Compliance: conheça as melhores práticas para preparar o ambiente de TI
Você sabe de fato o que significa o termo compliance e o que ele tem a ver com o ambiente de TI da empresa? A seguir, separamos os principais pontos sobre o assunto, bem como as melhores práticas para adequar o ambiente de TI em compliance.
O que é compliance?
A palavra compliance vem do verbo em inglês “to comply”, e, em uma tradução livre, quer dizer “agir de acordo com uma regra” ou algum combinado entre duas partes. Pois bem! Quando falamos em empresas, o termo fica ainda melhor explicado como um conjunto de práticas e disciplinas para que o negócio esteja em conformidade com normas e leis estabelecidas.
O que isso significa? Que quando uma determinada empresa tem boas práticas de compliance, quer dizer que ela está conforme as leis. Não é à toa que muitos empreendimentos contam, inclusive, com departamento jurídico. Nenhum procedimento deve estar fora da compliance, ou seja, em desacordo com leis e regras internas e também externas.
Este é, portanto, o desafio das empresas atuais: atender aos seus clientes com soluções inovadoras, mas sem deixar de lado procedimentos legais e acordos firmados.
Mas por que o setor de TI precisa se preocupar com o assunto?
Compliance tem tudo a ver com o setor de TI, ainda mais em tempos tão tecnológicos quanto o que estamos vivenciando. Na prática, muitas inovações da tecnologia vêm esbarrando em certas legislações, que, na época, não foram consideradas pelos seus desenvolvedores. Isso sem falar que o setor de TI é o responsável pela segurança dos dados da empresa, precisando resguardá-la de fraudes com políticas de controle de acesso.
A prática de compliance no ambiente de TI deve ser voltada a determinados pontos de atenção, os quais podemos destacar:
- A segurança dos dados;
- As políticas de acesso aos dados;
- O uso de novas tecnologias (elas não podem esbarrar nas leis e diretrizes);
- O uso das ferramentas e dispositivos da empresa, de forma a evitar quebra das políticas de segurança dos dados do empreendimento.
Quais diretrizes o ambiente de TI precisa ficar de olho para estar em Compliance?
Eis alguns exemplos de legislações a serem verificadas:
- Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais);
- Lei nº 13.467/2017 (alterações das leis trabalhistas);
- Lei n.º12.965/2014 (Marco Civil da Internet);
- Lei nº 12.850/2013 (Provas Eletrônicas);
- Decreto n.º 7962/2013 (Lei do Comércio Eletrônico);
- Lei n.º 12.846/2013 (Lei Anticorrupção);
- Leis de nº 12.735 e 12.77/2012 (Crimes Eletrônicos);
- Decreto n.º 7.845/2012 (Lei de Tratamento da Informação Classificada);
- Lei nº 12.527/2011 (LAI – Lei de Acesso à Informação);
- Lei nº 12.551/2011 (Lei Home Office e Teletrabalho);
- Lei nº 9.609/1998 (Lei de Software);
- Lei nº 9.610/1998 (Lei de Direitos Autorais);
- Lei n.º 9.296/1996 (Lei de Interceptação);
- Lei nº 9.279/1996 (Lei de Propriedade Industrial).
Também verifique se o ambiente de TI está em Compliance com:
- Códigos de Ética e Códigos de Conduta da empresa;
- Regulamentos;
- Acordos e Contratos com parceiros;
- Cultura organizacional do empreendimento.
Eis as melhores práticas de compliance na área de TI:
1. Invista em soluções de cloud computing
A computação em nuvem já está evoluída a ponto de algumas ferramentas serem voltadas para garantir boas práticas de compliance no ambiente de TI — sem falar na diminuição dos custos e aumento de produtividade da equipe.
As principais funcionalidades e vantagens das soluções de cloud computing são:
- Aumento da capacidade de armazenamento da base de dados;
- Checagem constante de políticas de segurança;
- Possibilidade de se trabalhar com softwares atualizados e em conformidade com a legislação (considere fortemente adotar as soluções de SaaS, caso não queira investir em licenças caras de todos os softwares que a empresa precisa utilizar);
- Acompanhamento dos indicadores de cumprimento dos requisitos de compliance no ambiente de TI;
- Exposição e fácil acesso aos requisitos para se adequar às normas;
- Monitoramento dos sistemas.
Para saber mais detalhes sobre as soluções de cloud computing disponíveis, leia este post aqui: Conheça 7 motivos para investir em Cloud na área de Saúde
2. Adote a governança corporativa no ambiente de TI
A governança corporativa precisa ser um braço forte da prática de compliance no ambiente de TI. Isso porque muitas falhas desse setor costumam comprometer o orçamento, o investimento em tecnologias adequadas, bem como a produtividade dos times por conta de não se ter uma política clara.
Em outras palavras, é preciso que se tenha uma base sólida de governança corporativa, sem abrir mão da produtividade, eficiência e satisfação dos usuários envolvidos.
3. Cuidado com a prática do BYOD (Bring Your Own Device)
É muito comum que os colaboradores das empresas levem seus dispositivos móveis particulares – como tablets, pen drives, notebooks e smartphones – para também serem utilizados no trabalho. Algumas empresas até incentivam essa prática.
O problema é que, quando a empresa não tem uma política clara sobre esse assunto, abre mão da segurança de dados, redes corporativas e sistemas. Nesse caso, é preciso que as normas e políticas ajudem a inibir qualquer má utilização desses dispositivos e da manipulação dos dados da empresa, seja por desconhecimento, erros ou até má fé.
Alguns exemplos do que pode ser empregado na política BYOD:
- Uso de senhas e de bloqueio automático dos dispositivos;
- Assinatura de termos de responsabilidade por parte dos usuários;
- Backups dos dados realizados de forma periódica.
4. Monitore o ambiente de TI
Monitorar o ambiente de TI é fundamental para mantê-lo em compliance. Nesse processo, é possível identificar falhas que podem ser corrigidas a tempo, tornando o ambiente seguro e uma equipe eficiente.
O monitoramento também deve ser direcionado ao próprio uso dos dispositivos da empresa pelos usuários. Por exemplo, downloads sem permissão, uso de softwares sem licença e outras práticas podem ser corriqueiras na empresa, caso ela não esteja em compliance.
Lembre-se que a ideia é sempre cumprir a legislação interna e externa, ao mesmo tempo que a empresa utiliza apenas equipamentos e ferramentas devidamente certificadas e aprovadas.
E então, deu para entender a importância de a empresa estar em compliance, incluindo o setor de TI? Para implementar uma boa gestão de TI em conformidade com as necessidades da empresa, antes de mais nada é preciso partir para uma fase de estudo e planejamento.
Se você quiser entender ainda mais sobre Compliance, baixe aqui nosso e-book: Guia prático de compliance em TI para a sua instituição.