Compliance em TI: descubra agora as melhores práticas!

Existem normas, regulamentos e leis que regem as atividades das empresas, a fim de evitar problemas como falta de ética e corrupção nos negócios — é aí que surge o compliance. No que diz respeito ao compliance em TI, há um conjunto de boas práticas que podem ser adotadas e ajudarão a manter a empresa em conformidade com os regimentos internos e a legislação.

No artigo de hoje, vamos explicar melhor o termo, entender qual é a relação dele com a governança corporativa e apresentar essas ações a serem aplicadas. Continue acompanhando a leitura.

O que é compliance?

A palavra pode ser traduzida, a grosso modo, como conformidade. Ela vem do termo inglês “to comply”, que quer dizer “cumprir algo”. O objetivo é garantir que os processos e as pessoas em uma empresa cumpram com normas reguladoras, leis e regulamentos internos adotando boas práticas.

Por meio dele, torna-se possível evitar penalidades como multas e outros tipos de sanções. O compliance em TI tem grande abrangência. Entre os pontos de maior atenção, estão:

• uso de novas tecnologias (que podem esbarrar em alguma lei);
• segurança dos dados;
• políticas de acesso;
• uso de tecnologias e ferramentas que ajudam a evitar fraudes.

Dentro da legislação brasileira, há diversos tópicos voltados para o compliance nas empresas. Entre os quais:

• Lei nº 9.279/1996, a Lei de Propriedade Industrial;
• Lei n.º 9.296/1996, a Lei de Interceptação;
• Lei nº 9.609/1998, a Lei de Software;
• Lei nº 9.610/1998, a Lei de Direitos Autorais;
• Lei nº 12.527/2011, a Lei de Acesso à Informação;
• Lei nº 12.551/2011, a chamada Lei Home Office e Teletrabalho;
• Leis de nº 12.735 e 12.737/2012, relacionadas aos Crimes Eletrônicos;
• Decreto n.º 7.845/2012, a Lei de Tratamento da Informação Classificada;
• Lei n.º12.965/2014, referente ao Marco Civil da Internet;
• Lei n.º 12.846/2013, a chamada Lei Anticorrupção;
• Lei nº 12.850/2013, relacionada às Provas Eletrônicas;
• Decreto n.º 7962/2013, a Lei do Comércio Eletrônico.

Qual é a diferença entre compliance e governança corporativa?

Apesar de serem temos distintos, eles estão relacionados, sendo duas políticas complementares. O compliance é um dos aspectos básicos dentro da governança corporativa. No segundo caso, trata-se de métodos e políticas internas que ajudam a planejar, monitorar e controlar o uso das atividades de TI.

A governança em TI é um conjunto de boas práticas adotadas por gestores, analistas, técnicos e usuários — que trabalham, ou não, no setor. O objetivo é melhorar a utilização da tecnologia dentro da empresa, reduzir riscos, diminuir custos e melhorar a tomada de decisão (alinhando a estratégia de TI com a do negócio, de maneira geral).

Já o compliance em TI se trata da obediência às normas externas (e maiores). Entre elas, podemos citar:

• leis;
• decretos;
• regulamentos;
• instruções normativas.

Portanto, de modo geral, podemos dizer que a governança corporativa estabelece um regimento interno que possibilita o compliance e a adequação a regulamentações que vêm de fora.

Qual é o papel de compliance em segurança da informação?

A função de compliance na empresa é promover e assegurar relações éticas entre os diferentes agentes, processos, setores etc. que a compõem e com os quais ela se relaciona externamente. Logo, ela também tem esse papel em segurança da informação.

Nesse caso, ela funciona como um modo eficiente de certificar que as diretrizes da área sejam cumpridas, o que contribui para aumentar a eficiência de processos de TI. Por exemplo, a proteção dos dados da organização e a identificação de elementos tecnológicos de maior fragilidade da empresa.

Basicamente, compliance reúne uma série de regras que orientam e controlam processos de trabalho para que uma organização permaneça em harmonia com a legislação vigente, bem como com as suas próprias políticas internas.

Isso também vale para o setor de TI, que passa a ter uma espécie de “guia” que orienta colaboradores e sistemas em como agirem para evitar tanto eventos prejudiciais à credibilidade e à idoneidade da empresa quando aos seus dados corporativos.

Afinal, uma organização que não se preocupa com normas de compliance pode ter sua reputação abalada, gerando desconfiança dos clientes e outros agentes do mercado — especialmente quando envolver transações em sua infraestrutura de TI.

Por que o compliance em TI é importante?

Podemos elencar razões (e vantagens) que tornam a adoção de compliance importante tanto para a empresa quanto para o seu setor de TI. Veja algumas das principais:

• vantagem competitiva: empresas com medidas de compliance sólidas tendem a ter maior credibilidade, o que reforça a sua reputação. Isso, por sua vez, proporciona vantagem competitiva;
• prevenção de riscos: a adoção de boas práticas de compliance colabora para melhorar a segurança na proteção de dados. Dessa forma, o departamento de TI previne riscos ligados à área;
• transparência: a implementação do compliance requer certo grau de transparência em dados e fluxos de trabalho. Isso permite que fornecedores, clientes e outros agentes externos, com os quais a empresa se relaciona, possam acompanhar melhor os processos da empresa e confiar mais na proteção de suas informações.

Além disso, a transparência possibilita monitorar mais atentamente transações que requerem o uso de tecnologia, bem como outras atividades da organização. Consequentemente, o gestor de TI e seus liderados têm como se certificar de que elas estão ocorrendo da melhor maneira possível.

A transparência ainda melhora o monitoramento dos fluxos de dados e de operações de TI, facilitando a identificação de falhas, ataques cibernéticos, ações irregulares em sistemas, entre outros problemas.

Vale destacar que algumas certificações, que demandam o cumprimento de certos requisitos e boas práticas, conferem maior credibilidade à empresa. Elas também destacam quais medidas precisam ser implementadas, contribuindo para que gestores e demais colaboradores tenham um norte sobre o que fazer para alcançarem um alto nível de compliance na organização. Basicamente, funcionam como um guia de boas práticas.

Por exemplo, o Information Technology Infrastructure Library (ITIL), ou Biblioteca de Infraestrutura de Tecnologia da Informação. Esse guia é utilizado na organização de processos e tarefas organizacionais, servindo para a orientação de profissionais para que consigam exercer suas atividades com maior grau de eficiência.

Em suma, ele possibilita que se defina uma base para, a partir dela, planejar, executar e mensurar processos. Também serve para a demonstração de conformidade.

Afinal, quais são as melhores práticas de compliance em TI?

Existem diversas práticas aconselháveis para garantir o compliance em TI. Nos tópicos a seguir, explicaremos algumas delas.

Investimento no cloud computing

Soluções voltadas para a computação em nuvem ajudam a diminuir o trabalho das equipes, facilita a comunicação e ainda contribuem para a redução de custos. Algumas dessas ferramentas já são voltadas para garantir o compliance. Elas têm diversas funcionalidades como:

• armazenamento de bases de dados;
• exposição dos requisitos necessários para adequação às normas, regulamentos e leis;
• checagem de políticas de segurança;
• monitoramento de sistemas;
• acompanhamento de indicadores de cumprimento dos requisitos de compliance.

Utilização de um Software as a Service (SAAS)

Essas soluções armazenam bases de dados que podem ser acessadas a qualquer momento, de qualquer lugar. Assim, todos os colaboradores têm disponível, o tempo todo, os documentos relacionados às políticas de segurança, regulamentações e legislação vigente.

Cuidado com o Bring Your Own Device (BYOD)

A Lei Anticorrupção é bem clara quando responsabiliza a empresa pelos conteúdos acessados pelos colaboradores. Apesar de a ideia já ser bem-aceita em algumas organizações, muitos gestores ainda têm medo de que esses profissionais não utilizem os próprios aparelhos da maneira adequada (como é o caso do uso de pen drives).

Os riscos estão ligados, principalmente, à segurança dos dados, sistemas e redes corporativas. Para evitar isso, é possível criar políticas que ajudem a inibir ações de má-fé ou de equívocos decorrentes do desconhecimento. Entre os recursos que podem ser empregados, estão:

• assinatura de termos de responsabilidade;
• backups periódicos dos dados;
• uso de senhas e bloqueio automático dos dispositivos.

Utilização de ferramentas voltadas para monitoramento de TI

A ideia, aqui, é monitorar o uso dos recursos de TI e das ações dos usuários. Isso ajuda a identificar as principais falhas, o que pode ser feito para corrigi-las e ainda tornar a produtividade mais eficiente.

Essa parte é importante para identificar o uso de softwares não licenciados — muitas vezes usados pelos colaboradores sem o conhecimento da empresa. Assim, evita-se descumprir a legislação, ao mesmo tempo em que se garante o uso apenas de ferramentas aprovadas pela organização.

Adoção de um programa voltado para a governança corporativa

Como visto, a governança corporativa anda de mãos dadas com o compliance. Por isso, é de suma importância estabelecer um programa voltado para ela dentro do contexto organizacional. As falhas na TI quando não se cria uma política clara envolvem um orçamento comprometido, ineficiência no cumprimento dos prazos, investimento inadequado em novas tecnologias e resultados distantes da meta inicial.

Como as melhores práticas de compliance contribuem para bons resultados?

A segurança de TI é centrada principalmente em questões internas da empresa, como a proteção de seus dados e sistemas. Já o compliance é mais focado em requisitos externos de terceiros, ou seja, de clientes, governo, entre outros. Por isso, contribui para o atendimento de termos contratuais, no reforço de estruturas de segurança e na maior transparência de processos da empresa.

Com o compliance em TI, a empresa consegue cumprir mais facilmente requisitos de segurança virtual desses terceiros, possibilitando que suas atividades com esses agentes ocorram com maior robustez e segurança. Consequentemente, a percepção de agentes externos sobre essas operações e os seus resultados tendem a ser melhores.

Além disso, as ferramentas de governança corporativa, os sistemas de monitoramento e os guias de boas práticas ajudam o gestor e a equipe de TI em suas atividades rotineiras. Inclusive, contribuindo para que melhorem as suas performances. Outro ponto é que as boas práticas também fazem com que a empresa esteja sintonizada com a legislação.

Não é incomum encontrar os setores de tecnologia da informação e jurídico batendo de frente por questões relacionadas ao cumprimento de normas e leis — principalmente quando se trata de investimentos em inovação e novas ferramentas. Para adotar o compliance em TI, é preciso ter uma base bem sólida de governança corporativa, ao mesmo tempo em que se preza pela produtividade, eficiência e satisfação dos usuários envolvidos.

O que achou deste artigo? Suas dúvidas sobre compliance foram esclarecidas? Quer continuar acompanhando outros conteúdos como este? Então, curta a nossa página no Facebook e fique por dentro de todas as atualizações.