A omissão de incidentes de segurança da informação decorrente do vazamento de informações sob a ótica da governança corporativa, governança e TI e compliance

Web security technology internet digital cyber protection icon vector illustration

De pronto explano algumas ponderações sobre Governança Corporativa, Governança de TI e Compliance, posteriormente e de forma conjunta a Omissão de Incidentes de Segurança da Informação.

A Governança Corporativa é o sistema pelo qual as empresas e demais organizações são dirigidas, monitoradas e incentivadas. Seus interesses devem estar alinhados com a finalidade de preservar e otimizar o valor econômico de longo prazo da organização, facilitando seus acessos, recursos e contribuindo para a qualidade da gestão da organização, sua longevidade e o bem comum.

É aconselhável que todas empresas adotem boas práticas de Governança. Menciono 5 princípios fundamentais de Governança Corporativa, sendo eles:

  • Transparência (disclosure), Equidade (fairness), Prestação de Contas (accountability), Cumprimento das Leis (compliance) e Ética. A Ética e Governança devem andar sempre juntas.

O Código de Ética deve abranger o relacionamento entre funcionários, fornecedores, clientes, associados e terceiros.

Sobre a Governança de TI, pode-se afirmar que é o conjunto de políticas, normas, métodos e procedimentos com a finalidade de permitir à administração o controle da utilização de tecnologia da informação, buscando uma eficiente utilização de recursos, níveis aceitáveis de risco e o apoio aos processos da organização empresarial.

Tem como objetivo garantir que o uso da Tecnologia da Informação agregue valor ao negócio. Para o ITGI a “Governança de T.I. é de responsabilidade dos executivos e da alta direção, consistindo em aspectos de liderança, estrutura organizacional e processos que garantam que a área de Tecnologia da Informação da organização suporte e aprimore os objetivos e as estratégias da organização.”

Por fim, o Compliance, é considerado como a conformidade de cumprir (cumprimento) das leis, sendo mencionado alguns pilares (ainda segundo o Professor Doutor Marcelo Crespo), são eles:

  • Tom from the Top – Apoio da Alta Direção (Presidente, Diretoria, Executivo).;
  • Avaliação dos Riscos;
  • Código de Ética e Conduta + Políticas (Política de Uso IoT, e-mail, compras, doações).;
  • Controles Internos;
  • Treinamento e Comunicação (elementos fundamentais no programa de Compliance) Comunicação Institucional;
  • Canal de Denúncias (HotLine). Nesse canal a identidade do denunciante deve ser preservada. Esse canal também pode deve ser utilizado para outros fins na forma de denúncia;
  • Investigações/Apuração Interna;
  • Due Diligence (Devida Diligência) – É a checagem das pessoas com que você vai se relacionar. Fazer o monitoramento do terceiro. Está relacionado a saber quem é seu cliente, saber quem é seu consumidor.
  • Monitoramento/Auditoria.

Para omissão de vazamento de dados não reportados, destaco os principais pontos que devem ser avaliados:

  •  Omissão de Ocorrido (Considerado como Incidente de Segurança da Informação (ISO 27001, 27002, PCI)
  •  Tentativa de Extorsão (Crime – art. 158 do Código Penal)
  •  Falha de Segurança da Informação (Vazamento de Dados);
  • Ausência ou falha dos Controles de Governança Corporativa, Governança de TI e Compliance.

De fato asseguro que Instituições que se comportem dessa maneira, isto é, omitindo o report de Incidentes, sob a ótica de Governança Corporativa não se preocupam em preservar a imagem falhando na aplicabilidade de sua Governança Corporativa através da transparência para com seus clientes e MP, “escondendo o ocorrido”, por consequência deixando de prestar contas e adicionalmente faltando com respeito e ética, sendo que a ética e governança devem caminhar juntas.

Sendo assim a instituição, seja qual for, tem por obrigação notificar seus clientes, usuários, de forma a garantir a integridade e seriedade pelo fato de armazenar dados sigilosos, preservando também a própria imagem e longevidade.

Na ótica da Governança de TI normas, políticas, processos, métodos e procedimentos devem ser implementados, controlados e revisados de forma a manter o controle das operações internas, seja tecnológica, operacionais etc.

Normas, políticas, processos, métodos e procedimentos deveriam ser estabelecidos e controlados, assim evitando vazamento de informações, falhas de processos e outros possíveis e consideráveis incidentes. A seguir farei menção de algumas normas e políticas que entendo ser importante implementar de forma a minimizar o risco de falhas no processo, são elas:

  1. Política de Segurança da Informação
  2. Política de desenvolvimento seguro (códigos)
  3. Processo de Continuidade de Negócios
  4. Política de fornecedores
  5. Processo de chaves e códigos criptografados
  6. Processo de segurança lógica
  7. Processo e Mapeamento de Análise de Risco (Pessoas, Tecnologia, Ambiente, etc.)
  8. Tratamento de Risco
  9. Testes de vulnerabilidades
  10. Resultado de Análise Crítica (Alta Direção)

Enfim, são alguns controles que instituições devem possuir, ou se já possuem controlá-los e aplicá-los de forma a impedir ou evitar Vazamento de Informações. Adicionalmente o fato de demonstrar a existência de tais controles, conforme já mencionado, podem uma repercussão menos negativa a instituição.

Sob os aspectos de Compliance, regras devem ser estabelecidas e aplicadas contribuindo para que os processos internos estejam de acordo com esperado pela instituição, clientes e partes envolvidas.

De fato, a implementação e controles, dos pilares do Compliance devem ser inseridos no contexto e no dia a dia da organização com o apoio total da Alta Direção (Presidente, Diretoria e Executivo), pilar conhecido como Tom from the Top.

Outras práticas norteadas pelos pilares certamente impedem ou minimizam tais impactos causados por vazamento de informações, tais como:

  1. Avaliação dos Riscos, onde seria identificado, mensurado e calculado o risco de vazamento de informação, assim aplicando os devidos controles de forma diminuir o grau de risco e probabilidade.
  2.  Código de Ética e Conduta e Políticas (Política de Uso IoT, e-mail, compras, doações). Nesse caso políticas devem ser construídas e utilizadas conforme processos internos previamente definidos e validados.
  3.  Controles Internos através da gestão de processos já estabelecidos, envolvendo todas os departamentos existentes.
  4. Dever haver comunicação e treinamento (um programa formal e eficaz) de Compliance, este deve ocorrer no mínimo 1 (uma) vez ao ano, previamente agendado e acordado.
  5. Existência de um Canal de Denúncias (HotLine). Nesse canal a identidade do denunciante deve ser preservada. Esse também pode deve ser utilizado para outros fins como forma de denúncia. Dessa maneira possíveis vazamentos internos podem ser evitados, tais como exposição de senhas, códigos fontes, etc.
  6. Existência de Due Diligence (Devida Diligência) – através de verificação robusta de fornecedores, visto que os mesmos (fornecedores) certamente possuem informações da empresa (acessos a sistemas). Dessa maneira o controle contido nesse pilar seria eficaz. Está relacionado a saber quem é seu cliente, saber quem é seu consumidor.
  7.  Monitoramento/Auditoria dos sistemas e processos ativos e existentes. Com isso os controles implementados (sejam pessoas, sistemas (códigos), processos) são analisados com o foco na melhoria contínua “PDCA” de forma a evitar possíveis erros primários.

Ainda no âmbito de Compliance, menciono o Compliance Digital como prática de notificação aos clientes sobre Vazamento de Informações, por consequência um plano eficaz de Resposta a Incidentes.

Desta forma concluo que os controles pertinentes a Governança Corporativa, Governança de TI e Compliance/Digital devem ser implementados de forma a manter a conformidade, posteriormente sendo auditados e controlados garantindo a eficiência e eficácia do Sistema de Gestão de Compliance e Segurança da Informação.

Referências:

https://www.ibgc.org.br/index.php/governanca/governanca-corporativa

https://www.cgi.br/resolucoes/documento/2009/003

 

Por Pablo Jesus Camargo Correia

Fonte: https://www.lexmachinae.com/2018/10/16/omissao-incidentes-seguranca-da-informacao-vazamento-governanca-corporativa-de-ti-compliance/

Comentários

Comentários