ISO 27001. PCI DSS. GDPR. Quando se trata de padrões de negócios e segurança, é fácil se perder na sopa de siglas do alfabeto.
Como você pode discernir quais são adequados para sua organização? Comece fazendo algumas perguntas de alto nível sobre o que você espera realizar adotando-as – e como a adesão aos padrões pode ajudar seu crescimento, diz Khushbu Pratap, analista principal sênior do Gartner que cobre riscos e conformidade.
“As perguntas mais importantes a serem feitas são: seus clientes estão solicitando e as partes interessadas acham que um padrão específico é importante?” diz Pratap.
Supondo que as respostas sejam afirmativas, há fatores adicionais a serem considerados antes de avançar com uma estratégia de conformidade. As sete dicas práticas descritas neste recurso ajudarão. As organizações altamente regulamentadas geralmente têm equipes especiais que trabalham com esses padrões, mas mesmo para eles, use esta lista como uma chance de dar um passo atrás e direcionar melhor suas equipes de conformidade e certificação aos padrões.
Decida se a conformidade é suficiente
Conformidade significa que seu sistema de segurança cumpre todos os padrões e regulamentações. Tudo bem, mas seus clientes podem exigir que seu sistema seja certificado pelo órgão governamental apropriado. Com a certificação, as empresas podem mostrar provas físicas de uma reivindicação de conformidade.
É por isso que é importante descobrir se seus clientes estão pedindo certificação – e também se as partes interessadas da sua empresa acreditam que é importante. Nesse caso, os programas de certificação exigem adesão da alta gerência e utilizam recursos extras para manter documentos e pagar consultores.
Em muitos casos, se uma empresa dedica algum tempo para obter uma certificação, muitas vezes evita auditorias adicionais no futuro porque a maioria dos clientes confia no certificado verificado independentemente, acrescenta Lindsey Ullian, gerente de conformidade da Threat Stack.
Defina o escopo do projeto com cuidado
O Pratap, do Gartner, diz que as empresas geralmente tentam assumir muito quando adotam padrões. Portanto, comece definindo o escopo – determine para quais departamentos e funcionários esses padrões são direcionados. Claramente, os preços de um fornecedor de segurança ou empresa de consultoria também dependerão do escopo. A finalização do escopo no início do processo pode economizar tempo e custos significativos na iniciativa geral. Deseja controlar custos? Aperte o escopo do projeto de padrões.
Saiba por que a empresa quer usar o padrão
O padrão ISO 27001, reconhecido internacionalmente por oferecer uma forte linha de base de controles de segurança para as organizações, é tão abrangente que a maioria das empresas acaba não utilizando a grande maioria do que oferece. Para obter o melhor retorno possível, o Pratap da Gartner aconselha as empresas a dar um passo atrás e pensar sobre qual aspecto dos padrões eles vão cumprir e como isso ajudará os negócios. Eles querem usar o padrão para autenticação multifator? Criptografia de e-mail? Ou ter uma linguagem e um entendimento comuns de segurança e risco?
Muito dependerá da indústria da organização. Por exemplo, prestadores de serviços bancários e de defesa podem se concentrar na criptografia, enquanto uma prática médica pode fornecer mais autenticação mais forte para portais de pacientes.
Determinar como o novo padrão se alinha aos planos de crescimento da empresa
As empresas precisam perguntar como os padrões as tornarão organizações mais fortes e as colocarão em posição de expandir os negócios, diz Pratap, da Gartner. Por exemplo, as equipes de segurança precisam comunicar à alta gerência novas oportunidades que se apresentarão devido a uma nova certificação. Por exemplo, o PCI DSS pode aumentar os negócios porque a empresa agora pode processar cartões de crédito, enquanto a conformidade com o GDPR pode potencialmente tornar os negócios mais atraentes para clientes da UE e outras empresas em todo o mundo.
As estruturas regulatórias também ajudam as organizações a melhorar o processo de conformidade toda vez que se preparam para uma auditoria ou revisam os controles internos, acrescenta Ullian da Threat Stack. Com o tempo, as empresas podem automatizar usando ferramentas externas projetadas para otimizar um processo de trabalho manual para uma auditoria de conformidade. Essas ferramentas geralmente incluem funções de auditoria interna que podem ajudar a garantir que a empresa mantenha a conformidade contínua, evitando a pressa de fazer alterações quando chegar a hora da auditoria.
Determinar quanto custará cumprir com o padrão
De acordo com o Pratap da Gartner, o preço base para uma avaliação gira em torno de US $ 50.000. Isso exclui o treinamento, a contratação de consultores e a realização de testes com caneta, quando necessário. Ullian, da Threat Stack, diz que custo e ROI são fatores importantes em qualquer programa de conformidade, mas também é importante lembrar que, para regulamentos de conformidade como GDPR e PCI, o custo da não conformidade pode ser uma ordem de magnitude maior do que a conformidade mais detalhada e dispendiosa programas. As empresas precisam pensar em termos dos benefícios da conformidade, ela sugere. Para estruturas de conformidade opcionais, o custo deve ser ponderado em relação aos benefícios que oferece, como ciclos de vendas mais rápidos e risco reduzido de incidentes de segurança.
Treinamento e Preparação
O Pratap da Gartner diz que as empresas devem treinar pelo menos dois membros da equipe para se tornarem especialistas no assunto nas certificações selecionadas. A maioria dos órgãos de criação de padrões ou de certificação oferecerá cursos de treinamento. No mínimo, os parceiros de consultoria oferecerão serviços de “treinamento do instrutor” para equipes internas. Acompanhe implementando os requisitos do padrão de segurança escolhido e prepare os funcionários para realizar auto-auditorias. Isso ajuda a preparar documentação e evidências e organiza o acesso somente leitura à infraestrutura no escopo da auditoria.
Desenvolver e implementar um regime de manutenção
As auditorias de certificação de segurança costumam ser uma rotina anual, diz Pratap, do Gartner. No entanto, é importante pensar no esforço necessário para manter o certificado válido como um processo contínuo que envolve o aprimoramento das práticas de segurança e o aprendizado de experiências anteriores. Mantenha as atividades de conformidade de segurança responsáveis, mantendo diligentemente registros. Se uma empresa faz isso, é mais provável manter a certificação.