O gerenciamento de riscos de TI é o processo de gerenciamento de riscos de segurança cibernética por meio de sistemas, políticas e tecnologia. Este processo consiste em três fases principais – identificação, avaliação e controle para mitigar vulnerabilidades que ameaçam recursos sensíveis.
Os termos risco de TI e risco de informação são frequentemente usados de forma intercambiável. Ambos se referem a riscos que ameaçam a proteção de dados sensíveis e da propriedade intelectual.
Os riscos de Tecnologia da Informação, tanto inerentes quanto residuais, estão presentes em todas as organizações. O gerenciamento de riscos de TI é, portanto, uma prática essencial para todos os negócios.
Qual é a diferença entre risco e incerteza?
O risco refere-se a situações de tomada de decisão em que todos os resultados potenciais e a sua probabilidade de ocorrência são conhecidos. Por outro lado, a incerteza refere-se a situações de tomada de decisão em que nada é conhecido – nem os seus resultados potenciais, nem a sua probabilidade de ocorrência.
Um plano de gestão de riscos de TI bem-sucedido reduz a incerteza e capacita os tomadores de decisão a estarem completamente conscientes de todos os riscos de informação no seu cenário digital.
Por que o gerenciamento de riscos de TI é importante?
Um programa de gestão de riscos de TI minimiza o impacto das violações de dados, o que pode traduzir-se em poupanças consideráveis de custos. O custo médio global de uma violação de dados gira em torno de 3,86 milhões de dólares.
Além da economia de custos, um plano de gerenciamento de riscos de TI traz os seguintes benefícios:
- Ajuda as organizações a aumentarem a sua resiliência aos ataques cibernéticos.
- Estabiliza os operadores empresariais.
- Isso poderia diminuir a responsabilidade legal.
- Poderia reduzir os prêmios de seguro.
- Ele protege a equipe de danos potenciais.
- Facilita o alcance dos objetivos de negócios e a continuidade dos negócios
As melhores estratégias e processos de gerenciamento de riscos de TI
Uma estrutura de gerenciamento de riscos de TI (IRM) deve levar em conta um cenário de ameaças em evolução. Como resultado, um único conjunto de políticas ou estratégias não será suficiente. Como as táticas de ataque cibernético estão em constante mudança, as estruturas de gestão de risco devem ser capazes de lidar com múltiplas ameaças cibernéticas através de uma combinação de diferentes estratégias de controlo.
Quando utilizadas de forma harmoniosa, estas estratégias devem ajudar os decisores a responder com confiança às seguintes questões:
- O que poderia dar errado?
- Como esse resultado impactará a organização?
- Como esse resultado afetará o alcance dos objetivos de negócios?
- O que pode ser feito para evitar esse resultado?
- O que pode ser feito para remediar esse resultado depois que ele ocorreu?
- Quais são os custos potenciais deste resultado?
O requisito essencial de um programa IRM que ajudará a responder às perguntas acima inclui:
- A capacidade de monitorar continuamente toda a superfície de ataque
- A capacidade de rastrear esforços de fortalecimento da postura de segurança cibernética
- A capacidade de identificar a localização de todas as informações
- Ferramentas de gerenciamento de remediação capazes de priorizar respostas críticas
- A capacidade de avaliar a tolerância ao risco para todos os ativos
Esses requisitos essenciais podem ser atendidos com as 7 estratégias de gerenciamento de risco a seguir
1 – Identificação de Risco
Todos os riscos que possam ser potencialmente prejudiciais aos processos e à segurança da informação devem ser identificados. A transformação digital tornou esta tarefa extremamente difícil, uma vez que a maioria dos dados das empresas estão agora armazenados na nuvem.
A proliferação inexorável de soluções digitais ofusca as pegadas digitais, dificultando a identificação de ativos e o mapeamento da sua relação com processos específicos. Esta falta de transparência faz com que muitos vetores de ataque sejam ignorados, colocando as plataformas baseadas na nuvem em maior risco de ataques cibernéticos.
O primeiro passo para uma transparência total dos riscos é identificar todos os seus ativos e suas localizações. Isto pode ser alcançado através do mapeamento digital da pegada.
Uma solução de monitoramento de superfície de ataque também pode identificar todos os seus ativos corporativos e revelar riscos e vulnerabilidades potenciais.
2 – Identifique os níveis de risco e as probabilidades de cada risco ser explorado
Depois de identificar todos os ativos e suas localizações, o nível de risco dos dados neles armazenados precisa ser quantificado.
Nem todos os dados confidenciais são iguais aos olhos de um cibercriminoso; algumas categorias são mais cobiçadas do que outras.
Um estudo realizado pela IBM e Ponemon descobriu que 80% das violações de dados avaliadas envolviam informações de identificação pessoal (PII) do cliente.
Dados confidenciais que oferecem retornos financeiros compostos aos criminosos cibernéticos correm o maior risco de serem alvos. Quando os dados do cliente são roubados, cada vítima é alvo de ataques de phishing. Cada campanha de phishing descobre novas vítimas que podem ser alvo de novos ataques de phishing, ampliando o ciclo de ataque pernicioso.
O nível de risco para cada tipo de dados pode então ser calculado com uma fórmula de risco.
Uma fórmula simples para calcular os níveis de risco é a seguinte:
Nível de risco = Probabilidade de violação de dados X Impacto financeiro de uma violação de dados.
A análise de probabilidade é usada para calcular o potencial de ocorrência de cada risco identificado. Isto pode ser avaliado com uma matriz de risco.
Mas o que é Informações de identificação pessoal (PII)?
Informações de identificação pessoal (PII) são quaisquer dados que possam ser usados para identificar um indivíduo específico. Os exemplos incluem números de carteira de motorista, números de segurança social, endereços, nomes completos, etc.
As PII não incluem apenas links óbvios para a identidade de uma pessoa, como uma carteira de motorista. Fragmentos de dados que, quando combinados com outros conjuntos de dados, revelam a identidade de um indivíduo também podem ser classificados como PII. Mesmo dados que poderiam ser usados em técnicas de desanonimização poderiam ser considerados PII.
Ao compreender as condições que justificam uma classificação de PII, sua organização entenderá como usar a segurança da informação para armazenar, processar e gerenciar dados de PII corretamente.
Você não pode proteger PII se não souber como identificá-las. Neste artigo, abordamos uma definição ampla de PII e descrevemos uma estrutura para ajudá-lo a distinguir facilmente PII em seu ecossistema de TI.
Qual é a diferença entre PII sensíveis e PII não sensíveis?
PII confidenciais incluem qualquer conjunto de dados que inclua seu nome completo, endereço ou informações financeiras. PII não sensíveis são quaisquer dados genéricos acessíveis a partir de recursos públicos (como perfis de redes sociais) que não podem ser usados para identificar um indivíduo específico. como CEP ou data de nascimento.
Os dados não confidenciais ficam em uma área cinzenta. Embora seja suficientemente genérico para ser aplicado a um amplo segmento da população, pode ser utilizado juntamente com outros conjuntos de dados para revelar a identidade de um indivíduo – como múltiplas peças de um puzzle que contribuem para o desenvolvimento de uma imagem.
Como os dados não confidenciais ainda podem contribuir para um esforço mais amplo de identificação de um indivíduo, proteger esses dados com o mesmo grau de segurança que as PII confidenciais apenas irá distanciá-lo ainda mais de possíveis violações da lei de privacidade de dados.
Exemplos de PII sensíveis
- PII confidenciais incluem, entre outros, os seguintes identificadores exclusivos:
- Nome – Nome completo, nome de solteira, nome de solteira da mãe ou pseudônimo.
- Informações de endereço – Endereço, endereço comercial ou endereço de e-mail.
- Número de identificação pessoal: Número de segurança social (SSN), número de passaporte, número de carta de condução, número de identificação fiscal, números de conta financeira, número de conta bancária ou número de cartão de crédito.
- Endereços IP – Algumas jurisdições até classificam endereços IP como PII.
- Registros médicos.
- Informação financeira.
- Informações sobre saúde.
Exemplos de PII não sensíveis
PII não confidenciais são quaisquer informações que possam estar vinculadas a um indivíduo. Exemplos incluem:
- Corrida
- Gênero
- Local de nascimento
- Data de nascimento
- Crenças religiosas
- CEP
- Números de celular
- Número de telefone em registro público.
Como categorizar informações de identificação pessoal (PII)
Como qualquer forma de dados, nem todas as PII são iguais. As PII devem ser avaliadas determinando o seu nível de impacto na confidencialidade das PII.
Os níveis de impacto da confidencialidade das PII variam de baixo, moderado ou alto para indicar o dano potencial que pode resultar para um indivíduo ou organização se os dados forem comprometidos.
Cada organização precisa de decidir quais os fatores que utilizará para determinar os níveis de impacto e depois criar e operacionalizar as políticas, procedimentos e controlos apropriados. Dito isto, existem seis fatores gerais:
- Identificabilidade: Quão fácil pode ser o PII usado para identificar um indivíduo específico?
- Quantidade de PII: Quantas pessoas seriam expostas em uma violação de dados?
- Sensibilidade do campo de dados: Quão sensível é cada elemento de dados PII individual?
- Contexto de uso: Como as IPI estão sendo coletadas, armazenadas, usadas, processadas, divulgadas ou disseminadas?
- Obrigações de proteger a confidencialidade: A sua organização tem alguma obrigação legal ou regulatória para proteger PII? As obrigações incluem leis, regulamentos ou outros mandatos, como a Lei de Privacidade, o Regulamento Geral de Proteção de Dados (GDPR), a Lei de Responsabilidade e Portabilidade de Seguros de Saúde (HIPAA) e as orientações do OMB.
- Acesso e localização das PII: Quem pode acessar as PII e de onde pode acessá-las?
Esta estrutura de classificação também informará a definição do seu apetite geral pelo risco.
Quem é responsável por proteger as informações de identificação pessoal (PII)?
Na maioria das jurisdições, as PII devem ser protegidas com requisitos de segurança adicionais, e muitos setores têm leis de privacidade de dados ou requisitos de conformidade.
Do ponto de vista jurídico, a responsabilidade pela proteção de PII pode variar desde nenhuma responsabilidade até ser responsabilidade exclusiva de uma organização. Geralmente, a responsabilidade é compartilhada com a organização que detém as PII e o proprietário individual dos dados.
Dito isto, embora você possa não ser legalmente responsável. A maioria dos consumidores acredita que é sua responsabilidade proteger os seus dados pessoais. Isso significa que você pode sofrer danos à reputação mesmo que sua organização não seja legalmente responsável. À luz disso, é uma prática recomendada comumente aceita proteger PII.
A ocorrência cada vez maior de violações de dados envolvendo informações de identificação pessoal (PII) contribuiu para bilhões de dólares em perdas para os acionistas, milhões de dólares em multas regulatórias e um risco aumentado de roubo de identidade para os indivíduos cujos dados confidenciais foram expostos. As violações de dados são perigosas para indivíduos e organizações:
- Danos individuais: Roubo de identidade, constrangimento ou chantagem.
- Danos organizacionais: Perda de confiança pública, responsabilidade legal, redução do valor da empresa, encerramento de negócios ou custos de remediação.
Para proteger a confidencialidade das PII, as organizações precisam implementar iniciativas de gestão de riscos como:
- Avaliações de risco de segurança cibernética
- Gestão de riscos de terceiros
- Gerenciamento de risco do fornecedor
- Gerenciamento de risco de informação
Se protegermos as nossas informações públicas e sensíveis com igual zelo, exporemos menos informações públicas e mais dados sensíveis. As organizações precisam ter uma abordagem baseada em riscos para proteger a confidencialidade, integridade e acessibilidade (tríade CIA) de suas PII e das de seus clientes.
Dicas para proteger e proteger PII
A probabilidade de danos causados por uma violação de dados envolvendo PII é reduzida quando as organizações minimizam o uso, a coleta e a retenção de informações de identificação pessoal.
Sua organização deve minimizar suas solicitações de PII apenas ao que for absolutamente necessário. Deve também rever regularmente as informações pessoais que detém e se os dados pessoais ainda são relevantes e necessários.
Em geral:
- Revise os acervos atuais de PII e garanta que sejam precisos, relevantes, oportunos e completos.
- Reduzir o acervo de PII ao mínimo necessário para operar.
- Revise regularmente os acervos de PII.
- Estabeleça um plano para remover qualquer coleta e uso desnecessário de PII.
- Redija PII em documentos, imagens, arquivos de áudio ou vídeo usando ferramentas como VIDIZMO.
As políticas de segurança que limitam o acesso a dados sensíveis, como o Princípio do Menor Privilégio, também diminuirão o potencial do seu comprometimento.
Você precisa proteger todos os dados igualmente?
Nem todos os dados devem ser protegidos da mesma forma. As organizações devem aplicar salvaguardas adequadas para proteger a confidencialidade das PII com base na forma como categorizam as PII nos seus níveis de impacto na confidencialidade.
Algumas PII nem precisam ser protegidas. Imagine que sua organização opera uma lista telefônica pública que permite que encanadores compartilhem seus números de telefone. Neste caso, o PII (número de telefone) não precisa ser protegido porque sua organização tem permissão para divulgá-lo publicamente.
No entanto, se uma solução em nuvem não tiver recebido permissão para compartilhar informações, todos os dados enviados serão classificados como PII que precisam ser protegidos, mesmo que alguns deles estejam atualmente exibidos em diretórios públicos.
Para PII confidenciais que você precisa proteger, você deve usar controles operacionais, específicos de privacidade e de segurança cibernética, como:
- Políticas e procedimentos: Desenvolva políticas e procedimentos abrangentes para proteger a confidencialidade das PII.
- Treinamento: Reduza a possibilidade de acesso, uso ou divulgação não autorizado de PII, exigindo que todos os funcionários recebam treinamento apropriado antes de terem acesso à tecnologia da informação que contenha PII.
Quais leis de privacidade se relacionam às informações de identificação pessoal (PII)?
As PII existem na legislação da maioria dos países e territórios:
- Estados Unidos: O Guia do Instituto Nacional de Padrões e Tecnologia (NIST) para proteger a confidencialidade de informações de identificação pessoal define PII como qualquer informação sobre um indivíduo mantida por uma agência, incluindo qualquer informação que possa ser usada para distinguir ou rastrear a identidade de um indivíduo, como nome, CPF, data e local de nascimento, nome de solteira da mãe ou registros biométricos; e qualquer informação que esteja vinculada ou possa ser vinculada a um indivíduo com informações adicionais, como informações protegidas sobre saúde, informações educacionais, financeiras e de emprego.
- União Europeia: A Diretiva 95/46/CE define dados pessoais como informações que podem identificar uma pessoa, como um número de identificação ou fatores específicos de identidade física, fisiológica, mental, económica, cultural ou social.
- Austrália: A Lei de Privacidade de 1988 estipula uma série de direitos de privacidade conhecidos como Princípios de Privacidade de Informações (IPPs). Esses princípios determinam como o governo e as empresas australianos podem coletar PII. Também determina que os australianos tenham o direito de saber por que as informações sobre eles estão sendo coletadas e quem verá as informações.
- Nova Zelândia: A Lei de Privacidade controla como as organizações coletam, usam, divulgam, armazenam e dão acesso a informações pessoais. Sua definição de PII é informação sobre pessoas vivas e identificáveis.
- Reino Unido: A Lei de Proteção de Dados de 2018 é a implementação do Regulamento Geral de Proteção de Dados (GDPR) no Reino Unido. Ela determina que as PII devem ser usadas de forma justa, legal e transparente; para finalidade específica e explícita; de forma adequada, relevante e limitada apenas ao necessário; precisos e, quando necessário, mantidos atualizados; mantidos não mais do que o necessário e tratados de uma forma que garanta a segurança adequada, incluindo proteção contra processamento ilegal ou não autorizado, acesso, perda, destruição ou danos.
- Canadá: A Lei de Proteção de Informações Pessoais e Documentos Eletrônicos (PIPEDA) garante que as organizações devem obter o consentimento de um indivíduo para coletar, usar ou divulgar PII.
O que são controles comuns de segurança de informações de identificação pessoal (PII)?
- Gerenciamento de configuração: uma das maneiras mais comuns de exposição de PII é por meio de um vazamento de dados causado por configuração inadequada de uma plataforma de armazenamento em nuvem como o S3 da Amazon. Verifique suas permissões de segurança do S3 ou outra pessoa o fará.
- Prevenção contra perda de dados: os sistemas rastreiam transferências de dados confidenciais dentro e fora da sua organização e identificam padrões que podem sugerir uma violação de dados.
- Mascaramento de dados: Os dados são armazenados e transmitidos apenas com os detalhes necessários para a transação e nada mais.
- Questionários automatizados de fornecedores: avaliando automaticamente a segurança de seus fornecedores terceirizados.
- Detecção de vazamento de dados: monitore continuamente a web em busca de vazamentos de dados.
- Detecção de exposição de credenciais: monitore continuamente a web em busca de credenciais vazadas.
- Paredes éticas: Implemente mecanismos de triagem para limitar o acesso a PII que não sejam relevantes para o trabalho de um indivíduo.
- Controle e monitoramento de privilégios: monitore alterações de privilégios e privilégios excessivos, inadequados ou não utilizados.
- Monitoramento de acesso a PII: monitore o acesso a arquivos e bancos de dados contendo PII.
- Arquivamento de testes de auditoria: garanta que as trilhas de auditoria sejam arquivadas com segurança para garantir que a integridade dos dados não seja comprometida.
- Rastreamento de usuários: rastreie a atividade do usuário em sistemas de informação que contenham PII.
- Monitoramento de acesso de fornecedores: monitore o acesso de prestadores de serviços e fornecedores terceirizados às PII e desative seu acesso se não for necessário para concluir seu trabalho.
- Classificações de segurança cibernética: meça a classificação de segurança cibernética da sua organização para entender o risco de segurança cibernética e a postura geral de segurança é uma tendência.
- Classificações de segurança cibernética de terceiros e quartos: monitore as classificações de segurança cibernética de seu fornecedor e dos fornecedores para entender como está a tendência de sua postura geral de segurança e sua exposição a possíveis ataques cibernéticos. estrutura
- Proteção contra Typosquatting: as informações de identificação pessoal do seu cliente podem ser expostas por criminosos cibernéticos de typosquatting que pretendem roubar seu tráfego por meio de erros de digitação.
3 – Priorize cada risco de segurança da informação identificado
Para manter reduzidos os custos das operações de segurança interna, os esforços de resposta devem ser distribuídos de forma eficiente para que os riscos de TI mais críticos sejam abordados primeiro.
Isto só pode ser alcançado se os riscos críticos forem corretamente classificados. Embora alguns cálculos de risco sejam bastante precisos, a sua avaliação envolve um processo manual demorado.
Além da precisão, a velocidade é outra variável crítica na análise de riscos de TI porque afeta o nível de impacto de uma violação de dados se os riscos forem explorados por cibercriminosos.
As vítimas que respondem às violações de dados em menos de 200 dias economizam em média US$ 1,12 milhão.
A solução ideal deve ser capaz de classificar corretamente as vulnerabilidades de segurança e priorizá-las para uma correção eficiente.
4 – Estabeleça um apetite pelo risco
Com todos os riscos de TI e a sua probabilidade de exploração conhecidos, é necessário estabelecer um apetite pelo risco. O apetite pelo risco ajuda as organizações a decidirem quais medidas de controle devem ser atribuídas a cada fator de risco. Existem 5 opções de controle:
- Aceitação de risco
- Prevenção de riscos
- Diminuir riscos
- Risco de transferência
- Monitore o risco
A apetência pelo risco (ou tolerância ao risco) define o nível máximo de risco que pode ser aceite antes da implementação dos esforços de mitigação.
5 – Mitigar riscos
Os controles de mitigação devem ser implementados para cada tipo de risco que ultrapasse o limite de risco. Esses controles devem avaliar primeiro o risco de TI com classificação mais alta.
Esses controles devem ser apoiados por Planos de Resposta a Incidentes (IRP) para ajudar as equipes de segurança a responderem às ameaças de maneira oportuna e controlada.
Os controles de mitigação de riscos de TI incluem:
- Firewalls
- Criptografia de dados
- Manter o software atualizado
- Mantendo o antivírus atualizado
- Instalando os patches de software mais recentes
- Fazendo backup de dados críticos
- Implementando autenticação multifator (MFA)
- Protegendo contas de acesso privilegiado
- Implementando estruturas de segurança cibernética resilientes
O risco também pode ser mitigado através de uma estrutura de segurança cibernética. Existem muitas estruturas de gerenciamento de riscos de segurança da informação disponíveis. Os mais conceituados estão listados abaixo.
- COBIT – Esta estrutura ajuda as organizações a desenvolver uma estratégia de gerenciamento de risco empresarial (ERM).
- Essential Eight – Esta é a estrutura de segurança cibernética recomendada para todas as empresas australianas.
- COSO (Comitê de Organizações Patrocinadoras da Comissão Treadway) – Esta estrutura facilita operações de rede seguras.
- Análise Fatorial de Risco de Informação (FAIR) – Esta estrutura avalia. relação entre diferentes riscos e facilita o cumprimento das regulamentações internacionais.
6 – Transferir riscos de TI
Em muitos casos, é mais eficiente e menos oneroso para as equipes de segurança interna transferirem riscos críticos para uma parte externa ou para uma entidade de seguro cibernético.
A parceria com soluções de armazenamento de dados ou backup irá transferir e mitigar o risco de interrupção do serviço em caso de violação de dados. Tal parceria também mitiga o risco de ameaças internas, uma vez que os funcionários não terão acesso a todos os recursos de dados; e desastres naturais porque há poucas probabilidades de que o mesmo dano ambiental ocorra em dois locais dispersos.
7 – Monitore os riscos e a conformidade de TI
Devem ser implementadas metodologias de monitorização de TI para acompanhar a progressão tanto dos riscos mitigados como dos riscos ignorados dentro da apetência pelo risco.
Um exemplo de controle de monitoramento de risco de TI é uma solução de monitoramento de superfície de ataque capaz de fazer varredura na rede interna e de terceiros. Um nível de transparência tão amplo e profundo mantém as organizações conscientes do estado de cada risco, de qualquer risco relacionado e de quais vulnerabilidades ultrapassam o apetite pelo risco.
Os controlos de monitorização também devem avaliar a eficácia dos controlos de mitigação. Os ciberataques estão sempre ajustando suas táticas para escapar das defesas de segurança e das estratégias de mitigação. Um exemplo recente é o uso de software de resgate em um ataque à cadeia de suprimentos pelo grupo cibercriminoso REvil.
As classificações de segurança fornecem às equipes de segurança e às partes interessadas uma visão sobre a postura de segurança de sua organização, de todas as suas subsidiárias e fornecedores. Este recurso também confirma instantaneamente a eficácia de todos os esforços de remediação.
Quando a funcionalidade de feedback imediato das classificações de segurança é combinada com os controles de monitoramento da superfície de ataque, as organizações ficam cientes da probabilidade de ocorrência de uma violação de dados, em qualquer ponto do seu ambiente de TI, a qualquer momento.
Os KPIs de segurança cibernética são os agentes responsáveis que garantem que todos os esforços de monitoramento de riscos de TI apoiem os objetivos gerais de segurança. Eles também facilitam relatórios significativos para equipes de segurança de TI e partes interessadas.
Aqui estão 14 métricas importantes que devem ser implementadas em seu programa de gerenciamento de riscos de TI.
- Nível de preparação
- Dispositivos não identificados em redes internas
- Tentativas de invasão
- Incidentes de segurança
- Tempo Médio para Detecção (MTTD)
- Tempo Médio para Resolução (MTTR)
- Tempo Médio de Contenção (MTTC)
- Classificações de segurança primárias
- Classificação média de segurança do fornecedor
- Cadência de correção
- Gerenciamento de acesso
- Desempenho da empresa versus desempenho dos pares
- Cadência de patches do fornecedor
- Tempo médio para resposta a incidentes dos fornecedores
Processo e Padrões de Gestão de Risco
A proliferação de violações de dados colocou uma responsabilidade maior sobre as organizações para proteger suas redes e proteger os dados dos clientes. Essas melhores práticas de segurança são aplicadas por meio da conformidade regulatória.
Os setores com maior risco de ataques cibernéticos, como os serviços financeiros e os cuidados de saúde, estão vinculados às leis regulamentares e aos quadros de segurança que facilitam a conformidade regulamentar.
Alguns exemplos de padrões de conformidade regulatória são o Regulamento Geral de Proteção de Dados (GDPR) para residentes na União Europeia, LGPD para o Brasil e o CPS 234 para organizações regulamentadas pela APRA.
As indústrias que não são regulamentadas ainda beneficiarão da implementação de quadros regulamentares para beneficiarem dos seus controlos avançados de proteção contra violação de dados.
A Organização Internacional de Padronização (ISO) consiste em uma série de padrões adequados a todas as organizações e setores. Os padrões ISO mais populares para segurança de TI são ISO 27001 e ISO 3100.
A família ISO 27001 oferece requisitos para sistemas de gerenciamento de segurança de dados, e a família ISO 3100 pode fornecer orientação para auditorias internas de risco.
A ISO publicou mais de 22.700 padrões para atender a quase todos os requisitos de segurança da informação. O vídeo abaixo fornecerá algumas orientações sobre qual família ISO é adequada para os requisitos de risco do seu negócio.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar-condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.