Bruno Adorno é Gerente Comercial da B.U. de Segurança do Grupo Binário
Bruno Adorno é Gerente Comercial da B.U. de Segurança do Grupo Binário

Compliance é vital – obedecer requisitos, normas e prazos setoriais, econômicos, fiscais e outros é mandatório para qualquer empresa que não queira correr risco de punições ou multas por descumprimentos legais.

Entretanto, o cumprimento de tais obrigações não pode ser a única preocupação da companhia. Mais do que isso, a definição de uma política de compliance, detalhada em estratégias e ações e atrelada ao plano de segurança da informação, é fundamental.

Muitas vezes, os profissionais se veem pressionados a cumprir prazos, regras e obrigações legais. Neste cenário, a chance de erros em relação à segurança aumenta, já que para não desobedecer as regras de compliance as equipes podem recorrer a procedimentos e tecnologias não usuais, ou seja, que estão fora do escopo de monitoramento.

E isso pode ocorrer até mesmo com o consentimento da gestão: não é raro as empresas decidirem pela aquisição de soluções externas para gerenciamento de compliance. Se tais softwares não forem incluídos nas políticas de segurança imediatamente pode-se estar a um passo de um problema sério.

Não caia no erro de repassar ao fornecedor a responsabilidade por adequar o software ou serviço às regras de segurança e gestão da empresa. É a própria companhia que deve inserir a ferramenta contratada a suas estratégias de proteção de dados, redes e dispositivos. Só assim estará garantido o monitoramento correto, que poderá evitar falhas e brechas passíveis de expor a organização a riscos cibernéticos.

Outro engano a ser evitado é a estratégia de proibição total. Cortar acesso geral a uma ou outra ferramenta ou diretório, a dispositivos USB e outros, só fará com que colaboradores que eventualmente precisem acessar tais recursos encontrem maneiras de fazê-lo, seja adotando caminhos alternativos, seja utilizando soluções de fora do escopo da companhia, o que abrirá os flancos da segurança e se tornará um caminho para os criminosos virtuais.

Criar exceções às regras de controle de acesso também é arriscado. Se uma vez, para cumprir determinado prazo, um colaborador recebe acesso a uma ferramenta ou local a que geralmente não tem, isso pode auxiliar na tarefa pontual, mas tende seriamente a se tornar um perigoso padrão.

Isto porque prazos apertados, desafios de compliance, ocorrerão outras vezes, e novamente será solicitado à TI que faça a liberação de exceção, o que também pode abrir portas para o vazamento de dados ou invasão de sistemas.

Então, o que fazer? Um bom começo é fazer um mapeamento seleto e inteligente dos dados, utilizando tecnologias que permitam garimpar conteúdos relevantes de acordo com parâmetros pré-estabelecidos. Isso permitirá detectar falhas e fraudes mais rapidamente, agilizando a ação de contenção.

Além disso, contar com bons profissionais e tecnologias para gestão de compliance e risco é fundamental. Nisso, a decisão pode ser por ter estes recursos em casa ou terceirizar, mas é preciso ter em mente que o outsourcing nesta seara não é tão simples, já que as leis, tributos, normas e regras dos mais diversos setores da indústria não param de mudar. Ou seja, se decidir pela terceirização, certifique-se de encontrar um parceiro comprometido com atualização e foco no seu negócio.

Gestão de compliance aliada à gestão de segurança da informação é uma receita básica para o bom funcionamento de uma empresa, seja ela de que segmento for. Tendo isto sob controle, será mais assertivo gerir os negócios sem o risco de sustos ou perdas prejudiciais. Pense nisso.

Fontes:

http://cio.com.br/gestao/2016/09/06/compliance-quatro-erros-comuns-que-devem-ser-evitados/

http://itforum365.com.br/blogs/post/113864/seguranca-e-fator-critico-para-compliance-da-informacao

http://cio.com.br/opiniao/2014/10/03/desafios-de-compliance-com-outsourcing/