Estar em compliance com diversas regulamentações, normas e padrões de segurança da informação, internos e externos, que se atualizam constantemente é, sem dúvida, uma das prioridades dos executivos de TI e preocupação constante da área jurídica das empresas. Também é um grande desafio corporativo: como atender a tantos itens com um orçamento limitado?
Segundo o Gartner¹, o planejamento do programa estratégico de segurança da Governança de SI deve estabelecer auditorias de compliance, bem como, com isso, identificar as ações que precisam ser tomadas para tratar as não conformidades detectadas. Fundamental, ainda, que o planejamento financeiro de segurança deva ser envolvido no processo para estar alinhado com a área e prever eventuais ações corretivas.
Empresas que possuem operações financeiras no exterior ou que mantém ADRs (American Depositary Receipts) negociadas na NYSE, por exemplo, precisam atender regulamentações específicas, como a SOX. Outras precisam estar de acordo com frameworks impostos pelas matrizes no exterior. De qualquer forma, estar em compliance com tais regulamentações denota transparência e investimento para redução dos riscos a um nível aceitável (não existe segurança 100%). Em outras palavras: credibilidade para os investidores e para o mercado.
A proposta dos serviços gerenciados de segurança é oferecer exatamente o apoio para as organizações que buscam atender às exigências, elevar seu nível de maturidade em segurança de TI e ficar em conformidade. Dentre os motivos² para se contratar um prestador de Serviços Gerenciados de Segurança (MSSP - Managed Security Service Provider), o Gartner cita especificamente o serviço de monitoração de segurança para apoiar padrões de conformidades específicas, como PCI DSS. Este e outros padrões prescrevem, inclusive, a monitoração de todo o acesso de terceiros à rede da organização.
Além disso, toda a estrutura de um MSSP auxilia as organizações a ficarem em conformidade sob a ótica da segurança lógica, ou seja, da segurança de TI. Como é o caso do processo de certificação de normas como a ISO/IEC 27001, que trata Segurança da Informação no que tange o controle de Gestão de Incidentes de Segurança da Informação, dentre outros aspectos.
¹ Introducing the Gartner Information Security Governance Model - Gartner
² How to Work With an MSSP to Improve Security – Gartner Technical Advice