Por Fernando Calheiros de Lima
As auditorias de TI são ferramentas cruciais para avaliar a segurança da informação e garantir que fornecedores e parceiros estejam em conformidade com as políticas e regulamentos da organização. Com a crescente complexidade das ameaças cibernéticas, responder adequadamente a esses questionários é essencial para manter uma relação de confiança com seus clientes.
A Importância dos Questionários de Compliance
Relatórios de auditoria de terceiros ou fornecedores, conhecidos como questionários de compliance de TI, são utilizados para avaliar o nível de risco de segurança da informação de uma empresa contratada. Esses questionários têm o objetivo de assegurar que os fornecedores e parceiros de negócios estão alinhados com as políticas de segurança e regulamentos da organização.
Risco, em segurança da informação, é a probabilidade de que uma ameaça explore uma vulnerabilidade, causando impacto negativo em ativos, sistemas ou dados. Avaliar esses riscos envolve analisar ameaças, vulnerabilidades e impactos. Para isso, utilizam-se questionários de avaliação, que são essenciais para a contratante avaliar a maturidade da gestão de riscos da empresa contratada.
Crescimento do Uso de Questionários
Com o aumento das ameaças cibernéticas e a transformação digital acelerada pela pandemia de COVID-19, a necessidade de medidas rigorosas de segurança tornou-se evidente. A adoção do trabalho remoto aumentou a vulnerabilidade das empresas, criando oportunidades para cibercriminosos. Além disso, a implementação da Lei Geral de Proteção de Dados (LGPD) no Brasil reforçou a importância da conformidade com a proteção de dados pessoais.
Essa combinação de fatores levou a uma maior preocupação com a segurança da informação, tornando-se um tema central nas reuniões de alta direção das empresas. Para garantir a segurança dos dados, tornou-se essencial avaliar continuamente os fornecedores e terceiros através de questionários de conformidade.
Áreas Avaliadas em Questionários de Auditoria
Um equívoco comum é pensar que esses questionários abordam apenas aspectos técnicos de TI. Na verdade, eles avaliam três principais áreas: Pessoas, Processos e Tecnologias.
- Pessoas: A avaliação foca em políticas de segurança da informação, treinamentos e conscientização dos funcionários sobre segurança, além do papel das pessoas na redução de incidentes de segurança.
- Processos: Questões abordam como os processos de recursos humanos e TI garantem a segurança na admissão e demissão de funcionários, a gestão de vulnerabilidades, a gestão de mudanças e a conformidade com leis e regulamentos.
- Tecnologias: Apenas depois de avaliar pessoas e processos, os questionários abordam as tecnologias implementadas, como backup, criptografia, gestão de acessos, firewalls e antivírus.
Melhores Práticas para Responder a Questionários de Auditoria
O primeiro passo é designar uma pessoa ou área responsável pelo preenchimento do questionário, normalmente alguém em posição de liderança. Caso você seja o responsável, cerque-se de especialistas em tecnologia, processos, recursos humanos, jurídico e outras áreas relevantes.
Dependendo da importância do cliente, é recomendado adotar uma postura de cooperação e comunicação aberta com o solicitante, geralmente da área de Compliance e Governança. Um bom relacionamento pode ajudar a negociar prazos de entrega mais flexíveis.
Ter documentações atualizadas dos processos e ferramentas tecnológicas facilita a separação de evidências que devem ser anexadas às respostas. Não basta responder às questões, é necessário comprovar que os controles estão implementados.
Erros a Evitar
Não responder ao avaliador pode causar uma imagem negativa e até penalizar sua empresa. Mentir no preenchimento também é um risco; responder “SIM” quando o correto seria “NÃO” e não enviar as evidências pode indicar problemas graves no sistema de segurança. Omitir informações pode resultar em rompimento de contrato se ocorrer um incidente de segurança grave no futuro.
Se uma questão revelar uma não-conformidade, não há problema em admitir. Em contratos vigentes, o cliente normalmente oferece prazo para regularização. No caso de um questionário ser um pré-requisito comercial, pode-se perder a venda no momento, mas essa será uma oportunidade para melhorar a segurança no médio prazo.
Considerações Finais e a Importância da Preparação Contínua
Investir na gestão de riscos de cibersegurança protege sua empresa contra incidentes e vazamentos de dados, tornando o preenchimento desses questionários uma tarefa simples e natural. Cercar-se de especialistas e parceiros com experiência em processos, pessoas e tecnologia é essencial.
Por exemplo, a Penso possui mais de 20 anos de experiência em tecnologia e segurança, com diversos produtos homologados no framework de segurança ISO27001, como firewall, backup em nuvem, antivírus, e-mail seguro, cloud computing, entre outros. A Penso também realiza projetos de auditoria e documentação específicos para mapear a infraestrutura de TI e apresentar estratégias de gestão de riscos, aumentando a segurança da informação das empresas.
Se sua empresa ainda não está completamente preparada para responder a questionários de auditoria, agora é o momento de buscar parcerias e reforçar a segurança. Entre em contato com a Penso e descubra como podemos ajudar sua empresa a se fortalecer contra ameaças cibernéticas e garantir conformidade total com as melhores práticas de mercado.
