# Políticas e conformidade

## Introdução

A prática de políticas e conformidade visa compreender e cumprir requisitos legais e regulatórios externos, estabelecendo padrões internos de segurança alinhados ao propósito comercial da organização. Um impulsionador chave para melhorias nessa prática é a descrição dos padrões e obrigações de terceiros como requisitos de aplicativos, permitindo auditorias eficientes e automatizadas no Ciclo de Vida do Desenvolvimento de Software (SDLC) para garantir a conformidade contínua. A implementação sofisticada dessa prática requer uma compreensão abrangente dos padrões internos e direcionadores de conformidade externos, mantendo uma comunicação constante com as equipes de projeto para garantir que nenhum projeto opere fora das expectativas sem visibilidade.

## Modelo

<table data-full-width="true"><thead><tr><th data-type="number">Nível de maturidade</th><th>Descrição</th><th width="365.5">Fluxo de políticas e padrões</th><th>Fluxo de gerenciamento de conformidade</th></tr></thead><tbody><tr><td>1</td><td>Identificar e documentar os direcionadores de governança e conformidade relevantes para a organização de forma precisa e abrangente.</td><td>Definir uma linha de base de segurança que represente as políticas e padrões da organização.</td><td>Identificar direcionadores e requisitos de conformidade de terceiros e mapeá-los para as políticas e padrões existentes.</td></tr><tr><td>2</td><td>Estabelecer uma base de segurança e conformidade específica para cada aplicativo, de forma apropriada e abrangente.</td><td>Desenvolver requisitos de segurança aplicáveis a todas as aplicações.</td><td>Publicar requisitos específicos de conformidade e orientações de teste para cada aplicação.</td></tr><tr><td>3</td><td>Avaliar a conformidade com as políticas, padrões e requisitos de terceiros por meio de medições precisas e eficazes.</td><td>Medir e relatar o status de adesão das aplicações individuais às políticas e padrões.</td><td>Medir e relatar a conformidade das aplicações individuais com os requisitos de terceiros.</td></tr></tbody></table>

## Como implementar?

1. **Avaliação inicial:** Realize uma avaliação das políticas de segurança e conformidade existentes na organização. Identifique as lacunas e áreas de melhoria que precisam ser abordadas.
2. **Definição das políticas:** Desenvolva políticas de segurança claras e abrangentes que estabeleçam os padrões e requisitos de segurança para a organização. Essas políticas devem abordar áreas como gerenciamento de acesso, proteção de dados, segurança física, conscientização de segurança, resposta a incidentes, conformidade regulatória, entre outros.
3. **Revisão legal:** Consulte especialistas jurídicos e regulatórios para garantir que as políticas estejam em conformidade com as leis e regulamentações aplicáveis à organização. Isso pode incluir leis de privacidade de dados, regulamentações específicas da indústria e outros requisitos legais.
4. **Comunicação e conscientização:** Comunique e eduque todos os funcionários sobre as políticas de segurança e conformidade. Certifique-se de que eles entendam suas responsabilidades e as consequências de não aderir às políticas estabelecidas. Isso pode envolver a realização de treinamentos, workshops ou sessões informativas.
5. **Implementação de controles:** Identifique os controles de segurança necessários para implementar as políticas estabelecidas. Isso pode incluir a implementação de medidas técnicas, como firewalls, criptografia, controle de acesso, entre outros, bem como a adoção de práticas de governança, como revisões de código, testes de penetração e gerenciamento de vulnerabilidades.
6. **Monitoramento e auditoria:** Estabeleça um programa de monitoramento e auditoria para garantir a conformidade contínua com as políticas. Isso pode envolver a implementação de ferramentas de monitoramento de segurança, realização de avaliações regulares, análises de conformidade e auditorias internas.
7. **Gestão de mudanças:** Implemente um processo de gestão de mudanças para lidar com alterações nas políticas e garantir que essas mudanças sejam comunicadas e implementadas adequadamente em toda a organização.
8. **Revisão e melhoria contínua:** Realize revisões regulares das políticas e controles de segurança para garantir que eles continuem relevantes e eficazes. Faça melhorias conforme necessário, com base nas lições aprendidas, feedback dos funcionários e mudanças no cenário de ameaças.

Lembre-se de que a implementação é um processo contínuo.
Nível de maturidade	Descrição	Fluxo de políticas e padrões	Fluxo de gerenciamento de conformidade
1	Identificar e documentar os direcionadores de governança e conformidade relevantes para a organização de forma precisa e abrangente.	Definir uma linha de base de segurança que represente as políticas e padrões da organização.	Identificar direcionadores e requisitos de conformidade de terceiros e mapeá-los para as políticas e padrões existentes.
2	Estabelecer uma base de segurança e conformidade específica para cada aplicativo, de forma apropriada e abrangente.	Desenvolver requisitos de segurança aplicáveis a todas as aplicações.	Publicar requisitos específicos de conformidade e orientações de teste para cada aplicação.
3	Avaliar a conformidade com as políticas, padrões e requisitos de terceiros por meio de medições precisas e eficazes.	Medir e relatar o status de adesão das aplicações individuais às políticas e padrões.	Medir e relatar a conformidade das aplicações individuais com os requisitos de terceiros.