OTRS mostra como as empresas podem documentar seus processos de segurança de TI de forma clara e legal
A partir de amanhã (25/5), o regulamento da União Europeia conhecido como o Regulamento Geral de Proteção de Dados (GDPR) entrará em vigor. O regulamento afeta muitas empresas em todo o mundo, não apenas na UE, uma vez que se esforça para proteger e regulamentar melhor o uso de dados pessoais. Entre outras coisas, enfatiza a segurança de TI declarando que as violações de dados e as perdas de dados pessoais devem ser relatadas à autoridade supervisora responsável dentro de 72 horas ou as empresas correm o risco de multas elevadas.
Segundo Matheus Assis Baeta, diretor da OTRS no Brasil, fornecedora líder de soluções para gerenciamento de processos e comunicação, o Regulamento Geral de Proteção de Dados (GDPR) será inicialmente adotado como padrão por empresas sediadas na Europa que necessitam de cumprir as normas da União Europeia, consequentemente, tais mudanças irão causar impacto direto no mercado brasileiro.
“Especificamente no caso de empresas brasileiras, que queiram manter relações comerciais com empresas com sede na UE, certamente, estas mais cedo ou mais tarde deverão passar a exigir tais níveis de conformidade. O que obriga as empresas brasileiras a estarem equipadas com tais tecnologias e know-how de processos. Deste modo, torna-se imperativo o preparo e a busca de soluções que estejam de acordo com a norma de modo a que, evitem-se sérios transtornos tanto a nível operacional como econômico”, destaca Baeta.
Já para Jens Bothe, diretor de consultoria global da OTRS, nem todas as empresas estão preparadas para isso. “Incidentes recentes, como a violação da Equifax em 2017, comprovaram a vulnerabilidade das infraestruturas de TI. O regulamento de proteção de dados da UE responde a isso e solicita a comunicação oportuna de incidentes de segurança. É por isso que é essencial que as empresas registrem incidentes de segurança de TI e as documentem legalmente ”.
A OTRS – como especialista em ambientes de segurança – fornece as seguintes recomendações para ajudar as empresas a lidar com a segurança de TI:
A maioria das grandes empresas já possui processos definidos e as chamadas equipes de defesa cibernética em uso. No entanto, muitas pequenas e médias empresas ainda precisam elaborar suas estratégias. Para isso, é aconselhável começar “pequeno”: é útil criar um Escritório de Relatórios para Incidentes de Segurança e dedicar uma pessoa ou equipe de contato responsável por eventos relacionados à segurança é fundamental. Isso pode criar uma documentação centralizada que mantém todos conscientes do que está acontecendo.
Além do novo GDPR da UE, outras regulamentações legais para proteção de dados e processos de segurança de TI aplicam-se a setores críticos, como provedores de serviços financeiros. As empresas nem sempre têm tempo para verificar todos os regulamentos para determinar se são relevantes para seus negócios. Portanto, você não deve hesitar em consultar especialistas experientes externos com perguntas sobre diretrizes e padrões aceitos, como a série ISA / IEC 27000.
É importante que todas as empresas estabeleçam processos e responsabilidades claras para lidar com eventos relacionados à segurança. As seguintes questões devem estar entre as consideradas:
Como você define um incidente de segurança?
Quando exatamente um incidente precisa ser relatado?
Quais dados ou processos devem ser protegidos?
Qual é o impacto potencial do incidente?
Quem deve ou pode ser informado de um incidente?
Em que ordem e em que período deve ocorrer a comunicação?
Para documentar os eventos de segurança e as medidas correspondentes tomadas para mitigar a situação de maneira segura, sistemas como o STORM da OTRS estão disponíveis. Eles atuam como o backbone técnico dos processos de segurança de TI, suportam a comunicação relacionada a incidentes e armazenam a documentação no caso de auditorias posteriores. Eles tornam possível definir processos específicos para cenários de ameaças, conceder acesso baseado em função aos usuários e permitir a comunicação criptografada entre usuários claramente autenticados, de modo que os ataques sejam tratados rapidamente e a documentação apropriada seja capturada.
Uma vez estabelecidos, os processos de segurança de TI se tornam uma parte cotidiana de suas atividades comerciais. No entanto, deve-se considerar que os regulamentos, processos e requisitos podem mudar de novo e de novo. É por isso que as empresas devem se manter atualizadas. Para desenvolver know-how de segurança e desenvolver uma equipe de segurança de TI, o profissional deve se conectar com outros agentes de segurança e ficar por dentro das mudanças no setor.
