo Corporativo de Segurança da Informação é necessário um passo anterior: a definição de qual arquitetura iremos seguir. Existem diversas arquiteturas e cada uma com suas características. Pessoalmente entendo que a arquitetura definida pela Norma NBR ISO/IEC 27002 é um padrão aceito internacionalmente e de fácil entendimento. Além de já ser uma norma ABNT e de fácil acesso para todas as organizações. Mas, a sua organização pode ser obrigada a seguir alguma outra, como por exemplo o NIST do governo norte americano. O importante é que fique explícito para todos qual a arquitetura qua a organização segue.

4. Avalie a Arquitetura de Segurança e os Controles dos Direcionadores.
Tomando por base o conjunto de controles (amplos ou específicos) definidos nos direcionadores obrigatórios, verifique se a Arquitetura de Segurança da Informação adotada, atende ou possibilita atender estes controles. Como dissemos anteriormente, talvez a arquitetura não defina especificamente o controle necessário, mas se esta arquitetura contempla o assunto do controle, podemos assumir que esta arquitetura é adequada.

Nesta etapa, caso a arquitetura adotada considere os controles exigidos pelos direcionadores corporativos, podemos afirmar que a Gestão de Compliance da Informação poderá acontecer de maneira adequada seguindo esta arquitetura.

5. Avalie a efetividade do funcionamento dos controles da Arquitetura de Segurança
Esta é a etapa da verdade! Avalie a maturidade do atendimento dos controles. É neste ponto que concretamente saberemos se a organização está adequadamente em conformidade com os direcionadores. Podemos afirmar que nesta etapa a Gestão de Compliance da Informação acontece. Ou não.

Uma sugestão: se você vai realizar a primeira avaliação, considere inicialmente os macrocontroles. Outra opção para organizações muito grandes é considerar um determinado escopo. Temos que ter o cuidado com o tamanho do projeto de avaliação de maturidade dos controles.

6. Divulgue o Nível de Compliance e planeje as ações de melhoria
O nível atual de Compliance da Informação da organização deve ser divulgado internamente com o Corpo Diretivo. Porém, não se encerra com esta atividade. É necessário, considerando o não atendimento dos controles de Compliance de Informação, a elaboração de um planejamento de ações para que a organização atinja o seu patamar adequado de Compliance da Informação.

7. Estamos falando de Gestão de Compliance
Muitas vezes o Compliance é tomado como um fato. É necessário encarar uma Gestão de Compliance, e no nosso caso, uma Gestão de Compliance da Informação. Sendo assim é necessário a realização das etapas anteriores em um ciclo de gestão, em um ciclo de melhoria (tipo PDCA).

A colaboração da Segurança da Informação com o Compliance da Informação se encaixam como peças de um quebra cabeça cujo objetivo é o atendimento dos objetivos corporativos. O mais importante é as peças se encaixarem e que o conjunto seja terminado.

Normalmente se destaca o Compliance pelo seu valor legal, mas, Compliance é mais do que legislação é atendimento ao que a organização quer considerar como direcionador.

E Segurança da Informação é mais do que Compliance. Sendo assim, a junção de Segurança da Informação e Compliance protegem a informação e permitem a sustentabilidade da organização.

Outras notícias

Acesse seus certificados