Certificação SOC como a Asseguração de Riscos e Controles de Dados por terceiros independente é essencial nas empresas que prestam serviços em ambiente de manipulação, guarda e tratamento de dados.
O conhecimento do grau de maturidade no Brasil para manipulação segura de dados ou SOC – System and Organizations Controls, é em muitos casos desconhecido pelos administradores de empresas, essa é uma situação preocupante, visto o crescente volume de ataques cibernéticos noticiados diariamente.
Só quem teve o dissabor de ter seus dados sequestrados e ter que pagar para recuperá-los sabe do que estamos falando, e o pior vem a seguir que é o risco de ter a imagem arranhada junto ao mercado, como se a empresa não se preocupasse com os dados sob sua custódia, resultando muitas vezes em processos judiciais de reparação de danos e até perda de clientes.
De olho nesse cenário muitas empresas de auditorias independentes já alertam as empresas sobre as fragilidades detectadas, no entanto nem todas as empresas têm condições de contar com uma assessoria ou auditoria especializada, por conta de custos ou mesmo falta de interesse no assunto, ficando assim exposta aos riscos.
Porém é importante ressaltar que não basta ter controles é preciso certificar-se de que eles são eficientes e eficazes, assim é importante que seja feita uma avaliação por uma empresa independente que teste os controles existentes, avalie o grau de maturidade da cultura de riscos de tecnologia e ao final emita um relatório contendo as fragilidades, nível de exposição e se possível o impacto em eventual ocorrência de uma fatalidade.
Para isso existem relatórios preparados por auditores e consultores em níveis distintos, atualmente existem três relatórios de auditoria SOC diferentes – SOC 1, SOC 2 e SOC 3 – e dentro deles existem diferentes ‘Tipos’.
O SOC 1 examina os protocolos de relatórios financeiros de uma empresa; SOC 2 investiga como uma empresa se compromete e implementar controles internos em torno de um ou mais dos Critérios de Serviços de Confiança do Instituto Americano de Contadores Públicos Certificados (AICPA) em relação à disponibilidade, segurança, integridade de processamento, confidencialidade e privacidade; SOC 3 usa os mesmos critérios que SOC 2, mas o relatório é preparado para fins de ampla distribuição, por exemplo, no site de uma empresa para fins de marketing.
Os relatórios de auditoria SOC 1 e SOC 2 podem ser do Tipo I ou do Tipo II. A diferença é que o Tipo I é uma avaliação pontual dos controles e o Tipo II é uma avaliação da eficácia dos controles ao longo de um período de tempo, normalmente seis meses ou mais. O relatório de auditoria SOC 3 é sempre baseado nos resultados de uma avaliação SOC 2 Tipo II Das três opções, o relatório SOC 2 Tipo II é o mais aprofundado e rigoroso.
Quem precisa de uma auditoria SOC 2?
A Asseguração de controles de dados por um terceiro é importante para qualquer organização envolvida em serviços que requerem compartilhamento de dados.
Ao aplicar uma auditoria SOC 2 a empresa passa a ser um prestador de serviços muito mais interessante, uma vez que grande parte desses clientes gastam alguns milhares de reais para avaliar e testar as práticas desses fornecedores, o que pode vir a tornar-se um diferencial competitivo.
Antigamente esse Compliance sobre os dados era aplicado por grandes multinacionais, hoje no Brasil tanto as médias e grandes empresas já podem contar com esse tipo de serviço, prestados por consultores a exemplo da Reali Consultoria, empresa que atua nesse segmento com uma ótima qualidade de serviços e preços altamente competitivos e com a garantia de responsabilidade técnica. Por isso, empresas menores em todos os estados do Brasil estão começando a perceber o valor da auditoria terceirizada de controle de dados.
Cinco são as categorias de serviços de confiança que podem abrangem a SOC2, importante ressaltar que o requisito “Segurança” é a única obrigatória.
No entanto decidir qual categoria de serviços que serão objeto de testes, não é tarefa fácil e é recomendável contratar um diagnóstico primeiro para não esbanjar recursos desnecessários, assim a consultoria vai dizer exatamente que ponto focar.
Quais as ponderações que devem ser feitas ao contratar uma auditoria?
Muitas organizações conjecturam que realizar os testes de SOC é uma questão voltada para a área técnica de desenvolvimento, porém não é isso que ocorre na prática quando se iniciam os trabalhos.
A SOC expandiu seus critérios de avaliação e asseguração, permaneceu o escopo de segurança, desenvolvimento e gestão e entrou toda uma base de critérios que orientam a auditoria a nível dos negócios e seus processos chaves, importante colocar que a avaliação cobre desde os membros do conselho até os administradores, gerentes e pessoal de nível operacional o objetivo é entender como os riscos são detectados, reportados e monitorados.
É importante demonstrar que existe uma efetiva ação sobre esses riscos a partir do topo da governança e que os controles podem ser demonstrados e testados a qualquer momento A eficácia dos processos organizacionais só pode ser avaliada se eles forem devidamente documentados, porque se não estiverem inscritas, não podem ser compartilhadas com auditores ou com a empresa em geral para aumentar o entendimento
Os executivos e responsáveis pelos processos, são muitas vezes levados a acreditar que uma engenharia de controles, pode engessar a empresa. Isso é um pensamento equivocado, pois o que se precisa entender é que as organizações precisam entender quais dados possuem, determinar quais riscos representam para seus negócios e seus clientes, implementar controles apropriados para mitigar esses riscos e encontrar uma maneira de demonstrar eficácia, demonstrando e provando que sua empresa e seus dirigentes se preocupam com os dados que os tem sob sua custódia.
Ainda estamos em fases iniciais no Brasil quanto ao uso do SOC2, no entanto é um caminho inevitável uma vez que o cidadão, usuário, governo, clientes estão percebendo e mensurando cada vez mais o valor dos dados.
Por isso as organizações que se anteciparem, certamente estarão conquistando novos mercados e distinguindo-se dos demais que ainda permanecem em outros modelos de avaliação de segurança de dados.
Autoria: Douglas Cruzara – Diretor de Auditora – Reali Consultoria
