Compliance com normas e regulamentos: qual o papel da TI?

Sem a TI a maioria das empresas para. Seu papel em micro, pequenos, médios e grandes negócios vai desde a implementação da comunicação até a segurança de tudo que transita na rede. É também a TI que impulsiona a inovação, a qual faz parte  do caminho para o sucesso dos negócios.

Há tempos a TI deixou de ser secundária para assumir uma posição de destaque. Para negócios que buscam compliance com as normas ISOs e ABNT, por exemplo, a Tecnologia da Informação é essencial. A área pode ajudar empresas a adequarem processos e rotinas para evoluir na gestão de negócios, impulsionar resultados e garantir o crescimento organizacional.

Para entender melhor, invista alguns minutos na leitura deste artigo e conheça mais sobre:

  • ISO 27000
  • ISO 31000
  • NBR 15999-1

ISO 27000

A família ISO 27000 é um padrão para gerenciamento de serviços de tecnologia da informação. Converge para o Sistema de Gestão de Segurança da Informação (SGSI), portanto, fornece uma estrutura de padrões sobre como uma empresa deve gerenciar suas informações e dados.

Como já comentado no blog da Scurra, hoje em dia é imprescindível que empresas reconheçam a importância da segurança cibernética. Nesse contexto, quanto mais madura a organização for nessa ISO, mais ela mostra o quanto é segura e confiável com dados.

Dentro da série ISO 27000, a ISO 27001 é o padrão central e contém os requisitos de implementação de um SGSI. Como a gestão de riscos é uma parte fundamental da norma, estar em conformidade com ela garante que a empresa entende onde estão seus pontos fortes e fracos.

Dentre as melhores práticas da família ISO 27001 estão:

  • Como a organização define os privilégios de acesso e quem é responsável por mantê-los;
  • Como as políticas devem ser escritas no SGSI e revisadas;
  • Quais são as melhores práticas de criptografia, ou seja, como a empresa lida com dados confidenciais e o tipo de criptografia utilizado;
  • Como os funcionários são informados sobre a segurança cibernética;
  • Como as transmissões de dados acontece na rede e quais sistemas de comunicação são usados (e como é a segurança dessa transição),
  • Entre outras.

ISO 31000

A ISO 31000 é relacionada à gestão de riscos, algo essencial para as organizações que pensam na longevidade. O objetivo é o de encontrar um equilíbrio entre maximizar oportunidades de ganho e minimizar vulnerabilidades e perdas. Em outras palavras, ao gerenciar riscos de forma eficaz as organizações conseguem ter um bom desempenho mesmo em um ambiente cheio de incertezas.

Um dos passos para a compliance com a ISO 31000 é compreender como a organização funciona, os riscos internos e externos, as vulnerabilidades e as ameaças. A TI, com toda sua estrutura para manter a segurança da informação e as operações funcionando, exerce um papel importante na gestão de riscos.

Leia também: Gestão de riscos de TI: gerencie ameaças e vulnerabilidades de sistemas e segurança

NBR 15999-1 – Gestão de Continuidade dos Negócios (GCN)

De acordo com o site ABNT Catálogo, a norma tem como objetivo “fornecer uma base para que se possa entender, desenvolver e implementar a continuidade de negócios em uma organização além de obter confiança nos negócios da organização com clientes e outras organizações. Ela permite também que a organização avalie sua capacidade de GCN de uma maneira consistente e reconhecida”.

Quando abordamos o tema “gestão da continuidade de negócios” nos referimos a toda estrutura, em termos estratégicos e operacionais, que uma organização adota para estar preparada de modo que possíveis interrupções não a impeçam de atingir seus objetivos. Para isso, necessita estar com a TI pronta para garantir que a empresa tenha a capacidade de gerenciar uma interrupção no negócio.

Em suma

Apesar de citar três exemplos de normas (ISO 27000, ISO 3100 e BNR 15999-1), a TI é fundamental em qualquer escopo. Com relação à segurança dos dados, a implementação desses padrões mostra que a empresa está aderente às práticas universalmente aceitas, demonstrando confiança e estabelecendo credibilidade com clientes, fornecedores e parceiros de negócios.

A aderência especialmente aos padrões ISO garante a implementação de controles técnicos, administrativos e operacionais confiáveis. Isso torna fácil avaliar e priorizar os diversos riscos de segurança de TI e tomar decisões mais informadas e precisas.

Quer saber mais? Entre em contato com a Scurra!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *