Por que estar em conformidade com leis e regulamentações é tão importante para a sua empresa?
A Segurança da Informação nunca esteve tão em evidência como nos dias de hoje.
Desde o fatídico 12 de maio de 2017, quando o mundo foi pego de “surpresa” pelo Wannacry (ransomware que fez mais de 300 mil vítimas em cerca de 150 países), o tema ganhou sobrevida dentro das organizações. Tanto que de lá para cá foi possível perceber uma grande movimentação no mercado e novas resoluções, regulamentações e propostas de leis foram criadas a fim de proporcionar um ambiente mais seguro para os negócios digitais.
GDPR, LGDP, Resolução 4.658, ISO27001, NIST, CobiT…
Todas elas têm um papel fundamental para as companhias hoje, independente do porte ou segmento em que atua. Elas são produtos originados a partir de anos de experiência e estudos. Consequentemente, todos as empresas podem se beneficiar e gerenciar seus riscos tecnológicos, cibernéticos e corporativos se as utilizarem corretamente. Até já falei aqui, em meu artigo anterior, que a Gestão de Riscos Cibernéticos pode alavancar os negócios quando bem aplicada.
No entanto, muitas empresas fazem gastos elevados (e muitas vezes, desnecessários) em tecnologias que prometem deixá-las em conformidade com tais regras, quando na verdade deveriam inicialmente realizar um diagnóstico para ter um retrato de sua situação atual.
Por meio desse trabalho, as organizações saberão seu grau de aderência às regras desejadas, seu nível de maturidade e os riscos dos controles das normas frente aos negócios. Através desse relatório (que nada mais é que um Plano Diretor) ficará mais fácil para as companhias decidirem o quanto desejam investir, mensurando os riscos que desejam evitar.
Algumas pequenas e médias empresas tendem achar que, por serem menores, não serem tão desejadas por atacantes ou terem faturamento elevado não precisam se preocupar com essas regras. Ledo engano! Por mais que elas utilizem recursos tecnológicos, seja um firewall, ferramentas de prevenção ao vazamento de dados ou de criptografia de dados, não dá para desconsiderar o fator humano. Ou seja, de nada adiantam tecnologias se o funcionário da empresa ou o parceiro burlar os controles de segurança (seja de maneira intencional ou acidental).
Atualmente há um grande esforço a ser desenvolvido quando o assunto é Conscientização em Segurança, Cyber Awareness ou Educação Digital. É preciso investir em um Programa Contínuo de Conscientização, considerando e-learning, simulações de phishing, jogos entre as áreas e materiais informativos, e não apenas realizar palestras. Qualquer regra, resolução, norma e boa prática abordará esse tema.
As leis e regulamentações brasileiras vigentes hoje são comparadas às internacionais e, a Lei Geral de Proteção de Dados aprovada, o Brasil estará entre um seleto time de países que têm leis específicas para proteger os dados dos cidadãos. Isso quer dizer que estamos entrando em um caminho sem volta.
Outras leis e regulamentações virão. Estar em conformidade com elas é um diferencial competitivo.
Entre em contato com a AuditSafe para uma conversa!
