Mantenha sua TI em conformidade com padrões internacionais

As empresas possuem dados e informações importantes tanto suas como de seus clientes. Se houver uma invasão e esses dados vazarem acarretará diversos problemas. Somado a esse risco, as companhias têm que cumprir condições de compliance de segurança exigidas pelas regulamentações governamentais e do próprio mercado que atuam.

É fundamental estar em dia com os principais controles de segurança, automação funcional e visibilidade integrada dos produtos, vou enumerar alguns:

Regulamento Geral de Proteção de Dados da UE (GDPR): esse regulamento da União Europeia está em vigor, e em caso de não conformidade ocasiona multas de até 4% do faturamento anual das empresas. Por isso, o tratamento e a confidencialidade dos dados são tão importantes;

Padrão de Segurança de Dados (Data Security Standard, DSS) do Setor de Cartões de Pagamento (Payment Card Industry, PCI): a detecção e prevenção de invasões, proteção contra malware, monitoramento de integridade, application control, logs do sistema e requisitos de firewall precisam estar em dia para não sofrerem ataques e, dessa maneira, proporcionarem transações mais seguras;

HIPAA (Health Insurance Portability and Accountability Act) é uma lei estrangeira aplicada nos Estados Unidos para empresas do segmento de saúde no que se refere à proteção dos dados. Trazendo para a nossa realidade, a LGPD (Lei Geral de Proteção de Dados Pessoais) é o que temos de mais próximo nesse sentido;

PCI Compliance: trata-se de um padrão de segurança internacional direcionado para a indústria de cartões de crédito e débito, cujo objetivo é promover de maneira mais segura o processamento, armazenamento e transmissão dos dados sensíveis desses meios de pagamento, e assim evitar fraudes e vazamento de dados;

Lei Sarbanes-Oxley (SOX): responsabilizando civil e criminalmente os executivos das empresas em caso de fraudes, ainda que eles não tenham participação direta. Seu intuito é que as empresas demonstrem eficiência na Governança Corporativa e definir controles que são necessários para garantir a segurança, veracidade, integridade entre outros aspectos da informação;

ISO 20000: uma das primeiras normas e padrões internacionais pensados para a área de TI, compila processos destinados ao gerenciamento efetivo de serviços de TI para clientes internos e externos, sendo divididos em 20000-1 que tange aos requisitos obrigatórios para fornecer serviços de TI e a prestação de uma gestão de serviços eficaz e eficiente para clientes e empresas e a ISO 20000-2 que detalha o conjunto de práticas para gerenciamento de serviços relacionados ao primeiro documento;

ITIL (ou Biblioteca de Infraestrutura de Tecnologia da Informação): serve para organizar processos de TI e orientar profissionais a exercerem suas funções com eficiência e garantir uma boa experiência para os clientes. Sua metodologia envolve uma série de boas práticas sobre a gestão, englobando a infraestrutura da área, a manutenção e a operação dos serviços;
O COBIT: um conjunto de práticas essenciais para assegurar garantir a governança de TI e, portanto, melhorar a gestão. Sendo utilizado da maneira correta, proprociona mais segurança e apoio à tomada de decisões, facilitando a comunicação e melhorando os resultados.

Além de oferecer um bom produto/serviço aos clientes, as empresas precisam atuar por trás dos bastidores com confiança, responsabilidade e segurança, por isso, estar de acordo com as normas é fundamental.

Assim como as demais áreas, a TI não é um setor isolado nas companhias. Um dos seus papéis é fazer a interface tecnológica com todos os departamentos da corporação, sendo um braço estratégico para os recursos de acordo com as normas em vigor e protegendo os ativos de TI da empresa.

Entendo que essa pode não ser uma tarefa tão simples e rápida, mas há diversas empresas e consultorias no mercado que oferecem esses serviços e ajudam a implementar e monitorar tais normas. Você já pensou em procurar uma?

*Otto Pohlmann é CEO da Centric Solution, empresa de tecnologia que fornece soluções completas para atender aos requisitos de segurança e da LGPD, com foco em implementação, treinamento e suporte, a fim de ajudar a sustentar o desenvolvimento de negócios de todos os portes e setores – e-mail:

Sobre a Centric Solution

Empresa de tecnologia que iniciou as atividades em 2005 e oferece soluções completas com foco em implementação, treinamento e suporte para ajudar a sustentar o desenvolvimento de empreendimentos de todos os portes e ramos de atividade. Adota ferramentas voltadas a help desk, service desk, active directory, cloud, IT security, network performance, compliance, data protection, aplicações e remote app. Também realiza treinamentos, desenvolvimento de projetos e monitoramento em tempo real, 24 x 7, de processos, negócios, redes, link e sistema de missão crítica. Com sede em São Paulo e uma equipe de 20 colaboradores, a Centric ultrapassou a marca de 3 mil clientes. Entre eles estão Banco Safra, Crefisa, Unimed, CPFL e 60% do mercado hoteleiro.