Qual é a relação entre compliance e segurança da informação?

Tempo de Leitura: 5min

Escrito por admin

Em 3 de August de 2018

Que investir em segurança da informação é importante (quase) todo mundo sabe. Nenhuma empresa que se preze deixa de pensar em como manter seus dados internos protegidos de invasões e vazamentos. Mas nem todas elas pensam em outro aspecto essencial da segurança da informação: o compliance. Na realidade, apenas 3% das empresas têm boas práticas de compliance.

Ter uma boa política de compliance vai além dos procedimentos e políticas internas da empresa. Trata-se de estar de acordo com regras, portarias e leis que regem um determinado mercado e que são válidos para a sociedade de maneira geral. Por isso, é importante entender o que é o compliance, o que ele envolve, o que ele não envolve e o que é necessário para que sua empresa esteja de acordo com essas exigências.

Veja a seguir como garantir que sua empresa esteja em dia com as melhores práticas do compliance.

O que é compliance?

Explicando de maneira simples, compliance é estar de acordo com um conjunto de regras pré-estabelecidas. Hoje em dia esse termo é usado para avaliar se uma empresa está seguindo todas as leis, normas e regulamentos do seu setor de atuação e do país em que atua. Isso é importante porque garante que o negócio esteja sendo feito de acordo com a lei e evita o risco de multa, punição ou até mesmo fechamento da empresa. No caso específico da tecnologia da informação, o compliance diz respeito à segurança de dados, políticas de acesso, possíveis fraudes e inovações tecnológicas. Ele nada mais é do que um dos ramos da chamada governança corporativa, específico das tecnologias da informação.

Outra distinção importante a ser feita é entre compliance e governança de TI. A última é composta pelas práticas dos gestores de TI para administrar melhor os recursos tecnológicos em termos de eficiência, custos, experiência do usuário. Ou seja, alinhar esses instrumentos aos objetivos do negócio.

Riscos de não ter política de compliance

São muitos os riscos para as empresas que não se adequam à legislação local. Todos eles podem causar sérios problemas. Por isso, é importante saber quais são as possíveis brechas. Em primeiro lugar, o chamado Shadow TI pode ser arriscado. Trata-se do uso descontrolado de programas, serviços e aparelhos, sem que a empresa os tenha aprovado. Quando essa situação existe, não há como controlar que tipo de informação está sendo exposta.

Um funcionário pode decidir usar um serviço da nuvem para guardar dados de clientes. Não há como a equipe de TI cuidar para que essas informações fiquem seguras. E ainda existe o risco de que a privacidade de alguém seja violada. Ou talvez um colaborador use seu celular para acessar sistemas internos, mas esse dispositivo não esteja de acordo com as normas internas de segurança. Existe aí mais um ponto de risco, já que o aparelho está longe do alcance dos profissionais de TI. Esse fator deve ser considerado antes de permitir que funcionários, colaboradores ou visitantes usem sua infraestrutura a partir de seus próprios dispositivos. Existem diversas estratégias para lidar com isso, incluindo a assinatura de termos de responsabilidade caso alguém precise se conectar às suas redes com um dispositivo estranho.

Sua empresa está em dia com as licenças de software? Todos os seus funcionários usam versões legítimas dos programas que usam para trabalhar? Pode parecer exagero, mas usar versões “piratas” de aplicativos e softwares pode causar grandes prejuízos, uma vez que pode implicar em multas e punições por violação de leis de direitos autorais.

Como combinar compliance e segurança da informação?

Existem algumas estratégias que podem garantir que sua empresa atenda tanto às exigências de compliance quanto aos requisitos internos e externos de segurança da informação. Em primeiro lugar, identifique e faça uma lista de que leis, regulamentos, políticas e regras precisam ser seguidas. Elas podem ser as leis dois países onde sua empresa está, as regras do mercado em que você atua, as regras internas da empresa (o que inclui suas políticas).

Para cada conjunto desses, é necessário criar controles para que as determinações sejam cumpridas. A empresa precisa definir quais eles serão e as consequências do não-cumprimento deles. A partir desses elementos, é necessário estabelecer uma arquitetura de segurança. Ela vai organizar toda a estrutura da empresa de acordo com os dispositivos, plataformas e programas usados. Uma vez criada, ela precisa ser respeitada. Por último, a comunicação dessas regras e estruturas precisa ser comunicada a todos os funcionários e colaboradores. Os dirigentes devem estar cientes de suas responsabilidades em garantir que todo esse arcabouço seja cumprido e avaliado constantemente.

Para garantir que essas políticas sejam cumpridas, uma boa opção é implementar ferramentas de monitoramento. Elas geram informações que podem ser usadas não apenas no campo do compliance, mas também para melhorar a eficiência e dar uma melhor experiência ao usuário.

Alguns exemplos de legislação

Para que você tenha uma ideia de quantos pré-requisitos uma empresa pode ter para estar com seu compliance em dia, veja uma lista de leis que precisam ser levadas em conta quando se trata de segurança da informação:

  • Lei n.º12.965/2014 (Marco Civil da Internet)
  • Lei nº 12.850/2013 (Provas Eletrônicas)
  • Lei nº 12.551/2011 (Lei Home Office e Teletrabalho)
  • Lei nº 9.609/1998 (Lei de Software)
  • Lei nº 12.527/2011 (LAI)
  • Lei n.º 12.846/2013 (Lei Anti-Corrupção)
  • Leis de nº 12.735 e 12.77/2012 (Crimes Eletrônicos)
  • Decreto n.º 7962/2013 (Lei do Comércio Eletrônico)
  • Decreto n.º 7.845/2012 (Lei de Tratamento da Informação Classificada)
  • Lei n.º 9.296/1996 (Lei de Interceptação)
  • Lei nº 9.610/1998 (Lei de Direitos Autorais)
  • Lei nº 9.279/1996 (Lei de Propriedade Industrial)

Note que são leis dos mais diversos tipos, que pertencem aos mais diversos ramos do direito brasileiro (civil, trabalhista, comercial, etc.). É preciso levar todas essas leis em consideração, além de identificar quais outras podem entrar em jogo caso sua empresa crie algum tipo de inovação ou novidade.

Você também pode gostar de…

Congresso decide que LGPD vale para 2020, mas dúvidas permanecem
Congresso decide que LGPD vale para 2020, mas dúvidas permanecem

Em abril, o Congresso mudou a vigência da Lei Geral de Proteção de Dados. Em vez de agosto de 2020, a implementação passaria para janeiro de 2021. Em seguida, o presidente Jair Bolsonaro publicou a Medida Provisória 959/2020, adiando a vigência da lei ainda mais, para...

LGPD é adiada para maio de 2021. O que muda para a sua empresa?
LGPD é adiada para maio de 2021. O que muda para a sua empresa?

Após o Senado adiar a implementação da Lei Geral de Proteção de Dados (LGPD), uma medida provisória assinada pelo presidente Jair Bolsonaro em 29 de abril estende ainda mais o prazo — adiando a LGPD para 3 de maio de 2021. Ou seja, as empresas terão nove meses a mais...

0 Comments

Submit a Comment

Your email address will not be published. Required fields are marked *

Entre em contato conosco

You have Successfully Subscribed!

PROMOÇÃO KASPERSKY PARA EMPRESAS DA SAÚDE

Nossa parceira Kaspersky está com uma iniciativa para proteger quem trabalha com saúde nesse momento de crise. Estamos com diversas soluções para a segurança do ambiente digital com um preço especial.


CONTATO

You have Successfully Subscribed!

Política de Privacidade

Este site usa cookies para fornecer seus serviços e melhorar sua experiência no site. Ao utilizar nosso portal, você concorda com o uso de cookies e nossa política de privacidade.

You have Successfully Subscribed!