Compliance é uma palavra de origem inglesa que vem do verbo “to comply” que significa cumprir ou satisfazer, podendo ser considerado o ato de estar em conformidade com as regras, leis e regulamentos - sejam eles internos ou externos.Uma das leis mais importantes relacionadas a Compliance é a Lei Sarbanes-Oxley, editada nos Estados Unidos em 2002, que visa o cumprimento de requisitos e criação de métodos de auditoria e segurança nas empresas que operam na bolsa de valores, evitando o risco do abandono dos investidores por conta de falta de controle das empresas ou baixa credibilidade. Muitas empresas brasileiras já seguem estas normas, seja por negociarem no exterior ou por determinação de suas matrizes estrangeiras.
A função do Compliance nas empresas é a criação de políticas internas, bem como sistemas de controle e de acompanhamento de seu cumprimento com o objetivo de mitigar riscos.
Trazendo o tema para o segmento de Segurança da Informação podemos citar a importância de algumas certificações para as empresas, tais como a norma internacional ISO/IEC 27001 - que atesta se a empresa se enquadra nos requisitos de implementação de um SGSI (sistema de gestão de segurança da informação), qualificando e demonstrando o compromisso, a transparência e integridade de sua atuação, demonstrando que a empresa está em conformidade com normas e regras utilizadas globalmente para seus clientes, fornecedores e parceiros.
Quais os benefícios para uma empresa ser certificada e utilizar um sistema de gestão de segurança da informação?
- Maior aderência por parte dos colaboradores a seguirem os códigos de ética e conduta, através de treinamentos e conscientização quanto as normas da organização.
- Capacidade de identificar riscos e implementar controles.
- Flexibilidade na implementação de normas de compliance.
- Confiança de seus clientes, uma vez que a empresa segue regras de segurança para o armazenamento de seus dados.
A implementação de um SGSI deve atender às necessidades do negócio, ou seja, estar alinhado à estratégia e demandas da empresa. Esta norma adota um modelo bastante conhecido: Plan, Do, Check and Act (o famoso PDCA), que é utilizado para estruturar todos os processos de um sistema de gerenciamento de segurança da informação.
Plan - planejar e estabelecer a política, objetivos e processos
Do - implementar e operacionalizar as políticas de segurança relacionados ao SGSI
Check - avaliar, mediar o desempenho, a aderência da política criada e apresentar os resultados para análise da gestão
Act - são as ações de correção dos processos já existentes e implementação de novos, de acordo com as diretrizes da empresa, buscando a melhoria contínua dos processos e objetivos
Outra certificação para empresas que também utiliza o PDCA para estruturar os seus processos é a ISO/IEC 20000, que traz sistemas de auditoria, também reconhecidos internacionalmente, que visam a implementação e aprimoramento da qualidade dos processos de uma empresa.
Além das certificações, é importante considerar as leis vigentes, como o Marco Civil da Internet, que busca estabelecer direitos e deveres para os seus usuários, liberdade de expressão, retenção de dados, privacidade e responsabilidade social.
Uma das leis que marca bastante este processo de adaptação para a utilização correta dos recursos ligados à tecnologia é a lei Carolina Dieckmann, lei de 1940 que foi acrescida com mais dois artigos (154-A e 154-B) em 2012, que tipifica os crimes cibernéticos de invasão aos dispositivos de informáticas alheios.
Outra muito relevante é a Lei Anticorrupção, em vigor desde Janeiro de 2014, que também atende a compromissos internacionais, pela qual as Pessoas Jurídicas responderão pelos atos ilícitos praticados, seja por seus colaboradores, dirigentes ou terceiros que estejam agindo em seu nome, nas áreas administrativa e cível, independentemente da comprovação de culpa. Ou seja, será julgada a responsabilidade da pessoa jurídica pelo ato que afeta a administração pública, independentemente de ter ou não o conhecimento do ato praticado, caso fique comprovado, que pela função que exerciam, deveriam conhecê-lo, podendo assim ser penalizados.
Leis e regulamentações estão sendo criadas, mas ainda existe muito a ser feito. Um bom exemplo é a criação de políticas quanto à utilização adequada dos recursos da empresa - hardware, softwares e tecnologias.
Estar em conformidade com as regras valoriza a organização, evidenciando o seu compromisso com clientes, fornecedores, parceiros e acionistas. Não corra o risco por não dar a importância devida ao tema.
