A INSSIDE lançou recentemente nossa plataforma de conformidade regulatória e gerenciamento de riscos. É um produto inovador que nasceu com o objetivo de facilitar e agilizar o trabalho dos auditores e de todos os responsáveis pela condução de uma auditoria.
Sem dúvida, o INSSIDE Security Suite (ISS) é uma proposta em constante aperfeiçoamento e otimização, lançando novidades que o colocam na vanguarda do que auditores e empresas precisam para atender aos requisitos das normas mais conhecidas e exigentes mercados.
Esta semana tivemos o prazer de conversar com a nossa especialista, Ing. Agostina Lambertucci, QSA e uma das idealizadoras do novo produto que oferecemos da INSSIDE que promete ser a mão direita dos auditores.
O que te inspirou a desenvolver este aplicativo?
Primeiro, a maioria de nossos clientes deve manter a conformidade com vários regulamentos, seja por necessidade comercial, por definição do CISO ou pelo próprio setor. O acompanhamento dessas normativas costuma ser feito por meio de arquivos Excel, prática que torna mais complexo o acompanhamento e a visibilidade do processo. Portanto, o objetivo do INSSIDE Security Suite (ISS) é que eles possam ter todas as informações em uma mesma plataforma, com facilidade de monitoramento e centralização dos dados.
Nas próximas versões da ferramenta, todos os projetos poderão ser associados com o objetivo de reaproveitar as informações que já foram carregadas anteriormente para uma norma e que são necessárias para outro marco regulatório.
Conte-me sobre a experiência do usuário ao usar o aplicativo. Como você facilita o processo de análise de lacunas e melhora a conformidade?
Há três pontos importantes a serem destacados a esse respeito: recomendações de remediação, evidências e os responsáveis.
Nossos consultores especializados em GRC carregaram as recomendações de remediação nos regulamentos, para que nossos clientes obtenham automaticamente as medidas a serem implementadas para cumprir os controles do padrão avaliado.
Além disso, eles prepararam listas de evidências a serem revisadas para cada norma, portanto, no momento de iniciar o projeto, nosso cliente pode usar essa lista ou modificá-la conforme necessário. Cada controle terá suas respectivas evidências associadas, para vincular o repositório onde está hospedado, bem como o status da revisão. Desta forma, as provas serão centralizadas e não será necessário o acompanhamento por e-mail.
Por último, ao nível dos responsáveis, para cada controlo poderá ser atribuído o(s) responsável(is) correspondente(s) juntamente com a data de execução, com o objetivo de facilitar a manutenção da conformidade ao longo do processo.
Que tipos de regulamentos de segurança cibernética a plataforma cobre?
Atualmente, a ISS possui os marcos regulatórios PCI DSS, CIS, NIST e ISO 27002. No entanto, você pode fazer o upload de todos os regulamentos que desejar, independentemente de sua natureza. O importante é conseguir organizá-lo em requisitos, sub-requisitos e controles.
Um recurso interessante é a capacidade de vincular evidências e metas de conformidade. Como isso simplifica o gerenciamento e a documentação para os usuários?
Com esta funcionalidade, o compliance officer terá apenas que indicar por controle as evidências que devem ser apresentadas. Isso permitirá que cada pessoa envolvida seja responsabilizada pela execução do controle e apresentação das respectivas evidências, evitando o envio de muitos e-mails exigindo as evidências, a perda de tempo solicitando as informações em várias ocasiões e, até mesmo, a possível perda disso.
Quais são os principais benefícios que os agentes de segurança e gerentes de GRC podem esperar ao usar essa ferramenta?
Entre os principais benefícios, podemos citar agilidade, recomendações de implementação feitas por especialistas, fácil rastreamento de evidências, centralização do processo de compliance, entre outros.
Como o aplicativo ajuda a medir o nível atual de conformidade e avaliar o risco associado à não conformidade?
Com o ISS, ao avaliar o cumprimento da norma, controle por controle, será possível obter o nível de conformidade total. Dos controles identificados como não conformidade, será possível saber o nível de risco que eles representam para a organização, pois, como bem sabemos, não realizar a conscientização anual não gera o mesmo risco que não ter um processo de gerenciamento de vulnerabilidade . Ou seja, existem diferentes tipos de controles e com base na importância de cada um, o ISS determina o nível de risco a que uma organização está exposta por não cumprir um ou outro.
Você poderia compartilhar algumas histórias de sucesso ou exemplos de como o aplicativo ajudou as empresas a melhorar sua segurança cibernética e conformidade regulatória?
Por um lado, temos um grande número de clientes utilizando o ISS para completar o PCI DSS SAQ exigido pelos adquirentes. Neste caso, são clientes com volume anual de transações muito baixo, que não necessitam dos serviços de um QSA. Por meio da ISS, eles preenchem rapidamente o SAQ correspondente e depois o entregam a quem o solicitar.
Por outro lado, várias empresas estão utilizando-o para gerenciar os processos de gestão de fornecedores. Através do ISS, pedem aos seus fornecedores que cumpram a avaliação de segurança definida e assim guardam toda a informação de forma centralizada.
A capacidade de registrar as mudanças de estado dos controles parece muito útil. Como isso contribui para manter a conformidade contínua e demonstrar melhorias ao longo do tempo?
O fato de registrar as mudanças de status nos controles permite manter o nível de conformidade atualizado, dando visibilidade a todos os envolvidos e mostrando o andamento do processo de remediação.
Qual é a sua visão de longo prazo para o aplicativo? Existem recursos ou melhorias que os usuários podem esperar em atualizações futuras?
Como tudo em tecnologia, a ISS está em constante evolução. Levamos em consideração as recomendações que nossos clientes nos fazem, bem como os avanços da indústria.
A médio prazo estaremos lançando um novo módulo, específico para PCI DSS para os clientes que precisam realizar as autoavaliações. A partir deste módulo, poderão facilmente saber qual o SAQ que lhes corresponde, preencher apenas os requisitos que lhes são aplicáveis e executar os ASV trimestrais. Tudo sem a ajuda de nenhum consultor.
Por sua vez, estamos trabalhando para obter um nível mais alto de automação. Através de integrações com diferentes fontes, o objetivo é que os estados dos controles sejam modificados automaticamente de acordo com as informações que recebem.
Até aqui, a palavra de Agostina Lambertucci, QSA e especialista em compliance regulatório, que nos contou como o INSSIDE Security Suite contribui para a gestão dos processos de auditoria.
Para saber mais sobre a plataforma, você pode enviar sua consulta no link a seguir e um especialista entrará em contato com você em breve.