Aperfeiçoe o básico

regras e diretrizes

As empresas em 2020 lutaram para entender se, quando e como devem investir na obtenção de conformidade. As ações variaram amplamente entre setores e segmentos de receita.

As empresas em 2020 lutaram para entender se, quando e como devem investir na obtenção de conformidade. As ações variaram amplamente entre setores e segmentos de receita. As rápidas mudanças forçadas pelo COVID-19 serviram apenas para ampliar as lacunas de conformidade pré-existentes e potencialmente gerar novas. Um exemplo fictício, mas totalmente realista, poderia ser uma organização de saúde que poderia ter lançado rapidamente a telemedicina para salvar vidas e, ao fazê-lo, poderia ter eliminado alguns elementos da conformidade com a HIPAA [Health Insurance Portability and Accountability Act (Lei de Portabilidade e Responsabilidade do Seguro de Saúde)]. Ou um varejista que pode ter assinado uma dúzia de contratos de terceiros para dimensionar rapidamente uma vitrine digital, renunciando à devida diligência de segurança cibernética. Agora é a hora de corrigir erros passados e aperfeiçoar os conceitos básicos para garantir o sucesso futuro. Em 2021, a mudança está em andamento. Impulsionado pela violação da SolarWinds, o presidente dos Estados Unidos, Joe Biden, propôs US$ 9 bilhões em financiamento para reforçar o trabalho da Agência de Segurança Cibernética e Segurança da Informação (Cyber Security and Information Security Agency, CISA) do país. É provável que a Seção 230 da Lei de Decência de Comunicações dos EUA seja revista, pois indivíduos em ambos os lados da divisão política querem ter a garantia de que as empresas de tecnologia possam ser responsabilizadas. Além disso, para empresas brasileiras, estar em Compliance com a LGPD (Lei Geral de Proteção de Dados) é uma obrigatoriedade, cientes da atuação da Agência Nacional de Proteção de Dados, que vem atuar como regulador do assunto e representante da Lei. Fora isso, no geral, empresas precisam se atentar ao Regulamento Geral de Proteção de Dados (General Data Protection Regulation, GDPR) da União Europei, este precisa ser um ponto central em qualquer plano de segurança cibernética daqueles que interagem com o bloco europeu. Regulamentos de proteção de dados continuam emergindo a medida que o assunto se torna protagonista no cenário mundial , inspirados pela GDPR vimos, em maio de 2020, a Lei de Proteção de Dados Pessoais (Personal Data Protection Act, PDPA) da Tailândia entrar em vigor. Da mesma forma, a Lei de Direitos de Privacidade da Califórnia (California Privacy Rights Act, CPRA) dos EUA tornou-se lei no final de 2020, expandindo e alterando a Lei de Privacidade do Consumidor da Califórnia (California Consumer Privacy Act, CCPA) original para se tornar a lei de proteção de dados mais restritiva dos EUA. À medida que a evolução digital cruza com a medicina, haverá mais demandas regulatórias no setor de saúde. A nova Regulamentação de Dispositivos Médicos (Medical Device Regulation, MDR) da União Europeia, por exemplo, é obrigatória e exige que os fabricantes levem em conta os princípios de gestão de riscos, incluindo segurança da informação, bem como proteção contra acesso não autorizado. É complicado, na melhor das hipóteses, e as organizações que enfrentam riscos regulatórios devem estar atentas. A conformidade não equivale à segurança; os padrões apenas definem a linha de base. As práticas de segurança recomendadas exigirão soluções personalizadas com base em necessidades e atividades específicas do negócio e podem estender-se a padrões governamentais anteriores.


As organizações ainda precisam aperfeiçoar o básico quando se trata de gerenciar desafios regulatórios atuais e pendentes.

Explore os principais riscos que surgem de lacunas de conformidade, mapeie-os nos principais controles de segurança cibernética e determine medidas que sua organização pode tomar para fechar lacunas de segurança cibernética.


*A Avaliação do Quociente Cibernético (Cyber Quotient Evaluation, CyQu) da Aon avalia o risco cibernético em nove domínios de segurança e 35 áreas de controle essenciais.

Visão da indústria