5 Normas Técnicas Essenciais para as Empresas

Resiliência às crises por meio de processos de gestão afinados com as melhores práticas internacionais.

Conduzir uma empresa é uma atividade que exige constante atenção com as mudanças no ambiente de negócios, que podem surgir por questões regulatórias, ambientais, sociais, tecnológicas e até mesmo culturais.

Lidar bem com estas mudanças, adaptar-se com a velocidade necessária, não se deixar abater pelas circunstâncias desfavoráveis é o que diferencia as empresas resilientes das que fecham suas portas.

Para atingir esta capacidade de lidar com as mudanças é preciso ter processos de gestão implantados que permitam identificar rapidamente o que está acontecendo e forneçam suporte para as modificações organizacionais imprescindíveis.

Colocar estes processos em operação e os amadurecer não são tarefas simples, principalmente se forem iniciados do zero, a partir da concepção de suas partes e interações. Felizmente, a experiência acumulada de milhares de empresas, ao redor do mundo todo, pode ser acessada e aplicada. Ela está disponível na forma de normas técnicas, elaboradas por comitês formados por pessoas engajadas nos vários campos de interesse e com experiência na sua aplicação.

Entre a grande quantidade de normas importantes, considerando os tempos atuais, de transformação digital e novas demandas legais, destaco 5 normas que são imprescindíveis para as empresas. São normas que aplicadas ajudarão no amadurecimento das práticas de gestão e trarão uma melhor capacidade de lidar com surpresas:

  • ABNT NBR ISO/IEC 37301 – Sistema de Gestão de Compliance

Uma das principais normas técnicas é sem dúvida a que orienta a implementação de um sistema de gestão de compliance. Sem a identificação e observação das leis e regulamentações que se aplicam as suas atividades, a empresa pode cometer infrações sem perceber ou cair em situações que caracterizam irregularidades no seu funcionamento, prejudicando sua imagem e a expondo a sanções.

  • ABNT NBR ISO/IEC 27701 – Sistema de Gestão de Privacidade da Informação

Indiscutivelmente um dos grandes desafios para as empresas está sendo a mudança cultural e jurídica trazida pelas preocupações da sociedade com a exposição da vida particular em face do avanço da tecnologia, principalmente do Big Data e da Inteligência Artificial.

As leis de proteção de dados foram introduzidas nos últimos anos em mais de 100 países e no Brasil temos a lei nº 13.709/2018, mais conhecida com a Lei Geral de Proteção de Dados (LGPD).

A conformidade com os requisitos de proteção de dados requer medidas continuadas que abrangem vários setores da empresa e modificam seus processos de trabalho. Planejar, implantar e manter estas medidas significa estender os processos de gestão de segurança da informação para um novo patamar e esta norma traz as orientações necessárias para essa extensão.

  • ABNT NBR ISO/IEC 27002 – Práticas de Segurança da Informação

As orientações para a implementação das medidas  de segurança da informação, estendidas pelo sistema de gestão de privacidade para a proteção de dados pessoais e aplicáveis no tratamento de riscos cibernéticos, são detalhadas na norma NBR ISO 27002. Esta é uma norma fundamental dentro da família de normas técnicas (NBR ISO 27000) dedicada à segurança da informação e da privacidade.

  • ABNT NBR ISO/IEC 27017 – Práticas de Segurança da Informação para Serviços em Nuvem

Qual é a empresa que hoje não utiliza algum serviço em nuvem? E quantas não são as empresas no mercado que prestam serviços em nuvem? O ambiente em nuvem tem características próprias que expõe estas empresas a riscos específicos e demandam medidas de controle adequadas. A norma NBR ISO 27017 estende os controles da NBR ISO 27002 para atender a esta necessidade.

  • ABNT NBR ISO/IEC 27018 – Práticas de Privacidade da Informação para Serviços em Nuvem

Da mesma forma que ocorre com as práticas de segurança da informação, os serviços em nuvem apresentam desafios próprios para a proteção dos dados pessoais e estes desafios são endereçados pelas extensões propostas na NBR ISO 27108 para os controles da norma NBR ISO 27002.

Vale destacar que as comissões responsáveis pela elaboração e manutenção destas normas, efetuam revisões periódicas, de forma que as normas se mantenham sempre eficazes. As empresas devem ficar atentas as atualizações.

As normas NBR ISO 37301 e NBR ISO 27701 são certificáveis, o que significa que é possível para a empresa se submeter a um processo de auditoria independente para certificar sua adequação aos requisitos mandatórios presentes nelas.

O processo de adequação à uma norma técnica passa pelas fases de tomada de conhecimento da norma, análise da situação atual da empresa, para identificação do que já está adequado e do que não está, seguida da elaboração de um plano de ação para a execução das mudanças necessárias e sua aplicação.

Geralmente, por se tratarem de planos que envolvem algum nível de mudanças de processos, implantação de tecnologias e treinamento de pessoas, costumam ter cronogramas de médio e longo prazo. Os custos dependerão muito da situação atual da empresa a ser adequada, de quão longe ela está das melhores práticas e naturalmente do seu porte e complexidade.

Os resultados compensam em termos de minimização dos riscos e, assim, as empresas estarão melhor preparadas para lidar com eventuais crises a partir deles. Muito possivelmente também terão ganhos de eficiência em seus processos de trabalho, consequência da eliminação de problemas identificados e corrigidos em consequência da análise feita.

Autor: Carlos Alberto Iglesia Bernardo


Sobre o Autor:

Graduado em Engenharia Elétrica pelo Instituto Mauá de Tecnologia (IMT). Consultor em segurança da informação, proteção de dados e gestão de riscos na IT Secure. Atua há 38 anos na área de Tecnologia da Informação, com vivência na estruturação, gestão de áreas técnicas e condução de projetos de infraestrutura e segurança da informação. Membro da comissão de estudo de segurança da informação, segurança cibernética e privacidade da ABNT (CE-021 000.027). Relator do projeto de tradução da norma ABNT NBR ISO/IEC 29100 – Estrutura de Privacidade. Coordenador do curso de pós-graduação em Boas Práticas, Normas e Compliance em Segurança Cibernética do IMT. Professor em cursos de aperfeiçoamento profissional em segurança da informação, proteção de dados pessoais e gestão de riscos pela ABNT, Fundação Vanzolini, TI Exames e IT Secure.


Fonte da imagem: Banco de Imagens Pixabay3D Animation Production Company

5 Normas Técnicas Essenciais para as Empresas