Qual é a relação entre compliance e segurança da informação?

Qual é a relação entre compliance e segurança da informação?

 

Que investir em segurança da informação é importante (quase) todo mundo sabe. Nenhuma empresa que se preze deixa de pensar em como manter seus dados internos protegidos de invasões e vazamentos. Mas nem todas elas pensam em outro aspecto essencial da segurança da informação: o compliance. Na realidade, apenas 3% das empresas têm boas práticas de compliance.

Ter uma boa política de compliance vai além dos procedimentos e políticas internas da empresa. Trata-se de estar de acordo com regras, portarias e leis que regem um determinado mercado e que são válidos para a sociedade de maneira geral. Por isso, é importante entender o que é o compliance, o que ele envolve, o que ele não envolve e o que é necessário para que sua empresa esteja de acordo com essas exigências.

Veja a seguir como garantir que sua empresa esteja em dia com as melhores práticas do compliance.

 

O que é compliance?

Explicando de maneira simples, compliance é estar de acordo com um conjunto de regras pré-estabelecidas. Hoje em dia esse termo é usado para avaliar se uma empresa está seguindo todas as leis, normas e regulamentos do seu setor de atuação e do país em que atua. Isso é importante porque garante que o negócio esteja sendo feito de acordo com a lei e evita o risco de multa, punição ou até mesmo fechamento da empresa. No caso específico da tecnologia da informação, o compliance diz respeito à segurança de dados, políticas de acesso, possíveis fraudes e inovações tecnológicas. Ele nada mais é do que um dos ramos da chamada governança corporativa, específico das tecnologias da informação.

Outra distinção importante a ser feita é entre compliance e governança de TI. A última é composta pelas práticas dos gestores de TI para administrar melhor os recursos tecnológicos em termos de eficiência, custos, experiência do usuário. Ou seja, alinhar esses instrumentos aos objetivos do negócio.

 

Riscos de não ter política de compliance

São muitos os riscos para as empresas que não se adequam à legislação local. Todos eles podem causar sérios problemas. Por isso, é importante saber quais são as possíveis brechas. Em primeiro lugar, o chamado Shadow TI pode ser arriscado. Trata-se do uso descontrolado de programas, serviços e aparelhos, sem que a empresa os tenha aprovado. Quando essa situação existe, não há como controlar que tipo de informação está sendo exposta.

Um funcionário pode decidir usar um serviço da nuvem para guardar dados de clientes. Não há como a equipe de TI cuidar para que essas informações fiquem seguras. E ainda existe o risco de que a privacidade de alguém seja violada. Ou talvez um colaborador use seu celular para acessar sistemas internos, mas esse dispositivo não esteja de acordo com as normas internas de segurança. Existe aí mais um ponto de risco, já que o aparelho está longe do alcance dos profissionais de TI. Esse fator deve ser considerado antes de permitir que funcionários, colaboradores ou visitantes usem sua infraestrutura a partir de seus próprios dispositivos. Existem diversas estratégias para lidar com isso, incluindo a assinatura de termos de responsabilidade caso alguém precise se conectar às suas redes com um dispositivo estranho.

Sua empresa está em dia com as licenças de software? Todos os seus funcionários usam versões legítimas dos programas que usam para trabalhar? Pode parecer exagero, mas usar versões "piratas" de aplicativos e softwares pode causar grandes prejuízos, uma vez que pode implicar em multas e punições por violação de leis de direitos autorais.

 

Como combinar compliance e segurança da informação?

Existem algumas estratégias que podem garantir que sua empresa atenda tanto às exigências de compliance quanto aos requisitos internos e externos de segurança da informação. Em primeiro lugar, identifique e faça uma lista de que leis, regulamentos, políticas e regras precisam ser seguidas. Elas podem ser as leis dois países onde sua empresa está, as regras do mercado em que você atua, as regras internas da empresa (o que inclui suas políticas).

Para cada conjunto desses, é necessário criar controles para que as determinações sejam cumpridas. A empresa precisa definir quais eles serão e as consequências do não-cumprimento deles. A partir desses elementos, é necessário estabelecer uma arquitetura de segurança. Ela vai organizar toda a estrutura da empresa de acordo com os dispositivos, plataformas e programas usados. Uma vez criada, ela precisa ser respeitada. Por último, a comunicação dessas regras e estruturas precisa ser comunicada a todos os funcionários e colaboradores. Os dirigentes devem estar cientes de suas responsabilidades em garantir que todo esse arcabouço seja cumprido e avaliado constantemente.

Para garantir que essas políticas sejam cumpridas, uma boa opção é implementar ferramentas de monitoramento. Elas geram informações que podem ser usadas não apenas no campo do compliance, mas também para melhorar a eficiência e dar uma melhor experiência ao usuário.

 

Alguns exemplos de legislação

Para que você tenha uma ideia de quantos pré-requisitos uma empresa pode ter para estar com seu compliance em dia, veja uma lista de leis que precisam ser levadas em conta quando se trata de segurança da informação:

  • Lei n.º12.965/2014 (Marco Civil da Internet)
  • Lei nº 12.850/2013 (Provas Eletrônicas)
  • Lei nº 12.551/2011 (Lei Home Office e Teletrabalho)
  • Lei nº 9.609/1998 (Lei de Software)
  • Lei nº 12.527/2011 (LAI)
  • Lei n.º 12.846/2013 (Lei Anti-Corrupção)
  • Leis de nº 12.735 e 12.77/2012 (Crimes Eletrônicos)
  • Decreto n.º 7962/2013 (Lei do Comércio Eletrônico)
  • Decreto n.º 7.845/2012 (Lei de Tratamento da Informação Classificada)
  • Lei n.º 9.296/1996 (Lei de Interceptação)
  • Lei nº 9.610/1998 (Lei de Direitos Autorais)
  • Lei nº 9.279/1996 (Lei de Propriedade Industrial)

Note que são leis dos mais diversos tipos, que pertencem aos mais diversos ramos do direito brasileiro (civil, trabalhista, comercial, etc.). É preciso levar todas essas leis em consideração, além de identificar quais outras podem entrar em jogo caso sua empresa crie algum tipo de inovação ou novidade.

Siga-nos

       

 

Contato:

 SIA/SUL Trecho 03 Lote 990,  Cobertura - Edifício Itaú

 CEP: 71.200-030 - BRASÍLIA/DF

 +55 (61) 3363-8636

 contato@fasthelp.com.br

Enviar mensagem

Últimas Notícias