Por Otto Pohlmann, CEO da Centric Solution
As empresas possuem dados e informações importantes tanto suas como de seus clientes. Se houver uma invasão e esses dados vazarem acarretará diversos problemas. Somado a esse risco, as companhias têm que cumprir condições de compliance de segurança exigidas pelas regulamentações governamentais e do próprio mercado que atuam.
É fundamental estar em dia com os principais controles de segurança, automação funcional e visibilidade integrada dos produtos, vou enumerar alguns:
- Regulamento Geral de Proteção de Dados da UE (GDPR): esse regulamento da União Europeia está em vigor, e em caso de não conformidade ocasiona multas de até 4% do faturamento anual das empresas. Por isso, o tratamento e a confidencialidade dos dados são tão importantes;
- Padrão de Segurança de Dados (Data Security Standard, DSS) do Setor de Cartões de Pagamento (Payment Card Industry, PCI): a detecção e prevenção de invasões, proteção contra malware, monitoramento de integridade, application control, logs do sistema e requisitos de firewall precisam estar em dia para não sofrerem ataques e, dessa maneira, proporcionarem transações mais seguras;
- HIPAA (Health Insurance Portability and Accountability Act) é uma lei estrangeira aplicada nos Estados Unidos para empresas do segmento de saúde no que se refere à proteção dos dados. Trazendo para a nossa realidade, a LGPD (Lei Geral de Proteção de Dados Pessoais) é o que temos de mais próximo nesse sentido;
- PCI Compliance: trata-se de um padrão de segurança internacional direcionado para a indústria de cartões de crédito e débito, cujo objetivo é promover de maneira mais segura o processamento, armazenamento e transmissão dos dados sensíveis desses meios de pagamento, e assim evitar fraudes e vazamento de dados;
- Lei Sarbanes-Oxley (SOX): responsabilizando civil e criminalmente os executivos das empresas em caso de fraudes, ainda que eles não tenham participação direta. Seu intuito é que as empresas demonstrem eficiência na Governança Corporativa e definir controles que são necessários para garantir a segurança, veracidade, integridade entre outros aspectos da informação;
- ISO 20000: uma das primeiras normas e padrões internacionais pensados para a área de TI, compila processos destinados ao gerenciamento efetivo de serviços de TI para clientes internos e externos, sendo divididos em 20000-1 que tange aos requisitos obrigatórios para fornecer serviços de TI e a prestação de uma gestão de serviços eficaz e eficiente para clientes e empresas e a ISO 20000-2 que detalha o conjunto de práticas para gerenciamento de serviços relacionados ao primeiro documento;
- ITIL (ou Biblioteca de Infraestrutura de Tecnologia da Informação): serve para organizar processos de TI e orientar profissionais a exercerem suas funções com eficiência e garantir uma boa experiência para os clientes. Sua metodologia envolve uma série de boas práticas sobre a gestão, englobando a infraestrutura da área, a manutenção e a operação dos serviços;
- O COBIT: um conjunto de práticas essenciais para assegurar garantir a governança de TI e, portanto, melhorar a gestão. Sendo utilizado da maneira correta, proprociona mais segurança e apoio à tomada de decisões, facilitando a comunicação e melhorando os resultados.
Além de oferecer um bom produto/serviço aos clientes, as empresas precisam atuar por trás dos bastidores com confiança, responsabilidade e segurança, por isso, estar de acordo com as normas é fundamental.
Assim como as demais áreas, a TI não é um setor isolado nas companhias. Um dos seus papéis é fazer a interface tecnológica com todos os departamentos da corporação, sendo um braço estratégico para os recursos de acordo com as normas em vigor e protegendo os ativos de TI da empresa.
Entendo que essa pode não ser uma tarefa tão simples e rápida, mas há diversas empresas e consultorias no mercado que oferecem esses serviços e ajudam a implementar e monitorar tais normas. Você já pensou em procurar uma?