A tecnologia da informação é uma área essencial para qualquer organização, pois atua de forma estratégica na sustentação das tecnologias e como um pilar da inovação corporativa. Logo, com o aumento de suas atribuições também aumentam as suas responsabilidades.
Violações à privacidade, vazamentos de dados, fraudes financeiras e o uso indevido de software e de propriedade intelectual são algumas das infrações que impactam diretamente no setor de TI. Nesse sentido, o compliance é um forte aliado do setor, capaz de tornar o ambiente corporativo mais confiável e seguro.
Por mais que as organizações tenham regras e políticas para o uso de tecnologia, sem a aplicação do compliance elas acabam perdendo força diante dos seus colaboradores. Acompanhe nosso artigo e entenda qual o papel do compliance em TI na hora de proteger sua organização e como a conformidade se distingue da segurança da informação!
O que é Compliance em TI?
O termo compliance se refere a um conjunto de boas práticas que visam tornar o ambiente de trabalho mais confiável e seguro. Seu intuito é adequar as ações do negócio dentro das políticas e das normas de controle, para garantir que elas atuem conforme as regras do seu setor.
Quando uma empresa está em compliance, significa que ela atua conforme às leis regentes do seu país de atuação. Algumas empresas de grande porte contam com um setor específico de compliance, o qual acaba se tornando um grande aliado dos outros setores, inclusive da área de TI. Seu papel é bastante amplo e ajuda a supervisionar ações, processos e produtos dentro da organização.
A área de compliance pode ajudar as organizações a evitar processos trabalhistas, infrações ambientais e tributárias, além de apoiar na proteção dos dados pessoais, um assunto muito abordado atualmente e que atribui ainda mais responsabilidades para a área.
Sabemos que o setor de TI é um dos mais importantes dentro das organizações, uma vez que garante a disponibilidade de soluções tecnológicas de maneira ágil e segura para os outros setores da empresa.
Ao aplicar as normas de compliance à área de tecnologia da informação, é possível ter maior confiança de que a empresa está atuando de acordo com as leis e normas voltadas para a TI, como LGPD, Marco Civil, GDPR, ISOs, entre outras. Com isso, a TI consegue fazer uso de medidas de precaução, evitando riscos desnecessários.
Empresas que contam com equipes muito grandes estão expostas a maiores riscos, pois é quase impossível controlar os excessos de todos os colaboradores. Nesse sentido, o compliance também tem um papel educativo, expondo os riscos e ensinando formas de precaução.
Um exemplo é o uso de computadores pessoais dentro do ambiente corporativo, pois pode gerar riscos adicionais, como o uso de software pirata. Caso um colaborador utilize um notebook pessoal que contenha conteúdo que infrinja alguma lei, a empresa pode ser responsabilizada de diversas formas. Portanto, o regramento sobre novos dispositivos acaba sendo uma burocracia necessária.
Outro exemplo, ainda mais atual, é o tratamento de dados pessoais. Com a entrada em vigor da LGPD em 2020, a lei estabelece regras claras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. Ela impõe um padrão mais elevado de proteção e penalidades significativas para o não cumprimento da norma. Cabe aos responsáveis pelo compliance também verificar se o tratamento de dados está sendo realizado conforme a letra da lei. Caso contrário, serão necessárias mudanças para aderir à nova lei.
Segurança da informação e o Compliance
Em alguns casos, pode haver confusão sobre a diferença entre compliance em TI e segurança da informação, uma vez que o resultado dos dois trabalhos podem gerar a proteção dos dados de usuários. A diferença principal é que o compliance foca na aderência à lei enquanto a segurança da informação foca nos usuário e no negócio, embora o resultado de um pode afetar o outro.
O fato é que os dois setores podem trabalhar juntos para garantir a segurança das informações, uma vez que as regras de compliance, de maneira isolada, não são capazes de proteger a empresa contra ataques cibernéticos.
Algumas leis brasileiras devem ser de conhecimento do setor de TI. Abaixo, listamos algumas das mais importantes:
- Lei n.º13.709/2018 — Lei Geral de Proteção de Dados (LGPD);
- Lei n.º12.965/2014 — Marco Civil da Internet;
- Lei n.º 12.846/2013 — Regulamenta práticas anticorrupção;
- Lei nº 12.850/2013 — Refere-se a provas eletrônicas;
- Decreto n.º 7962/2013 — Principal regulamentação do comércio eletrônico;
- Leis de nº 12.735 e 12.77/2012 — Relacionadas à definição de crimes eletrônicos;
- Decreto n.º 7.845/2012 — Aborda regras para tratamento da informação classificada;
- Lei nº 12.551/2011 — Regulamenta o Home Office e o teletrabalho;
- Lei nº 12.527/2011 — Lei de acesso a informação;
- Lei nº 9.609/1998 — Primeira legislação sobre software;
- Lei nº 9.279/1996 — Lei de Propriedade Industrial.
Todas essas práticas contribuiem para um ambiente mais seguro.
Etapas para aplicação do Compliance
Uma das peças chave para o sucesso da conformidade, são os funcionários. Garantir que estes sigam as regras é crucial para que no futuro não ocorram problemas. Além disso, é importante revisar as políticas, conferir se vale a pena suas aplicações e se, estas seguem as melhores práticas da segurança da informação.
Também é importante educar os colaboradores, para que fique claro a importância das políticas de uso de tecnologia e o porquê delas estarem em vigor. Uma maneira rápida de evitar maiores danos é contar com um software que realize o monitoramento de atividades na rede e que envie alertas caso algum comportamento seja suspeito. Entretanto, esse tipo prática pode ser considerado muito invasivo para organizações modernas. Por isso, vale o bom senso da sua aplicação, verificando se faz sentido para a cultura da empresa.
Conclusão
Cada vez mais fica claro a importância da aplicação das diretrizes do compliance no mundo corporativo. Estar aderente às normas e políticas de segurança garantem que a empresa não seja penalizada por multas, punições ou redução da credibilidade da marca por parte dos consumidores.
