Quem está compliance também está seguro?

O ambiente de riscos de TI e compliance mudam constantemente. Para se manter competitiva, sua empresa precisa adotar uma estratégia de governança, gestão de riscos e compliance que acompanhe as constantes mudanças no ambiente de negócios e na regulamentação.

É preciso, também, atender às crescentes expectativas de acionistas e clientes. Contudo, o alinhamento desta estratégia com as melhores práticas de segurança da informação pode gerar impactos bem mais proativos à sua corporação, do que a mera adoção de uma ingênua postura reativa, focada apenas em requisitos de conformidade regulatórios.
A busca por compliance com normas e legislações internacionais, tais como ISO-27001, HIPAA, SOX, SAS-70 II é, sem dúvida, muito importante, tendo ajudado no amadurecimento da área de segurança da informação. Além disto, um estudo comparativo feito pelo portal IT Service Strategy demonstra que 90% dos requisitos regulatórios associados à segurança são idênticos. 
Os regulamentos podem adicionar ou remover um requisito aqui ou ali, mas na maioria das vezes, eles tentam atingir o mesmo objetivo. Então, se sua empresa abordar os 90% e, em seguida, buscar os requisitos adicionais, ela "deve" estar em conformidade com todos eles.
Porém, segundo Marcello Zillo, várias empresas erroneamente afirmam: "o importante é estar compliance, vamos fazer o mínimo necessário para isto".
Deste modo, elas fazem pouco caso de diversos aspectos da segurança da informação que, embora relevantes, não são imperativos à obtenção de compliance - o que é um enorme equívoco.
Pergunto ao leitor: estar compliance é sinônimo de "estar seguro"? Até que ponto a conformidade regulatória pode fornecer à empresa uma falsa sensação de segurança, colocando em alto risco informações vitais ao seu negócio?
É possível estar compliance e seguro? Na minha opinião, estar compliance não garante que seu negócio esteja seguro. Pode, talvez, aliviar um pouco a responsabilidade da área de segurança da informação da empresa, mas é preciso estar mais do que compliance para uma empresa poder se considerar genuinamente segura. 
É preciso estar compliance e também seguro, em um perfeito alinhamento estratégico mútuo, sendo que estar compliance é o mínimo necessário e desejado.
Portanto, a adoção de um eficiente programa de compliance, em paralelo à introdução de mecanismos mais eficazes para controle de segurança da informação em meio digital - como a opção por um provedor de serviços gerenciados de segurança (MSSP) - constituem excelente rumo a ser seguido.
Em particular, com um serviço MSS, a equipe interna de segurança da informação da sua empresa pode manter um foco estratégico em apoio ao programa de governança, gestão de riscos e compliance, uma vez que pode delegar as atividades, de nível operacional da segurança da informação digital corporativa, a um provedor especializado em serviços gerenciados de segurança.
Paulo Sergio Pagliusi é gerente de produtos e processos da Arcon
« Retornar    |    Imprimir    |    Indique esta página

Reconhecimento

Anuário Outsourcing 2013 - Pelo 4º ano consecutivo, a Arcon fica em 1º lugar do ranking no segmento de MSS.

Matéria completa


Anuário Informática Hoje

A Arcon está entre as 10 empresas de TI que mais cresceram no ano passado.
Matéria completa 


Posicionamento

Sobre a empresa

Com 18 anos de experiência, a Arcon tem como principal objetivo proporcionar a segurança de tecnologia da informação indispensável para seus clientes, elevando o nível de proteção e maximizando os resultados de seus investimentos.

Com SOCs redundantes localizados no Rio de Janeiro, São Paulo e Flórida e uma equipe de profissionais de segurança certificados e altamente capacitados, a Arcon protege mais de 600.000 ativos distribuídos nos 5 continentes e processa, diariamente, 1 bilhão de eventos.