Microcity

A importância do compliance em TI na gestão e na segurança da informação da sua empresa quinta-feira, fevereiro 18, 2021

Toda empresa, além de se adequar às normas e boas práticas internas para realizar suas atividades, deve seguir regras, leis e protocolos externos, sejam governamentais, sejam relativos à área de atuação ou qualquer outro órgão regulador.

Além da atividade principal da empresa, questões trabalhistas, ambientais, fiscais, entre outras, também devem obedecer às regulações. Igualmente, a tecnologia da informação é uma delas. E como parte estratégica e essencial para qualquer negócio na atualidade, o compliance em TI não é apenas uma burocracia, mas parte fundamental do desenvolvimento da empresa.

A importância do compliance em TI na gestão e na segurança da informação da sua empresa

Para que você possa compreender o que é compliance e suas implicações na gestão e na segurança da informação, preparamos esse artigo com as principais informações sobre o assunto.

O que é compliance em TI?

O termo compliance não é exclusivo da tecnologia da informação. Em tradução livre, conformidade é o conceito utilizado para indicar que os regulamentos são seguidos conforme a determinação. Assim, compliance é um termo aplicado à gestão de qualquer setor da empresa, inclusive a TI.

Ao tratarmos da TI, compliance atua tanto para evitar fraudes quanto para proteger dados. As normas são estabelecidas para que os processos sejam mais seguros e confiáveis e seu não cumprimento pode resultar em multas e sanções. Por outro lado, o compliance em TI estabelece um padrão mínimo de qualidade do serviço prestado.

A gestão de compliance em TI deve estar atenta a três principais tipos de regulamentações, que vão influenciar as boas práticas da empresa:
Legislações municipal, estadual, nacional e mesmo internacional;
Licenças e termos de uso de softwares;
Responsabilidade corporativa.

Além das três categorias que, por via de regra, são compulsórias, existem ainda as boas práticas de mercado e algumas normas de referência de qualidade, como a ITIL, que contribui com a qualidade nos processos de TI e a melhoria nos padrões dos serviços prestados.

O compliance em TI caminha lado a lado com a segurança da informação. Isso porque atuar conforme as normas estabelecidas para o uso da tecnologia é um dos passos fundamentais para assegurar a proteção e a confiabilidade de dados, sejam eles da empresa ou de terceiros armazenados pela mesma.

Qual é o papel da área de compliance em uma empresa?

O setor de compliance em TI é responsável por assegurar que as demais equipes da empresa utilizem os recursos tecnológicos de acordo com as normas vigentes. Para isso, é uma área que está intimamente ligada à segurança da informação, monitorando e orientando as soluções de TI.

A compliance em TI é uma forma de estruturar os processos de segurança de dados, incluindo regras e protocolos para evitar ataques, mitigar falhas, controlar o acesso e recuperar danos. Algumas das medidas adotadas para manter o nível de segurança e compliance são:
controle de acesso à internet;
monitoramento contínuo de rede e de sistema;
atualização tecnológica;
criação de uma política de segurança da informação;
desenvolvimento de um plano de recuperação de desastres;
auditorias periódicas.

Apesar da semelhança e interdependência entre segurança e compliance, a diferença entre as duas áreas de atuação é objetiva. A segurança tem, como objetivo, garantir a melhor proteção para os ativos de TI da organização.

Por outro lado, o compliance visa a atender aos requisitos de terceiros acerca da segurança da informação, sejam eles o governo, o mercado ou um determinado cliente. A conformidade com esses requisitos é o que permite as operações de negócios. A melhoria nos processos de segurança é uma consequência da compliance em TI.

Por isso, trouxemos para você algumas das principais leis atuais, que devem ser observadas pela empresa, e que se referem ao uso de novas tecnologias, ferramentas para evitar fraudes, políticas e segurança de dados.

Marco Civil da Internet

Sancionada em 2014, a lei conhecida como Marco Civil da Internet estabelece princípios, direitos e deveres no uso da internet. Tópicos como proteção da privacidade, garantia da neutralidade e preservação da estabilidade são destaque para o uso corporativo da rede.

Marco Civil da Internet

Provas Eletrônicas

Além de definir a configuração de organização criminosa, a lei de 2013 trata sobre os meios de obtenção de provas. Em caso de solicitação do Estado com sustentação judicial, a empresa deve obedecer ao pedido de quebra de sigilo de informações, fornecendo os dados demandados.

Lei de Home Office e Teletrabalho

Sancionada em 2011, a lei de Home Office equipara meios eletrônicos e digitais de comando e supervisão do trabalho à relação pessoal direta de trabalho. Assim, tornou-se indistinguível o trabalho realizado presencialmente e o remoto, regulamentando o home office.

Marco Civil da Internet

Lei de Software

Sancionada em 1998, a lei de software define e trata da defesa da propriedade intelectual de programas de computador. Seus artigos definem parâmetros para comercialização e uso de softwares por pessoas físicas e jurídicas. O uso de softwares oficiais licenciados pela empresa é observado nesta lei.

Lei Anticorrupção

A lei anticorrupção foi sancionada em 2013 e dispõe sobre a responsabilização civil e/ou administrativa de empresas pela prática de atos contra a administração pública brasileira ou estrangeira.

Lei de Direitos Autorais

A lei foi sancionada em 1998 e caracteriza o reconhecimento dos direitos autorais sobre determinada obra, contribuição, projeto e solução, seja físico ou digital, e as implicações desse direito. O uso ou apropriação inadequada de propriedade intelectual deve ser combatido na empresa.

Lei de Acesso à Informação

Sancionada em 2011, a lei de acesso à informação discorre sobre a obrigatoriedade de garantir o acesso a informações previstas na Constituição Federal. Essa garantia deve ser observada por quaisquer órgãos públicos, autarquias, fundações públicas, empresas públicas ou sociedades de economia mista.

Lei de Acesso à Informação

Lei Geral de Proteção de Dados

Sancionada em 2018, a LGPD dispõe sobre o tratamento, uso e proteção de dados pessoais por pessoa física ou jurídica. Em 2021, conclui-se o processo de entrada em vigor de todos os artigos, que alteram e atualizam alguns tópicos do Marco Civil da Internet.

General Data Rule Protection

Para empresas que têm alguma atuação na União Europeia e Área Econômica Europeia, é ainda importante observar a GDPR, ou Regulamento Geral de Proteção de Dados.

Assim como a nacional LGPD, a regulamentação europeia discorre sobre a segurança e o uso de dados pessoais coletados pela empresa e deve ser respeitada por qualquer organização que mantenha alguma atividade nos países membros da UE ou da AEE.

General Data Rule Protection

Existem, ainda, diversas outras leis, regulamentações ou normas a serem observadas, dependendo da área de atuação da sua empresa. Por isso, é importante que o compliance de TI esteja sempre atualizado e em busca de aprimoramento.

A certificação ITIL, por exemplo, indica que a empresa respeita boas práticas no gerenciamento de TI, de acordo com um modelo de atuação referência em todo o mundo e que é adotado como um padrão de mercado. É um diferencial extra e que contribui com a qualidade das atividades do setor.

Como a política de compliance em TI torna sua empresa mais eficiente?

Uma visão errônea da compliance de TI é de que ela existe apenas para que as empresas se adaptem às leis. Para uma empresa que valoriza de forma estratégica o compliance, as consequências são positivas e variadas.

Conformidade legal

A primeira consequência, direta e óbvia, é a redução de problemas jurídicos, multas e outras penalidades e ações judiciais. Essas adversidades podem causar, desde prejuízos financeiros e atrasos nas atividades ao comprometimento da reputação e danos irreparáveis ao patrimônio da empresa.

Conformidade legal

Segurança aprimorada

As normas e leis relativas à TI, em geral, estão relacionadas à proteção dos dados. Assim, o compliance de TI é um passo estratégico para a manutenção de uma boa segurança da informação.

A adoção de soluções de TI em conformidade com as leis colabora com a proteção dos dados e assegura o nível de qualidade e confiabilidade do serviço prestado. Assim, uma política de compliance é, também, uma política de segurança.

Governança corporativa mais eficiente

Compliance é um dos alicerces da governança corporativa. Os processos de governança devem sempre estar em concordância com as legislações e regulações aplicáveis. Uma boa política de compliance promove um planejamento de TI mais estratégico e alinhado com os objetivos do negócio.

Governança corporativa mais eficiente

Ambiente de trabalho positivo

Ninguém se sente bem trabalhando em um ambiente ameaçador, inseguro ou instável. O compliance de TI, como ferramenta para assegurar o padrão de processos e a segurança de dados, proporciona um ambiente confiável e seguro para profissionais, clientes e demais relações da empresa.

Um profissional capaz de confiar que seus dados pessoais estão seguros no RH da empresa em que ele trabalha, além de conhecer os parâmetros de segurança da informação em relação a todos os ativos de TI, sente-se mais seguro e confortável em oferecer seu melhor para a empresa. Essa confiança também diminui a rotatividade de profissionais e aumenta a retenção de talentos.

Quais são os principais desafios do compliance em TI?

A forma como a tecnologia é vista, atualizada e utilizada vem mudando em alta velocidade. E as regulamentações sobre dados e tecnologia devem acompanhar essas mudanças, se adaptando às novas necessidades da sociedade.

A preocupação com a proteção dos dados, apesar de sempre ter sido presente nas corporações, vem ganhando cada vez mais espaço nas discussões e normas e regras a fim de garanti-la. Por isso, o compliance não é uma área estática, isolada do restante da empresa.

Alguns comportamentos de risco na empresa podem abrir brechas na segurança da informação e prejudicar a manutenção da conformidade de TI. Por isso, também é preciso educar as equipes sobre a importância da compliance e o papel de cada um como seu guardião e defensor.

Shadow IT, por exemplo, é um comportamento de risco que deve ser monitorado e reprimido. Essas práticas normalmente incluem o acesso a redes, softwares ou sites não autorizados pela equipe de TI, colocando em risco os dados da empresa.

Shadow IT: Quais são os principais desafios do compliance em TI?

O uso, por exemplo, de uma conta pessoal em nuvem para armazenamento de dados corporativos foge das normas de segurança e, além de apresentar risco de vazamento, pode significar violação de normas de proteção.

A prática de BYOD deve ser abandonada. Ao permitir que profissionais usem seus dispositivos pessoais para o trabalho, a gestão de TI não consegue garantir a proteção efetiva dos dados e garantir a compliance.

Por fim, o uso de softwares não licenciados, além de ser passível de multas e processos criminais, também apresenta os riscos de vazamento de dados e ataques cibernéticos. E aqui vale mencionar que o uso de softwares pirateados é de responsabilidade da empresa, ainda que tenham sido instalados sem a autorização da equipe de TI, em um ato de shadow IT.

Que práticas ajudam a assegurar o compliance em TI?

Cientes dos principais desafios enfrentados pelo compliance de TI, apresentamos, agora, boas práticas que favorecem a conformidade. Como estamos tratando, principalmente, do cumprimento de regras existentes, essas práticas ajudarão a moldar a empresa e suas normas.

Usar as soluções mais adequadas para compor a sua infraestrutura de TI é a primeira delas. Cloud computing, por exemplo, facilita a conformidade pois a adesão a novas normas é, geralmente, feita de forma automática.

A adoção do monitoramento de TI também favorece o compliance. Esse controle permite que a infraestrutura, os processos e as experiências dos usuários sejam acompanhados, identificando e solucionando problemas com mais agilidade.

Usar soluções adequadas, modernas e eficientes na sua infraestrutura de TI ajuda a manter em conformidade com o compliance e elevar a segurança da informação na empresa.

Já mencionamos a relação próxima entre compliance e segurança, mas não custa ressaltar essa cooperação como uma boa prática. Afinal, os resultados de um só serão completos com a conformidade do outro.

Assegure o uso de recursos que inibam ações de má-fé ou equívocos por imperícia. A Lei Anticorrupção é clara ao responsabilizar a empresa pelos conteúdos acessados pelos colaboradores. O uso de senhas e bloqueio automático de dispositivos, backups periódicos e a assinatura de termos de responsabilidade são alguns dos recursos adotados.

E uma das principais formas de manter o conjunto de regras do compliance é a terceirização de infraestrutura de TI. Um parceiro experiente e especializado tem mais recursos para acompanhar a atualização de regulamentações e legislações, mantendo softwares e políticas em concordância com as normas vigentes, além de realizar o monitoramento de TI de forma proativa.

Gostou desse conteúdo? A Microcity oferece soluções de TI específicas para atender à demanda da sua empresa. Conheça o PC as a Service e saiba como podemos contribuir para que o setor de tecnologia da sua empresa cumpra os requisitos de compliance.
Se interessou por este conteúdo?

Preencha o formulário abaixo para continuar lendo este artigo e muito mais.





Fique tranquilo. Os seus dados estão seguros com a Microcity