Por Davi Netto em 13-09-2021
Políticas de segurança não são para “inglês ver”. Não adianta criar uma série de políticas para melhoria da segurança da informação de sua empresa se as mesmas não forem seguidas. Toda nova regulamentação exige que a empresa faça um controle para garantir que os colaboradores sigam as novas diretrizes.
Compliance, ou conformidade, é o processo de garantir que legislações e regulmentações sejam respeitadas e seguidas, e que desvios de conduta sejam devidamente tratados caso venham a acontecer. E acredite em mim, eles irão acontecer nos mais variados níveis da organização.
A ISO 27001 destaca bem claramente a importância do compliance nos processos de segurança da informação:
“É necessário evitar violação de quaisquer obrigações legais, estatutárias, regulamentares ou contratuais relacionadas à segurança da informação e quaisquer requisitos de segurança”. ISO 27001
Por que devemos lidar violação das regulamentações de maneira séria?
Imagine a seguinte situação: Sua empresa possui um link dedicado de internet. O contrato do provedor da internet estabelece um Acordo de nível de serviço (SLA) que diz que a internet precisa estar disponível 99% do tempo. Caso a internet de sua empresa caia por mais de 8 horas no mês, o provedor de internet deverá arcar com os prejuízos e multas estipuladas no contrato.
A empresa provedora de internet precisa ter controles rígidos para garantir que seus funcionários respeitem as normas internas de segurança e evitar que ocorram falhas em seu processo, pois a violação às regulamentações estabelecidas contratualmente ocasionam em prejuizos, impacto operacional, ações legais, e até mesmo danos a reputaçao da empresa perante aos seus clientes.
Como garantir que minha empresa esteja em conformidade com a legislação?
Cada empresa possui um diferente tipo de operação e as legislações variam de negócio para negócio. No entanto é possível extrairmos algumas máximas que irão ajudar o compliance dos colaboradores às políticas e legislações:
1. Entenda os requisitos
É muito comuns infringir uma lei pelo simples fato de desconhecê-la. Infrações não intencionais são comuns, mas apresentam riscos à empresa do mesmo jeito. O primeiro passo é levantar quais as leis e regulamentos que a empresa precisa seguir, e documentá-los para cada sistema de informação que a organização possui.
Caso não haja pessoas especializadas dentro da empresa, profissionais terceirizados podem ser contratados para realizar esse levantamento de requisito e documentá-los. Esses profissionais irão analisar os processos da empresa, contratos e legislações nacionais e internacionais aplicáveis, além de documentá-las devidamente.
2. Crie políticas internas
Com os requisitos em mãos, o próximo passo é a criação de políticas internas de conformidade. As políticas declaram formalmente o que deve ser feito para que os colaboradores cumpram com a legislação. Não podemos esquecer que ela é uma declaração formal da alta direçao do caminho a ser seguido por todos da empresa, e por isso ela é aplicável à todos.
3. Analise os riscos e controle a aderência
Não há medida de segurança perfeita, independente do quão robusta seja sua política interna. É primordial fazer um estudo de probabilidade e impacto dos riscos das infrações, ameaças e todos os outros riscos que abrange as operações da empresa.
O estabelecimento de controles que garantam aderência dos colaboradores à política interna da empresa é uma das maneiras de reduzir a probabilidade de violações e riscos levantados acontecerem.
4. Documentar resultados
Se não há evidências, não existe.
Pois é: ações, resultados de análises de risco, medidas tomadas e tratamento de violações, quando não documentados estão fadados a acontecerem novamente. A empresa não pode se dar ao luxo de cometer novamente erros passados, e o processo de formalizar todos esses esforços em prol da segurança da informação é a formalização de todo o conhecimento adiquirido.
5. Tratar desvios
O dito popular diz que “leis foram feitas para serem quebradas”. As violações são uma parte natural do processo de implementação de políticas e normativas. O tratamento desses desvios de conduta e violações à política devem ser tratados de acordo com o nível da violação, e devem ser documentados também.
6. Processo contínuo
O sexto passo é na verdade um lembrete de que nenhuma das etapas superiores é estática. Legislações estão sempre sendo alteradas, colaboradores vão e vem, novos riscos surgem e outros se estinguem, a operação da empresa cresce, e por aí vai.
Garantir um processo cíclico impede que ele se torne obsoleto ou inadequado às constantes mudanças que a organização sofre ao longo do tempo, seja por fatores internos ou externos.