Bruno Aghazarm, consultor das áreas de segurança de dados e LGPD do Henneberg, Ferreira e Linard Advogados. Pós-graduado e especialista em Direito Digital.
No mundo corporativo contemporâneo, os processos de “compliance” têm se tornado cada vez mais relevantes e centrais para o sucesso e a sustentabilidade das organizações. Este termo, derivado do inglês, refere-se ao conjunto de práticas, procedimentos e processos formalizados que visam garantir o cumprimento de leis, regulamentos, diretrizes e normas internas e externas, bem como promover uma cultura ética e de responsabilidade dentro das empresas.
O compliance corporativo envolve, desde sua criação, uma série de atividades, políticas e controles que são implementados para garantir que as organizações estejam em conformidade com os requisitos legais e regulatórios aplicáveis ao seu setor de atuação. Isso inclui leis trabalhistas, ambientais, tributárias, de concorrência, privacidade e proteção de dados, governança corporativa e todas as outras áreas. Deverá ser criada e implementada no modo “top-down” da empresa, com a participação total dos departamentos.
Os programas de compliance serão efetivos e cruciais para proteger as empresas de riscos legais, financeiros e reputacionais. Lembramos que o não cumprimento das leis e regulamentos pode resultar em multas significativas, processos judiciais, perda de confiança dos clientes e investidores, danos à reputação e até mesmo sanções criminais para os indivíduos responsáveis. Além disso, em um ambiente de negócios cada vez mais globalizado, as empresas também estão sujeitas a leis e regulamentos internacionais que precisam ser levados em consideração.
Os processos de compliance são construídos com base em três pilares fundamentais calcados em leis e normas internacionais: Prevenção, Detecção e Resposta.
A Prevenção envolve a criação de políticas, diretrizes e controles internos que orientam o comportamento ético dos colaboradores e garantem a conformidade com as leis e regulamentos. Isso inclui a implementação de códigos de ética e conduta, treinamentos regulares, revisões de processos internos, análises de risco e a nomeação de um responsável pelo compliance e outro pela segurança da informação.
A Detecção de irregularidades é outra parte essencial do compliance. Isso envolve o monitoramento contínuo das atividades da empresa, por meio de auditorias internas, investigações físicas e lógicas, movimento das redes telemáticas, controles financeiros, análises de risco, vulnerabilidades e o estabelecimento de canais de denúncia anônimos. A detecção precoce de possíveis violações permite que as empresas ajam rapidamente para corrigir os problemas e evitar maiores danos e perdas financeiras ou de imagem.
A Resposta a violações de compliance é o terceiro pilar e envolve uma abordagem disciplinada e transparente para lidar com as consequências. Isso inclui investigações internas completas, aplicação consistente das políticas disciplinares, remediação dos problemas identificados, mitigação dos riscos e, quando necessário, cooperação com as autoridades reguladoras ou órgãos de aplicação da lei.
Além de evitar riscos legais e reputacionais, o compliance também pode trazer benefícios tangíveis para as organizações. Ao demonstrar comprometimento com a conformidade, as empresas podem atrair investidores e parceiros de negócios que valorizam a integridade e a transparência. Um programa de compliance robusto contribui para um controle efetivo e uma cultura corporativa saudável, onde os colaboradores se sentem incentivados a agir de acordo com os valores éticos da estabelecidos.
No entanto, é importante ressaltar que o compliance vai muito além de, simplesmente, cumprir as leis e regulamentos. Trata-se de implementar uma cultura corporativa ética, na qual os princípios de integridade, transparência e responsabilidade são valorizados em todos os níveis hierárquicos. As empresas devem buscar não apenas atender aos requisitos mínimos de conformidade, mas também aspirar a padrões mais elevados de conduta empresarial ética.
Focando na Tecnologia das empresas, o compliance para a segurança cibernética, refere-se ao conjunto de medidas e práticas adotadas para cumprir com as regulamentações e requisitos relacionados à proteção de dados, privacidade e segurança da informação. O objetivo principal é garantir que a empresa esteja em conformidade com as leis e regulamentos pertinentes a área, especificamente, além de adotar boas práticas de segurança para minimizar os riscos cibernéticos.
Aqui estão alguns aspectos importantes do compliance para a segurança cibernética:
– Conformidade legal: As empresas devem cumprir com as leis e regulamentos aplicáveis à segurança cibernética, como a Lei Geral de Proteção de Dados (LGPD) no Brasil, o Regulamento Geral de Proteção de Dados (GDPR) na União Europeia e outras leis específicas de proteção de dados em diferentes países. Isso envolve a compreensão dos requisitos legais e a implementação de medidas técnicas e organizacionais para proteger os dados pessoais e garantir a privacidade.
– Políticas internas: As empresas devem estabelecer políticas e diretrizes claras relacionadas à segurança cibernética. Isso inclui a criação de políticas de segurança da informação, classificação adequada dos dados, gestão de senhas, acesso restrito aos sistemas, entre outras medidas. Essas políticas devem ser comunicadas a todos os funcionários e parceiros, e a conformidade com elas deve ser monitorada regularmente.
– Avaliação de riscos: Uma avaliação de riscos é fundamental para identificar as ameaças e vulnerabilidades que podem afetar a segurança cibernética da organização. Isso envolve a análise de possíveis ataques, como invasões, furto de informações, espionagem, ransomware e outras formas de cibercrime. Com base na avaliação de riscos, as medidas de segurança apropriadas podem ser implementadas para mitigar ou reduzir esses riscos.
– Monitoramento e detecção de incidentes: As empresas devem implementar sistemas de monitoramento contínuo e detecção de incidentes de segurança. Isso inclui o uso de ferramentas de segurança, como firewalls, sistemas de detecção de intrusões, antivírus e outras soluções de proteção. Além disso, é importante estabelecer procedimentos para responder rapidamente a incidentes de segurança, investigá-los e tomar as medidas corretivas apropriadas.
– Treinamento e conscientização: A conscientização dos colaboradores é crucial para a segurança cibernética. As empresas devem fornecer treinamentos regulares para seus funcionários, abordando temas como phishing, engenharia social, boas práticas de senha, uso seguro da Internet e outras medidas de segurança. Os funcionários devem estar cientes dos riscos e serem capazes de identificar possíveis ameaças cibernéticas.
– Auditoria e conformidade contínuas: A segurança cibernética não é um esforço único, mas sim um processo contínuo. As organizações devem realizar auditorias internas e externas regularmente para avaliar a conformidade com os padrões de segurança cibernética e identificar áreas de melhoria. Essas auditorias ajudam a garantir que as políticas e práticas estejam sendo seguidas corretamente e que as medidas de segurança estejam atualizadas.
Em resumo, o compliance para a segurança cibernética envolve uma abordagem abrangente que combina conformidade legal, políticas internas, avaliação de riscos, monitoramento, treinamento e conscientização dos funcionários, além de auditoria e conformidade contínuas. Ao adotar essas práticas, as organizações podem fortalecer sua postura de segurança cibernética e reduzir os riscos associados a ameaças cibernéticas.