Boas práticas de compliance em TI são fundamentais para que uma empresa consiga aproveitar os benefícios das novas tecnologias sem correr riscos de descumprir a lei e sofrer consequências judiciais.
O setor de tecnologia da informação é cada vez mais importante na geração de valor em qualquer tipo de negócio. E para assegurar que a performance da empresa não seja comprometida, é importante que as ferramentas tecnológicas utilizadas colaborem para a conformidade da organização com a legislação e as normas que regem suas atividades.
Neste artigo, explicaremos melhor como compliance e TI se relacionam e quais são as melhores práticas para assegurar o compliance em TI na empresa. Confira!
Mas, afinal, o que é compliance?
Compliance é uma palavra em inglês que pode ser traduzida como conformidade, complacência ou consentimento. Mas, no ambiente empresarial, é mais utilizada para designar a conformidade de uma empresa com as leis e normas que regem sua atividade.
Quando é dito que uma empresa está “em compliance”, significa que ela cumpre satisfatoriamente todo tipo de legislação e regras relacionadas às suas atividades, desde as leis trabalhistas e ambientais até as normas técnicas da ABNT.
Ainda que o setor jurídico, muitas vezes, seja visto como o principal responsável em garantir o compliance de uma empresa, na verdade essa é uma obrigação de todos. É importante que cada colaborador entenda o seu papel e certifique-se que suas ações e atividades estão em compliance, para evitar as consequências graves do descumprimento da lei.
Além de multas pesadas e, até mesmo, a prisão de gestores e colaboradores, o descumprimento da lei é um desrespeito da empresa em relação à comunidade em que ela está inserida e o dano à sua imagem pode ser ainda mais devastador que os prejuízos financeiros e judiciais, algo que foi visto, por exemplo, nos escândalos de corrupção envolvendo empresários durante a Operação Lava-Jato, no Brasil.
Como compliance e TI se relacionam?
Compliance e TI se relacionam de duas formas distintas. A primeira delas diz respeito ao compliance em relação às ferramentas tecnológicas da empresa. Muitas vezes, na busca pela inovação, um negócio pode acabar descumprindo leis ou normas locais.
Algumas vezes, pode ser interessante assumir o risco jurídico ao bancar essa inovação, algo feito, por exemplo, pelo Uber, com o seu sistema disruptivo de transporte particular que encontrou resistência nas leis de praticamente todos os países em que ele foi lançado.
Mas na maior parte dos casos, mesmo quando a novidade tecnológica é de alto impacto, é preciso entender como ela pode ser introduzida no mercado sem que nenhuma lei seja descumprida, mantendo assim o compliance da empresa.
E o compliance em TI também pode ser entendido como a responsabilidade do setor de tecnologia da informação de uma empresa em assegurar o compliance em toda a organização.
Nesse sentido, o compliance em TI envolve, por exemplo, o investimento em políticas de segurança de dados, regras estritas para o BYOD (Bring Your Own Device) e outras práticas que envolvem os recursos tecnológicos da empresa e os riscos de descumprimento de leis relacionados a sua utilização.
Quais as melhores práticas para assegurar o compliance em TI?
Para assegurar o compliance em TI, é fundamental que algumas boas práticas sejam instituídas na empresa. E isso vale tanto para o compliance em relação à inovação como para a responsabilidade da TI em garantir que a empresa esteja comprometida com a legislação local.
Pensando nisso, selecionamos algumas dicas essenciais de compliance em TI. Confira!
Invista na segurança dos dados da empresa
O primeiro passo para garantir o compliance de uma empresa é investindo em segurança digital, especialmente no que diz respeito a dados sensíveis e importantes para a geração de valor do negócio que não podem ser danificados ou cair em mãos erradas.
A recomendação aqui é investir em ferramentas e profissionais especializados que consigam estabelecer diversos níveis de proteção e segurança dos dados da organização, como sistemas de controle de acesso, firewalls, backups regulares e uma política geral de segurança reforçada entre os colaboradores.
A segurança digital de uma organização precisa ser sólida como um casco de navio: basta um único furo para tudo afunde, mesmo se as outras partes dele estiverem intactas. Portanto, o investimento aqui precisa ser distribuído de forma estratégica e nunca concentrado em um único ponto.
Insira o compliance em uma estratégia de governança de TI
Governança de TI é um conjunto de boas práticas e métodos que minimizam os riscos das atividades realizadas no setor de tecnologia da informação por meio de técnicas de relacionamentos estruturados e controles efetivos da gestão.
Por ser uma área altamente técnica, muitas vezes, gestores encontram dificuldades em acompanhar e entender o trabalho realizado pelo setor. Com a governança de TI com base em frameworks como o COBIT, é possível minimizar esse atrito e estabelecer formas de controle e gerenciamento que funcionem bem para os dois lados da relação.
E o compliance precisa fazer parte da estratégia de governança de TI da empresa. Para garantir que nem o time de tecnologia e nem os gestores cometam deslizes em relação à lei, é necessário que essas regras estejam inseridas nos relacionamentos estruturados pelas duas áreas.
Determine regras para o BYOD
BYOD é uma abreviação de Bring You Own Device, expressão em inglês que pode ser traduzida como “traga seu próprio dispositivo” e se refere a prática corrente em muitas organizações na qual os colaboradores utilizam equipamentos particulares como notebooks e celulares no trabalho.
Apesar da praticidade, o BYOD pode ser um pesadelo para a segurança de dados se for implementado sem restrições. Por isso, é essencial que existam regras como a utilização dos mesmos antivírus que a rede da empresa, senhas para a tela bloqueada e a obrigação em realizar backups regulares de dados importantes na nuvem.
Dessa forma, os riscos causados pelo controle menor da empresa sob esses equipamentos particulares é restrito e a sua utilização é melhor estruturada.
