Estamos vivendo um momento em que o fluxo de informação está cada vez mais intenso, quer pela rapidez das comunicações, quer pelas novidades do mundo tecnológicos, quer pelas adequações em razão da crise sanitária do Covid-19. A Pandemia aliada aos avanços tecnológicos e o uso massivo da internet, gerou uma variedade de mudanças na forma em que as empresas interagiam com os consumidores, bem como concretizavam seus negócios.
Diante do referido fluxo de dados, que a cada dia se torna mais intenso, a rapidez no modo em que se procedem as comunicações e em atenção ao advento da Lei Geral de Proteção de Dados, será necessário um esforço das empresas a fim de implementar uma governança de privacidade, que contenham diretrizes sólidas de boas práticas, equiparado aos programas de Compliance.
Com isso, é importante que as empresas estejam atentas aos controles da segurança dos dados no meio digital, uma vez que a informação é um dos principais elementos de desenvolvimento da sociedade atual.
Assim, será necessário que as equipes de segurança de informação estejam alinhadas estrategicamente com os programas e práticas empresarias eficazes como Compliance, Governança e Gestão de Riscos.
E como instituir estas práticas? Compliance e Segurança da Informação são a mesma coisa? Qual o papel do Compliance na segurança da informação?
Inicialmente, devemos entender o que é Compliance e qual a o papel desenvolvido por este programa em sua empresa, além de estipular formas para que o programa se torne um aliado na ocasião de resguardar a segurança dos dados.
Nessa perspectiva, é possível afirmar que o Compliance agrupa um conjunto de normas de controle de trabalho para que atuação da empresa esteja em conformidade com os regramentos legais e políticas internas, e tem como objetivo identificar os pontos de maior fragilidade da organização, a fim de possibilitar a adoção de medidas preventivas adequadas nos pontos sensíveis a incidentes.
Por essa razão, é primordial que a política de Compliance seja bem estruturada, prevenindo que a empresa seja afetada por uma série de contratempos, tornando os seus processos mais seguros e eficazes, uma vez que estará menos sujeita a vazamentos e outros problemas de segurança, proporcionando um cenário mais competitivo, pois capacitará a empresa resguardar tanto aos seus clientes e parceiros comerciais, quanto à integridade das suas rotinas internas.
No que tange a segurança da informação, é plausível afirmar que são práticas de proteção das redes, sistemas, programas e dados, que após atingir um nível satisfatório de maturidade, possibilitariam a proteção da empresa de ataques e vazamentos.
Desta forma é necessário que as normas de Compliance estabeleçam regras de controle e proteção na infraestrutura da empresa evitando o uso indevido dos dados corporativos. Para manter o nível de segurança podemos citar alguns exemplos de cuidados como: bloqueio de conexões torrent para evitar a distribuição de conteúdo ilegais; monitoramento contínuo da rede para detectar ameaças; atualização rápida e contínua da infraestrutura de TI; implementação de VPNs em dispositivos utilizados para trabalho remoto; criação de políticas de backup de dados; desenvolvimento de planos de recuperação de desastres; executar auditorias internas para garantir e logico garantir a conformidade de toda operação.
Logo, enquanto o programa de Compliance é tido como mecanismo capaz de atender a requisitos internos e externos, com um olhar extremamente crítico e experiencia regulatória, a segurança da informação pode ser classificada como uma regra que necessita ser implementada com o devido gerenciamento da proteção dos dados dentro deste programa.
Assim, imprescindível que seja diferenciado a figura do programa de Compliance e prática da Segurança da Informação, pois não se tratam da mesma coisa, sendo procedimentos distintos, que podem e devem trabalhar juntos.
Este texto possui dois objetivos, um caráter informativo de trazer a diferenciação técnica entre Compliance e Segurança da Informação, e a outra é a quebra do paradigma de que a área de Compliance engessa e burocratiza o processo de uma empresa.
É de suma importância que a gestão empresarial perceba que a sintonia do Compliance com a área operacional irá possibilitar a identificação de problemas na mesma velocidade que serão realizadas a prospecção de clientes.
Deste modo, um programa efetivo de Compliance deve ser construído através de práticas robustas com as demais áreas da empresa, como TI, Marketing, Comercial, Jurídico, Recursos Humanos, e outros, unindo a tecnologia, velocidade, senso crítico e conformidade.
O momento atual exige uma gestão empresarial de maior vigilância nos aspectos comerciais, fiscais e financeiros das atividades empresariais desenvolvidas, necessitando além da observância da lei, ética e transparência, mecanismos capazes de evitar qualquer modo de desprezo às normas de Compliance, além de afastar quaisquer medidas protetivas que poderão causar futuros prejuízos de reparação.
Como por exemplo, danos à imagem: os stakeholders, clientes, parceiros, fornecedores, investidores e outros com interesse no negócio poderão perder a confiança, prejudicando as oportunidades do negócio; perda de dados: o negócio estará suscetível a ataques de hackers, que poderão furtar, alterar ou deletar as informações sobre o negócio; danos aos clientes: os consumidores também poderão ter suas informações subtraídas (como do cartão de crédito); prejuízos financeiros: a empresa deverá compensar os clientes que tiveram sua segurança comprometida e arcar com processos judiciais.
Dito isso, as estratégias de Compliance aparentam ser importantes para minimizar riscos e proteger as informações dos seus negócios, garantindo melhor resultado, competitividade e um desenvolvimento seguro das suas atividades.
A par disso, podemos afirmar que estar em Compliance é sinônimo de estar seguro?
Segundo Paulo Sergio Pagliusi, socio na Pagliusi Cyber Security, a empresa ao implementar um programa de Compliance almeja estar seguro, em um perfeito alinhamento estratégico e mútuo sendo que estar em Compliance é o mínimo necessário e desejado.
Niris Cristina Fredo da Cunha
Membro da Comissão de Ética e Compliance e da Divisão Jurídica da FEDERASUL.