Quando se trata de cibersegurança, o trio Governance, Risco e Compliance (GRC) está frequentemente em segundo plano e é visto como uma burocracia que atrapalha a prevenção de ameaças. No entanto, a sua importância não deve ser subestimada. Um programa de GRC estabelece as bases que permitem às empresas cumprir os seus objetivos de segurança e compliance. Quando bem elaborada, esta abordagem proativa à cibersegurança pode minimizar a resposta reativa a incidentes por parte das empresas.

Programas de cibersegurança estão incompletos sem GRC

A cibersegurança, enquanto um todo, é constituída por três componentes – pessoas, processos e tecnologia. Dos três, a tecnologia é geralmente o principal, já que é o elemento mais simples de implementar. No entanto, para as empresas atingirem com êxito os seus objetivos de segurança, todos os três elementos necessitam de ser considerados segundo uma abordagem programática, flexível e dimensionável. Na AWS, acreditamos que um programa de GRC eficaz é crucial, uma vez que garante uma visão holística abordando, em simultâneo, a difícil missão de cibersegurança. Afinal de contas, automatizar um processo mal pensado com tecnologia de ponta não melhora o processo em si, nem o que daí resulta.

Considere, por exemplo, um funcionário de operações de segurança que enfrenta a tarefa de monitorizar e mitigar quatro eventos. Sem um programa GRC, não tem nenhum contexto sobre os riscos para a empresa ou o impacto de compliance dos eventos, o que significa que depende exclusivamente de processos stovepipe e de tecnologia. Consequentemente, corre o risco de priorizar incorretamente a questão menos importante, algo que não faria com um programa GRC implementado.

GRC tem uma relação simbiótica

Ainda que Governance, Risco e Compliance sejam frequentemente vistas como funções separadas, aplicar uma visão holística sobre estes componentes fundamentais demonstra a relação simbiótica que partilham.

O elemento Governance garante que as atividades organizacionais estejam alinhadas de forma a apoiar os objetivos de negócio da empresa. O Risco associado a qualquer atividade empresarial é identificado e direcionado para apoiar as metas de negócio da empresa. O elemento Compliance permite que todas as atividades empresariais sejam tratadas de forma a cumprirem as leis e regulação que afetam estes sistemas. E todos os três elementos trabalham em conjunto para criar uma abordagem que irá permitir que a arquitetura, engenharia e operações de segurança estejam alinhadas com os objetivos de negócio mais amplos, gerindo em simultâneo os riscos e cumprindo os objetivos de compliance.

Mas de que forma se pode aplicar um programa GRC e garantir que este está integrado na empresa?

Como implementar um programa GRC

Quando se trata de GRC, um único “tamanho” não é adequado a todos e nem tem de o ser; a profundidade e a amplitude dos programas variam de empresa para empresa. No entanto, independentemente da complexidade de um programa, este pode ser transformado ou dimensionado para a adoção dos serviços em nuvem, tecnologias emergentes e até futuras inovações desconhecidas, desde que siga as práticas recomendadas.

Governance

Para estabelecer o elemento Governance, é vital identificar primeiro os requisitos de compliance. O que significa investigar e compreender as obrigações do contrato, as estruturas de compliance e identificar os padrões exigidos ou escolhidos que precisam de ser implementados.

De seguida, deverá ser feita uma avaliação do programa para compreender as capacidades e maturidade do perfil atual, determinar qual é o objetivo do perfil e criar um plano sobre como alcançá-lo. A estratégia deve considerar procurement, DevSecOps, gestão, segurança e alocação de recursos humanos, incluindo a definição e atribuição de funções, cargos e responsabilidades.

Por fim, é necessário atualizar e publicar as novas políticas, processos e procedimentos para instruir os colaboradores e assegurar que a cibersegurança e governance são cumpridas. As políticas devem estar claramente alinhadas com os objetivos de negócio. Os processos devem especificar como proceder à atualização das tecnologias antigas para que adotem técnicas estruturais e de gestão modernas, assim como clarificar de que forma os procedimentos integram serviços em nuvem e outras tecnologias emergentes.

Risco

A segunda fase na implementação de uma política GRC é a análise da gestão de riscos. Fazer uma avaliação dos riscos para cada aspeto da empresa, para cada linha de negócio e tipo de ativo é primordial. Uma vez terminado, obtém-se uma compreensão total dos riscos na empresa, sendo possível implementar um plano para mitigar, evitar, transferir ou aceitar os riscos em cada nível, linha de negócio ou cada ativo.

As estruturas de gestão de risco podem então ser utilizadas para seguir sistemas, ao selecionar controlos e riscos que podem ser continuamente monitorizados e ajustados à medida que o negócio cresce e o cenário de ameaças aumenta. A fase final é integrar informações de risco na tomada de decisões da liderança. Para simplificar, deve tornar-se rotineiro perguntar “quais são os riscos financeiros, cibernéticos, legais e de reputação para o negócio ao tomarmos esta decisão”. Ao integrar-se esta abordagem na cultura empresarial, consegue-se garantir uma visibilidade total sobre a posição de risco, quando se tomarem decisões críticas de negócio, e impulsionar o crescimento da empresa.

Compliance

Ligado diretamente a Governance, o elemento Compliance ajuda a estabelecer as políticas, padrões e controlos de segurança, pelos quais será monitorizado. Em conjunto com os relatórios gerados pela monitorização de controlo, deve-se reavaliar proativamente os recursos de segurança e garantir que estes respondem às necessidades da empresa. Tal significa automatizar os testes de segurança de aplicações e perscrutar as vulnerabilidades, realizar autoavaliações de amostras de controlo, assim como ser altamente crítico em relação a alterações mínimas, sinais de alerta e eventos que possam representar um risco significativo.

Além disso, deve existir disponibilidade para adaptar os processos em resposta a eventos e alterações de risco. A postura de segurança da empresa deve acompanhar a evolução do nível de sofisticação das ameaças. A integração das operações de segurança com a equipa de Compliance é fundamental, assim como estabelecer procedimentos operacionais padronizados para responder a alterações não intencionais.

Dar prioridade a GRC

É impossível criar uma estratégia forte de cibersegurança sem um programa eficaz de GRC. Como tal, é vital que as empresas se concentrem neste programa, se quiserem atingir os seus objetivos de segurança e Compliance. Ao fazê-lo, garantem que têm os componentes necessários para escalar, adaptar e evoluir à medida que o seu negócio cresce e a regulação altera. Na AWS, compreendemos a importância da GRC para os clientes e o lugar crítico que ocupa em qualquer empresa. Ao trabalhar com um fornecedor de nuvem que pode apoiar, implementar e prestar consultoria sobre um programa GRC, as empresas garantem que têm o Governance, o Risco e o Compliance que asseguram a sua proteção contra as ameaças mais sofisticadas, agora e no futuro.