Resiliência às crises por meio de processos de gestão afinados com as melhores práticas internacionais.

Conduzir uma empresa é uma atividade que exige constante atenção com as mudanças no ambiente de negócios, que podem surgir por questões regulatórias, ambientais, sociais, tecnológicas e até mesmo culturais.

Lidar bem com estas mudanças, adaptar-se com a velocidade necessária, não se deixar abater pelas circunstâncias desfavoráveis é o que diferencia as empresas resilientes das que fecham suas portas.

Para atingir esta capacidade de lidar com as mudanças é preciso ter processos de gestão implantados que permitam identificar rapidamente o que está acontecendo e forneçam suporte para as modificações organizacionais imprescindíveis.

Colocar estes processos em operação e os amadurecer não são tarefas simples, principalmente se forem iniciados do zero, a partir da concepção de suas partes e interações. Felizmente, a experiência acumulada de milhares de empresas, ao redor do mundo todo, pode ser acessada e aplicada. Ela está disponível na forma de normas técnicas, elaboradas por comitês formados por pessoas engajadas nos vários campos de interesse e com experiência na sua aplicação.

Entre a grande quantidade de normas importantes, considerando os tempos atuais, de transformação digital e novas demandas legais, destaco 5 normas que são imprescindíveis para as empresas. São normas que aplicadas ajudarão no amadurecimento das práticas de gestão e trarão uma melhor capacidade de lidar com surpresas:

  • ABNT NBR ISO/IEC 37301 – Sistema de Gestão de Compliance

Uma das principais normas técnicas é sem dúvida a que orienta a implementação de um sistema de gestão de compliance. Sem a identificação e observação das leis e regulamentações que se aplicam as suas atividades, a empresa pode cometer infrações sem perceber ou cair em situações que caracterizam irregularidades no seu funcionamento, prejudicando sua imagem e a expondo a sanções.

  • ABNT NBR ISO/IEC 27701 – Sistema de Gestão de Privacidade da Informação

Indiscutivelmente um dos grandes desafios para as empresas está sendo a mudança cultural e jurídica trazida pelas preocupações da sociedade com a exposição da vida particular em face do avanço da tecnologia, principalmente do Big Data e da Inteligência Artificial.

As leis de proteção de dados foram introduzidas nos últimos anos em mais de 100 países e no Brasil temos a lei nº 13.709/2018, mais conhecida com a Lei Geral de Proteção de Dados (LGPD).

A conformidade com os requisitos de proteção de dados requer medidas continuadas que abrangem vários setores da empresa e modificam seus processos de trabalho. Planejar, implantar e manter estas medidas significa estender os processos de gestão de segurança da informação para um novo patamar e esta norma traz as orientações necessárias para essa extensão.

  • ABNT NBR ISO/IEC 27002 – Práticas de Segurança da Informação

As orientações para a implementação das medidas  de segurança da informação, estendidas pelo sistema de gestão de privacidade para a proteção de dados pessoais e aplicáveis no tratamento de riscos cibernéticos, são detalhadas na norma NBR ISO 27002. Esta é uma norma fundamental dentro da família de normas técnicas (NBR ISO 27000) dedicada à segurança da informação e da privacidade.

  • ABNT NBR ISO/IEC 27017 – Práticas de Segurança da Informação para Serviços em Nuvem

Qual é a empresa que hoje não utiliza algum serviço em nuvem? E quantas não são as empresas no mercado que prestam serviços em nuvem? O ambiente em nuvem tem características próprias que expõe estas empresas a riscos específicos e demandam medidas de controle adequadas. A norma NBR ISO 27017 estende os controles da NBR ISO 27002 para atender a esta necessidade.

  • ABNT NBR ISO/IEC 27018 – Práticas de Privacidade da Informação para Serviços em Nuvem

Da mesma forma que ocorre com as práticas de segurança da informação, os serviços em nuvem apresentam desafios próprios para a proteção dos dados pessoais e estes desafios são endereçados pelas extensões propostas na NBR ISO 27108 para os controles da norma NBR ISO 27002.

Vale destacar que as comissões responsáveis pela elaboração e manutenção destas normas, efetuam revisões periódicas, de forma que as normas se mantenham sempre eficazes. As empresas devem ficar atentas as atualizações.

As normas NBR ISO 37301 e NBR ISO 27701 são certificáveis, o que significa que é possível para a empresa se submeter a um processo de auditoria independente para certificar sua adequação aos requisitos mandatórios presentes nelas.

O processo de adequação à uma norma técnica passa pelas fases de tomada de conhecimento da norma, análise da situação atual da empresa, para identificação do que já está adequado e do que não está, seguida da elaboração de um plano de ação para a execução das mudanças necessárias e sua aplicação.

Geralmente, por se tratarem de planos que envolvem algum nível de mudanças de processos, implantação de tecnologias e treinamento de pessoas, costumam ter cronogramas de médio e longo prazo. Os custos dependerão muito da situação atual da empresa a ser adequada, de quão longe ela está das melhores práticas e naturalmente do seu porte e complexidade.

Os resultados compensam em termos de minimização dos riscos e, assim, as empresas estarão melhor preparadas para lidar com eventuais crises a partir deles. Muito possivelmente também terão ganhos de eficiência em seus processos de trabalho, consequência da eliminação de problemas identificados e corrigidos em consequência da análise feita.

Autor: Carlos Alberto Iglesia Bernardo

Sobre o Autor:

Graduado em Engenharia Elétrica pelo Instituto Mauá de Tecnologia (IMT). Consultor em segurança da informação, proteção de dados e gestão de riscos na IT Secure. Atua há 38 anos na área de Tecnologia da Informação, com vivência na estruturação, gestão de áreas técnicas e condução de projetos de infraestrutura e segurança da informação. Membro da comissão de estudo de segurança da informação, segurança cibernética e privacidade da ABNT (CE-021 000.027). Relator do projeto de tradução da norma ABNT NBR ISO/IEC 29100 – Estrutura de Privacidade. Coordenador do curso de pós-graduação em Boas Práticas, Normas e Compliance em Segurança Cibernética do IMT. Professor em cursos de aperfeiçoamento profissional em segurança da informação, proteção de dados pessoais e gestão de riscos pela ABNT, Fundação Vanzolini, TI Exames e IT Secure.

Fonte da imagem: Banco de Imagens Pixabay3D Animation Production Company

Tags

gestão de empresas Gestão de Segurança da Informação Lei 13.709 Lei Geral de Proteção de Dados LGPD melhores práticas NBR ISO 27002 NBR ISO 27108 NBR ISO 37310 normas técnicas segurança cibernética sistemas de gestão treinamento e conscientização
CA

Autor

Carlos Bernardo

Consultor, Instrutor e Mentor em Segurança da Informação e Gestão de Riscos
IT SECURE Consulting · São Paulo, Brasil

Consultor em Segurança da Informação com formação em Engenharia pela Escola de Engenharia Mauá e MBA em Governança, Riscos, Controles e Compliance. Possui ampla experiência no desenvolvimento e implantação de soluções em hardware, software, sistemas distribuídos, infraestrutura de TI, ambientes internet, segurança da informação, gerenciamento de riscos tecnológicos e computação forense. Atua também como professor em cursos de Segurança da Informação, Segurança Cibernética e Gestão de Riscos na ABNT, no Instituto Mauá de Tecnologia e na TIexames.

Perfil no LinkedIn