Compliance em TI: qual é a sua importância para a segurança da informação?

A Tecnologia da Informação (TI) se tornou uma área estratégica e essencial para o funcionamento de qualquer negócio, ou seja, suas atividades impactam em todos os setores do negócio. É em razão da expansão desse departamento que os gestores devem se preocupar pelo Compliance de TI e com a Segurança de Informação.

Organizações que dão a devida atenção ao assunto conseguem maximizar sua privacidade, proteger seus dados contra vazamentos, identificar e prevenir fraudes financeiras, entre outras formas de segurança. Se você quer aproveitar dessas vantagens, confira este conteúdo para entender melhor sobre essas práticas, a relação entre elas, a aplicação do compliance na prática e mais!

O que é o compliance em TI?

O compliance envolve um conjunto de práticas para que a empresa esteja em conformidade com a legislação do país ou região, as políticas da empresa e seus parceiros, com a moral, normas de trabalho e outros tipos de regras. Seus objetivos são maximizar a segurança do negócio, melhorar o relacionamento perante outras organizações e evitar problemas legais.

E o que é o segurança da informação?

É importante diferenciar o compliance da Segurança da Informação, que se refere à integridade, disponibilidade e confidencialidade dos dados da empresa e seus ativos digitais. Na prática, são implementadas ferramentas, instrumentos, procedimentos e políticas para garantir a segurança e o controle dos dados corporativos. Sua finalidade é fazer com que os dados sejam acessíveis apenas para as pessoas autorizadas.

Qual a relação entre as duas práticas?

Os dois conceitos estão ligados à proteção dos dados da empresa, sua integridade e prevenção a ciberataques, mas ambos também têm diferenças significantes. Enquanto o compliance de TI é voltado para atender exigências legais impostas por instituições reguladoras, pelo Governo, outras entidades do Poder Público e até mesmo políticas de empresas aliadas.

Já a segurança da informação envolve medidas que são definidas pela própria organização. Por exemplo, os responsáveis pela implementação as políticas de segurança, os instrumentos de proteção, como Firewalls, antivírus, entre outras ferramentas.

As duas práticas se complementam e formam a Governança Corporativa, que dispõe sobre os métodos e as políticas que direcionam o trabalho dos administradores e auxiliam no planejamento e controle do TI e seus softwares.

Conformidades de TI

Há diversas normas relacionadas à TI que precisam ser cumpridas pela organização para garantir a conformidade legal. Entre as principais delas estão:

• Lei n.º 13.709/2018 — Lei Geral de Proteção de Dados (LGPD):
• Lei n.º 12.965/2014 — Marco Civil da Internet;
• Lei n.º 12.846/2013 — Regulamenta práticas anticorrupção;
• Lei nº 12.850/2013 — Refere-se a provas eletrônicas;
• Decreto n.º 7962/2013 — Principal regulamentação do comércio eletrônico;
• Lei nº 12.735 e 12.77/2012 — Relacionadas à definição de crimes eletrônicos;
• Decreto n.º 7.845/2012 — Aborda regras para tratamento da informação classificada;
• Lei nº 12.551/2011 — Regulamenta o Home Office e o teletrabalho;
• Lei nº 12.527/2011 — Lei de acesso à informação;
• Lei nº 9.609/1998 — Primeira legislação sobre software;
• Lei nº 9.279/1996 — Lei de Propriedade.
  
  

Lei Geral de Proteção de Dados (LGPD)

A LGPD é uma norma criada em 2018 para proteger a privacidade e a liberdade dos cidadãos brasileiros. Em suma, ela impõe práticas, princípios e exigências que devem cumpridas pelas entidades públicas ou privadas brasileiras no que diz respeito à coleta, armazenamento, tratamento e utilização de dados pessoais.

Se a sua organização coleta dados dos usuários — seja pelos sites, plataformas, soluções, ou redes sociais —, é crucial que as disposições da LGPD sejam seguidas, caso contrário ela poderá arcar com penalidades como:

• Advertência;
• Bloqueio ou eliminação dos dados pessoais;
• Multa simples ou diária de até 2% do faturamento da entidade;
• Suspensão ou proibição da atividade de tratamento de dados;
• Publicização da infração, prejudicando a imagem da empresa no mercado.
  
  

Saiba que os dados pessoais dizem respeito apenas às pessoas físicas, o que significa que a lei não se aplica quando são coletadas informações de outras organizações. Além disso, a lei ainda classifica os dados em dois tipos:

• Dado pessoal: é qualquer informação que identifica uma pessoa natural, como nome, endereço, RG, CPF, e-mail, nacionalidade, hábitos de consumo etc.;
  
  
• Dado pessoal sensível: são informações que podem ser usadas para discriminar alguém, como opinião política, filiação a sindicato ou organizações religiosas, políticas ou filosóficas, origem étnica ou racial, entre outras.
  
  

Aplicação do compliance de TI

Os responsáveis devem conhecer as práticas específicas que auxiliam na aplicação do compliance de TI. Conheça as principais a seguir.

CobiT

Control Objectives for Information and Related Technologies (CobiT ou Objetivos de Controle para Informações e Tecnologias Relacionadas, em português) traz cinco princípios que deverão basear as tomadas de decisões no negócio:

• Atendimento das necessidades dos interessados;
• Cobertura da empresa de ponta a ponta;
• Aplicação de um único quadro integrado;
• Separação da governança e administração;
• Abordagem holística.
  
  

Ela tem a vantagem de ser criada para integrar uma série de modelos de governança e supervisão. Para isso, será necessário ter um guia com modelos de maturidade, padrões, objetivos de controle, diretrizes de gestão e obrigações que devem ser seguidas pela empresa.

Política de conformidade

A Política de conformidade traz uma série de princípios, diretrizes e obrigações a serem seguidas pelos colaboradores de todo o negócio. Isso minimiza a probabilidade de que eles cometam erros que possam comprometer a segurança da organização. Alguns exemplos de tópicos que esse documento deve incluir são:

• Realização da conformidade técnica que será feita por profissionais qualificados;
• Forma de classificação dos registros, incluindo dados contábeis, de auditoria, de transações, entre outros;
• Como será a proteção os registros organizacionais;
• Forma de privacidade das informações pessoais;
• Conformidade em contratos com terceiros.
  
  

Saiba mais sobre Compliance de TI com a Centric

A Centric é a empresa ideal para que você assegure o compliance de TI na sua empresa. Ela tem foco na implementação, suporte e treinamento para que você modernizar seu negócio e tenha conformidade. Veja os principais serviços da Centric que garantem esses benefícios.

ADAudit Plus

Consiste em uma solução para a gestão de Active Directory que traz uma visão completa sobre esse ambiente. Com ele é possível:

• Identificar e prevenir ameaças internas;
• Monitorar os acessos em tempo real;
• Cumprir as leis de conformidade do setor;
• Emitir relatórios e alertas;
• Arquivar dados periodicamente.
  
  

ServiceDesk Plus

Essa é uma solução que possibilita gerenciar os ativos, garantindo controle e visibilidade dos colaboradores. Alguns dos benefícios desse serviço são:

• Precisão e visibilidade: acompanhe o que está acontecendo no helpdesk por meio de relatórios intuitivos;
• Integração e otimização: integre as diversas plataformas, ferramentas e produtos;
• Eliminação de problemas: encontre e solucione a causa dos problemas;
• Gestão de TI: combine com o TI HelpDesk e melhore maior colaboração entre as equipes.
  
  

Investir no compliance em TI é fundamental tanto para garantir a segurança da empresa como sua conformidade perante a legislação brasileira. Mas você precisará da ajuda de uma entidade que presta serviços especializados na área, como a Centric, que oferece as soluções ideais para isso.

Que tal conhecer mais sobre os serviços da Centric? Entre já em contato conosco com um de nossos especialistas para saber mais sobre nós!