Situação (antes da nossa atuação)
Como uma start-up jovem, a Riskadviser enfrentava o desafio principal de estruturar um conjunto inicial de normativos de segurança da informação e privacidade de dados pessoais. Além disso, o mercado de seguros, com seus parceiros e clientes, exigia uma cadeia de suprimentos regulamentada e adequada, o que aumentava a pressão sobre a empresa para se adequar rapidamente.
Os processos iniciais de negócio da Riskadviser eram bem adequados, mas baseados em conhecimento empírico. No entanto, a empresa carecia de uma documentação robusta e de processos formalizados para garantir a conformidade com normas e regulamentos como LGPD e GDPR. Essa lacuna na estrutura documental e processual expunha a Riskadviser a riscos de não conformidade e à perda de confiança dos stakeholders.
Esta situação levou a Riskadviser a buscar a expertise da EximiaCo para estabelecer um compliance sólido e alinhado às melhores práticas do mercado, assegurando assim a confiança e a segurança exigidas pelo setor.
Implicações
A principal dificuldade enfrentada pela Riskadviser era a exigência do mercado de seguros, que é altamente regulado e demanda um nível elevado de adequação em termos de privacidade e segurança da informação. Esta exigência criava fricções durante o processo comercial, uma vez que a Riskadviser precisava se submeter a auditorias recorrentes para demonstrar conformidade.
Embora a Riskadviser nunca tenha enfrentado incidentes relacionados à segurança da informação ou privacidade de dados pessoais, o cuidado existente era informal e carecia de evidências físicas e documentações. A ausência de uma estrutura formalizada de compliance gerava incertezas e dificultava a construção de confiança plena com parceiros e clientes.
Essas dificuldades destacaram a necessidade urgente de estabelecer um compliance sólido e documentado, para atender às exigências do mercado e garantir a continuidade e crescimento do negócio.
O que fizemos
A EximiaCo seguiu uma abordagem estruturada e detalhada para ajudar a Riskadviser a estabelecer um compliance sólido de segurança da informação e privacidade de dados pessoais.
Primeiro, realizamos um assessment a nível de negócios para entender os processos existentes. Esse passo foi essencial para identificar os pontos fortes e as áreas que necessitavam de melhorias. Em seguida, realizamos um assessment tecnológico para compreender a arquitetura de sistemas e dados da Riskadviser.
Com base nas informações coletadas, conduzimos uma análise as-is, comparando a situação atual da empresa com as exigências normativas do mercado e as recomendações dos frameworks NIST e CIS Controls. Esse processo nos permitiu identificar as lacunas e definir um plano de ação claro.
Desenvolvemos um conjunto de documentações necessárias para a adequação, incluindo políticas, procedimentos e normas específicas para o setor de seguros. Utilizamos os frameworks NIST, CIS Controls, PDCA/SDCA, ITIL V4, LGPD e GDPR para garantir que todas as práticas recomendadas fossem incorporadas.
Para garantir a conformidade, trabalhamos alinhados às melhores práticas recomendadas pelos frameworks e aplicamos essas recomendações aos processos de negócio da Riskadviser, promovendo o mínimo de atrito possível. Essa abordagem permitiu uma transição suave e eficiente para a nova estrutura de compliance, assegurando a conformidade com as normas e aumentando a confiança dos parceiros e clientes.
Entregáveis
A atuação da EximiaCo resultou em um conjunto robusto de entregáveis para a Riskadviser, incluindo:
- Desenvolvimento de um conjunto completo de documentações, abrangendo políticas e procedimentos para todos os fluxos de negócio.
- Revisão e atualização da documentação existente para garantir a conformidade com as normas LGPD, GDPR e as recomendações dos frameworks NIST e CIS Controls.
- Melhoria significativa nos processos de negócio, proporcionando maior visibilidade e eficiência graças à documentação estruturada.
- Planejamento de um workshop de privacidade e segurança para a equipe da Riskadviser, com o objetivo de capacitar os colaboradores e assegurar a continuidade das boas práticas de compliance.
Esses entregáveis asseguram que a Riskadviser esteja bem equipada para manter a conformidade com as normas de segurança da informação e privacidade de dados pessoais, atendendo às exigências do mercado e aumentando a confiança dos parceiros e clientes.
