Camila Inácio é Especialista Pré Vendas
Camila Inácio é Especialista Pré Vendas

Política de proteção de dados, políticas de segurança da informação. Sua empresa certamente as tem – ou deveria ter. Porém, outra política mandatória, a de compliance, pode por estas duas primeiras em risco. Você sabia?

Sim, pois na pressa e obrigação de cumprir requisitos e normas do setor a que pertence, muitas vezes profissionais se veem pressionadas e podem apelar para desdobramentos, digamos assim, das políticas de segurança, pondo toda a organização em risco.

Trocando em miúdos: os prazos de compliance são rígidos e para atendê-los, não raro, as empresas recorrem a tecnologias externas, contratando ferramentas e repassando aos fornecedores a responsabilidade por adequarem-se às regras. Entretanto, esta é uma estratégia “cobertor curto”, pois se por um lado a tal ferramenta permite atender às regras de compliance a que se destina, pode por outro não cumprir todas as regras de segurança da companhia. Resultado: furo.

Outro exemplo prático de erro envolvendo compliance X proteção dos dados é a MPB. Não, não é a Música Popular Brasileira que oferece risco, mas a Máxima Proibição Barata, termo que cunhei para definir aquela estratégia de “já que é possível estarmos nos arriscando, vamos proibir tudo e pronto”. E aí entra em cena o corte de acesso geral a esta, aquela e aquela outra página, o bloqueio de portas USB e assim por diante. Saiba desde já: isso não vai funcionar.

Em uma estratégia como esta, o furo continuará havendo – afinal, se alguém aí dentro da empresa estiver disposto a roubar seus dados, utilizará outros meios – imprimirá, fotografará, deixará vazar por e-mail etc. Ao mesmo tempo, quem realmente precisar usar dispositivos USB, encontrará pela frente uma barreira nada produtiva – e o mesmo vale para as páginas, sessões, diretórios bloqueados.

Mas se a proibição impertinente é ruim, a maleabilidade também pode ser. No calor do prazo apertado para cumprir as regulamentações do setor, um executivo aqui, outro gestor ali, pedirá a TI que libere uma brecha na política de acesso, ou na gestão de identidade, ou no uso de dispositivos. Ou então, ainda pior, encontrará esta brecha sozinho.

Porém, uma vez descoberta ou criada, esta brechinha se tornará caminho usual (afinal, teremos que cumprir regras em prazos e termos justos novamente) e estará aberta a porta para seus dados vazarem.

Não mapear e articular os dados é outro engano que pode tornar frágeis suas táticas de gestão de compliance e risco. Ao invés de fazer um apanhado gigante de todos os dados transacionados pelos colaboradores, adote uma tecnologia de inteligência que possibilite mapear e garimpar conteúdos realmente relevantes, segundo parâmetros previamente estabelecidos.

Assim será mais fácil detectar possíveis falhas ou fraudes e impor ações de segurança quando necessário. Também será mais ágil e simples adequar a gestão de risco à compliance.

Ah, e se depois de tudo isso você estiver aí pensando em terceirizar a gestão de compliance, já que a oferta de outsourcing neste campo brilha como uma linda luz no fim deste túnel de preocupações, pense bem, pois… Há risco nisso também.

Em primeiro lugar, porque há pouca mão-de-obra especializada no tema e um profissional de compliance qualificado pode custar caro, já que o número deles é baixo e a procura, alta.

Segundo, porque as normas, regras, leis não param de aumentar e mudar, seja lá qual for seu setor de atuação. Será que seu fornecedor de compliance outsourcing está realmente preparado e alinhado a seu negócio para acompanhar tudo com a precisão necessária?

Terceiro, voltamos à segurança da informação. Bem, se já era complicado geri-la com a compliance dentro de casa, imagine fora.

Não estou contraindicando a terceirização das ações de compliance, apenas recomendando cautela e faro apurado na escolha do fornecedor.

Bem, depois de tudo isso, resta-me aproveitar a época de início de ano para desejar bons votos a você: que em 2015 seus negócios prosperem e que em seu setor de atuação as regras não mudem com muita frequência, as leis e regulamentações já cumpridas não sejam alteradas e – especialmente – os prazos não apertem. Isso, sim, será um belo ano novo.

Fontes:

http://goo.gl/aO2wWa

http://goo.gl/QXLPa5