Compliance e Governança

Compliance e governança estabelecem frameworks para garantir que organizações operem dentro de requisitos legais, regulatórios e melhores práticas de segurança.

O que é GRC?

Governance, Risk, and Compliance (GRC) é abordagem integrada para gerenciar governança, gestão de riscos e conformidade regulatória.

LGPD - Lei Geral de Proteção de Dados

Princípios Fundamentais

  • Finalidade, adequação e necessidade
  • Livre acesso e transparência
  • Segurança e prevenção
  • Não discriminação
  • Responsabilização e prestação de contas

Bases Legais

  • Consentimento do titular
  • Cumprimento de obrigação legal
  • Execução de contrato
  • Legítimo interesse
  • Proteção da vida ou incolumidade física

Direitos dos Titulares

  • Confirmação e acesso aos dados
  • Correção de dados incompletos ou inexatos
  • Anonimização, bloqueio ou eliminação
  • Portabilidade dos dados
  • Revogação do consentimento

GDPR - General Data Protection Regulation

Aplicabilidade Extraterritorial

GDPR aplica-se a organizações que:

  • Processam dados de residentes da UE
  • Monitoram comportamento dentro da UE
  • Oferecem bens/serviços na UE

Penalidades

  • Tier 1: Até €10M ou 2% revenue global anual
  • Tier 2: Até €20M ou 4% revenue global anual

ISO 27001

Padrão internacional para Sistemas de Gestão de Segurança da Informação (SGSI).

Estrutura

  • Cláusulas 4-10: Requisitos do SGSI
  • Anexo A: 93 controles organizados em 4 categorias

Categorias de Controles

  • Organizational (37 controles)
  • People (8 controles)
  • Physical (14 controles)
  • Technological (34 controles)

Ciclo PDCA

  • Plan: Estabelecer SGSI
  • Do: Implementar e operar
  • Check: Monitorar e revisar
  • Act: Manter e melhorar

SOC 2

Framework para relatórios sobre controles de serviço em service organizations.

Trust Service Criteria

  • Security: Proteção contra acesso não autorizado
  • Availability: Sistema disponível conforme commitado
  • Processing Integrity: Processamento completo e acurado
  • Confidentiality: Informação confidencial protegida
  • Privacy: Informação pessoal coletada, usada, retida conforme commitments

Type I vs Type II

  • Type I: Design dos controles em ponto no tempo
  • Type II: Efetividade operacional ao longo de período (geralmente 6-12 meses)

PCI-DSS

Payment Card Industry Data Security Standard para organizações que processam cartões.

12 Requisitos

  1. Instalar e manter firewall configuration
  2. Não usar padrões de vendor para senhas
  3. Proteger dados de cardholder armazenados
  4. Criptografar transmissão de dados de cardholder
  5. Proteger sistemas contra malware
  6. Desenvolver e manter sistemas seguros
  7. Restringir acesso a dados por business need-to-know
  8. Identificar e autenticar acesso a componentes
  9. Restringir acesso físico a dados de cardholder
  10. Rastrear e monitorar acessos a recursos de rede
  11. Testar regularmente sistemas e processos
  12. Manter política de segurança da informação

NIST Cybersecurity Framework

Framework voluntário que consiste em padrões, diretrizes e práticas.

5 Funções Core

  • Identify: Desenvolver entendimento organizacional
  • Protect: Desenvolver e implementar salvaguardas
  • Detect: Desenvolver e implementar atividades de detecção
  • Respond: Desenvolver e implementar atividades de resposta
  • Recover: Desenvolver e implementar planos de recuperação

CIS Controls

18 controles prioritizados e acionáveis para cyber defense.

Implementation Groups

  • IG1: Pequenas organizações, recursos limitados
  • IG2: Médias organizações, mais recursos
  • IG3: Grandes organizações, especialistas dedicados

Gestão de Riscos

Processo

  1. Identificação: Catalogar ativos e ameaças
  2. Análise: Avaliar probabilidade e impacto
  3. Avaliação: Priorizar riscos
  4. Tratamento: Aceitar, mitigar, transferir ou evitar
  5. Monitoramento: Revisar continuamente

Metodologias

  • ISO 31000 - Risk Management
  • NIST 800-30 - Risk Assessment
  • FAIR (Factor Analysis of Information Risk)

Auditorias e Assessments

Tipos

  • Internal Audit: Conduzida pela própria organização
  • External Audit: Terceiro independente
  • Certification Audit: Para certificação (ISO 27001)
  • Compliance Audit: Verificar aderência a regulação

Plataformas GRC

  • ServiceNow GRC: Integrado com ITSM
  • RSA Archer: Enterprise GRC platform
  • MetricStream: GRC e risk management
  • LogicGate: Risk Cloud platform
  • Vanta/Drata: Automated compliance (SOC 2, ISO)

Melhores Práticas

  • Integrar compliance em cultura organizacional
  • Automatizar coleta de evidências
  • Manter inventário de requisitos aplicáveis
  • Realizar gap assessments regularmente
  • Treinar equipe em requirements
  • Documentar políticas e procedimentos
  • Implementar controles compensatórios quando necessário
  • Manter comunicação com reguladores

Compliance não é apenas checkbox exercise, mas oportunidade de melhorar postura de segurança. Frameworks e regulações fornecem roadmap testado para implementar controles robustos. Organizações devem ver compliance como baseline, não teto, para suas práticas de segurança.