Qual é a importância do compliance para a segurança da informação?

A informação é um dos maiores patrimônios de qualquer empresa. Já imaginou o tamanho do problema ao perder informações dos seus clientes ou da sua estratégia de vendas? E pior: se essas informações fossem usadas pelos seus concorrentes? É por isso que a segurança da informação precisa ser uma preocupação na sua empresa.

Quando falamos em informação, estamos nos referindo a qualquer ativo, conteúdo ou dado que tenha sido gerenciado ou desenvolvido pela organização. A segurança da informação interfere diretamente na credibilidade da empresa perante o mercado e pode significar maiores lucros ou perdas, dependendo de como for aplicada. Ou seja, perder ou ter danificadas essas informações pode ser motivo de uma grande dor de cabeça para a empresa.

Mas como o compliance pode ajudar nessa tarefa? Neste artigo, trouxemos o que você precisa saber para que, não apenas a área de TI, mas também a área de compliance cuide da segurança da informação da sua empresa.

O que é compliance?

O conceito de compliance vem do termo inglês “comply”, que significa “agir dentro das regras”. Ou seja, são práticas da empresa para estar alinhada com normas, controles externos e internos, além de políticas e diretrizes.

O compliance tem como objetivo assegurar que a empresa e seus colaboradores cumpram à risca todas as normas dos órgãos de regulamentação externas e da própria organização. Isso é válido para todas as esferas: trabalhista, fiscal, contábil e, também, para a segurança da informação.

Por que o compliance é importante para a segurança da informação?

A segurança da informação é uma preocupação constante para gestores de TI, mesmo que sejam realizadas auditorias internas e externas regularmente para checar a conformidade dos processos na empresa.

Sendo assim, o compliance é uma maneira de garantir que a política de segurança está sendo cumprida. Isso permite mais tranquilidade para o trabalho e para as atividades da empresa como um todo. Afinal, um bom trabalho de compliance deve ter como aliada uma solução de segurança digital que assegure a proteção dos dados corporativos.

É preciso compreender que, quando falamos em solução de segurança digital, não estamos tratando apenas de software ou hardware. É necessário pensar na estratégia para garantir a segurança da informação, sem interferir na realização do trabalho no dia a dia dos colaboradores.

Como implementar uma estratégia de compliance da informação?

1. Identificar os direcionadores

O primeiro passo para implementar uma estratégia de compliance da informação é identificar quais direcionadores a empresa deve seguir para estar em compliance.

Os direcionadores podem ser:

  • o regulamento específico do segmento da empresa;
  • as regras definidas pela empresa, como código de conduta, políticas e outros;
  • as exigências de mercado;
  • a legislação dos países onde a empresa atua.

2. Identificar os controles exigidos

Cada um dos direcionadores define uma série de controles que devem ser cumpridos pela empresa. Portanto, o segundo passo para implementar uma estratégia de compliance da informação é deixar claro para toda a empresa o que significam esses controles e quais são as consequências de não atendê-los.

3. Definir a arquitetura de segurança da informação

A arquitetura de segurança da informação são as diretrizes que definem, dimensionam e organizam os dispositivos tecnológicos da empresa, de acordo com as necessidades dela. Essas diretrizes são essenciais para estabelecer a segurança como um processo corporativo contínuo.

Há várias arquiteturas disponíveis, cada uma com características próprias. A escolha depende das necessidades do setor de TI da empresa e dos controles que devem ser cumpridos. O importante é deixar claro para os colaboradores qual arquitetura precisa ser seguida.

4. Divulgar o nível de compliance e planejar ações de melhoria

O próximo passo é a diretoria divulgar o nível de compliance da informação da empresa.

Mas o compliance não é uma atividade única. Ele deve sempre estar presente na gestão, com o objetivo de gerar melhores resultados para o negócio. Portanto, avalie o nível de compliance e observe se ele está satisfatório e de acordo com as necessidades da empresa.

A partir dessa análise, elabore um planejamento de ações que garantam que o nível de compliance seja mantido ou melhorado, quando for o caso.

Conclusão

O compliance é uma forma eficiente de garantir o cumprimento das diretrizes de segurança da informação na empresa.

Portanto, se você quer assegurar a proteção dos dados da sua organização, é indispensável contar com ações de compliance.

Conheça tudo o que a sua empresa precisa sobre Compliance Digital

O que a sua empresa precisa saber sobre Compliance Digital?

A transformação digital tem obrigado as empresas a se manterem atentas às novidades para continuarem competitivas. E um cuidado exige atenção especial: o Compliance Digital. Ele se mostra como um importante aliado para manter e valorizar a imagem das empresas tanto para o mercado quanto para os stakeholders.

Diante dessas intensas mudanças, o monitoramento das ferramentas eletrônicas de trabalho se torna indispensável para garantir a perenidade das empresas, uma vez que contribuem para a prevenção de possíveis responsabilizações por condutas inadequadas dos colaboradores, inclusive por atos lesivos praticados no âmbito da Lei Anticorrupção Empresarial brasileira.

Mais do que cuidar da imagem da empresa, gestores também precisam tomar cuidados para não exercerem controles indevidos e ilegais, violando preceitos legais e constitucionais, como o direito de privacidade e de intimidade do trabalhador.

Com base no art. 2º da Consolidação das Leis do Trabalho (CLT), que confere o poder diretivo ao empregador, não restam dúvidas quanto à possibilidade de monitoramento das atividades do empregado pelas empresas.

Ou seja, há o entendimento de que esse monitoramento pode abranger não apenas o controle de ponto ou a avaliação da produtividade dos trabalhadores, mas também as comunicações e as condutas dos colaboradores por meio dos equipamentos da empresa.

Neste artigo, reunimos os principais pontos relacionados ao Compliance Digital para te ajudar a entender o que é monitoramento em dispositivos eletrônicos de trabalho e quando ele está autorizado. Conheça também quais são os documentos necessários para a realização desse monitoramento de acordo com a lei.

O monitoramento de dispositivos pessoais dos colaboradores está de acordo com o Compliance Digital?

O monitoramento dos equipamentos eletrônicos colocados à disposição dos colaboradores é respaldado pelo art. 5º, inciso XXII, da Constituição Federal de 1988 (CF/88), que trata do direito de propriedade.

Mas e quando se trata de dispositivos pessoais dos colaboradores? A empresa pode monitorar esses equipamentos?

Embora as ações de Compliance Digital tenham crescido entre as empresas, ainda não existe previsão legal quanto ao monitoramento de dispositivos eletrônicos pessoais dos colaboradores, ainda que sejam usados para o trabalho. No entanto, o entendimento da maioria é de que a empresa não pode ter acesso aos equipamentos que não foram fornecidos por ela.

Para possibilitar o monitoramento, do ponto de vista de Compliance Digital, o ideal é que a empresa sempre forneça todas as ferramentas eletrônicas de trabalho a serem utilizadas por seus colaboradores, como computadores, notebooks, smartphones, tablets, internet, entre outros.

Por outro lado, como o monitoramento das informações dos equipamentos fornecidos pela empresa é permitido, é importante que a organização conte com uma ferramenta confiável e adequada de acordo com as normas de Compliance Digital para essa tarefa.

O fSense é uma plataforma de monitoramento de estações de trabalho que registra as atividades dos colaboradores de maneira segura e dentro dos padrões permitidos por lei, desde que o controle seja previamente comunicado, para que a empresa tenha controle e possa evitar riscos como o de vazamento de informações confidenciais.

Outra dúvida que permeia os gestores preocupados com Compliance Digital é quanto ao monitoramento de e-mails:

O monitoramento de e-mails está de acordo com o Compliance Digital?

Esse é um tema que está entre as principais preocupações no universo empresarial quando se trata de Compliance Digital.

Muitas vezes, colaboradores usam o e-mail corporativo para fins pessoais, o que pode representar um risco porque pode facilitar o acesso externo a informações confidenciais da empresa e a consequente utilização para fins não autorizados.

Porém, esse também é um assunto que ainda não foi tratado pelo justiça brasileira. Mas é possível verificar o entendimento de que apenas o monitoramento em e-mail pessoal do empregado é vedado.

O e-mail pessoal é dotado de proteção constitucional e legal de inviolabilidade e, em caso de descumprimento, a empresa estará violando direitos fundamentais do trabalhador, já que não é passível de fiscalização pelo empregador.

Nesse sentido, a empresa pode limitar ou até mesmo proibir o acesso ao e-mail pessoal durante o horário de trabalho.

Já em relação ao e-mail corporativo, o entendimento é de que, como é permitido o monitoramento das atividades do colaborador no ambiente de trabalho, está incluído o controle do endereço de e-mail disponibilizado pela empresa, uma vez que tanto o equipamento eletrônico quanto a conexão são fornecidos pela empresa.

Também para o controle do e-mail, o fSense é uma ferramenta de extrema utilidade, já que possibilita registrar as atividades dos colaboradores até mesmo por meio de screenshots. Ou seja, a qualquer problema de vazamento de informações, por exemplo, é possível consultar o uso do e-mail e identificar o colaborador responsável.

Como tornar legal o monitoramento de equipamentos de acordo com o Compliance Digital?

Quanto aos documentos necessários para estarem de acordo com a lei, as empresas precisam, no mínimo, criar um Regulamento Interno de Segurança da Informação – que informe a realização do monitoramento e disponha sobre as regras e as condutas esperadas dos colaboradores – e um Termo de Uso de Sistemas de Informação – para legitimar o controle das atividades e convalidar a prova obtida por meio eletrônico.

Regulamento Interno de Segurança da Informação

Trata-se de uma política que reúna as atribuições, as responsabilidades, os direitos e as penalidades em caso de descumprimento normativo, ou seja, a criação de uma cultura de proteção aos sistemas da empresa de acordo com Compliance Digital.

Sendo assim, o documento deve conter a conduta esperada dos colaboradores da empresa, estabelecendo tudo o que eles podem e o que não podem fazer na rede corporativa. É preciso citar até mesmo os tipos de programas permitidos e os que são proibidos de serem instalados nos equipamentos da empresa.

O fSense é uma ferramenta útil nesse quesito, uma vez que permite categorizar sites e aplicações como sendo de uso pessoal ou de uso para o trabalho. Assim, a empresa já tem acesso a um gráfico automático de como os colaboradores fazem uso da internet, podendo advertir aqueles que fazem uso inadequado.

Além disso, o Regulamento Interno de Segurança da Informação deve classificar os documentos da empresa, mencionando, exemplificando e diferenciando o que é confidencial e interno do que é considerado público.

Por fim, o documento deve deixar claro que o monitoramento das atividades do empregado no ambiente de trabalho é realizado. Afinal, para que esse monitoramento seja válido, é indispensável a prévia e a formal comunicação ao empregado. Caso contrário, será considerado ilegal.

É ainda necessário que esse documento seja apresentado e esteja acessível aos colaboradores para que possam conhecê-lo e saber o que é vedado e autorizado pela empresa. De outro modo, eles não estarão obrigados a cumprir algo de que não tinham conhecimento.

Termo de Uso de Sistemas de Informação

Trata-se de um documento que tem o objetivo de comprovar que o colaborador conhece as regras de segurança da informação da empresa, ao legitimar o monitoramento das suas atividades pela organização e convalidar tudo o que foi disciplinado pelo Regulamento Interno de Segurança da Informação.

Existem ainda outras práticas que podem ajudar a empresa nessa questão, como:

  • avaliações de aprendizagem;
  • treinamentos online;
  • disponibilização do Regulamento Interno de Segurança da Informação e do Termo de Uso de Sistemas de Informação na intranet etc.

Conclusão

O Compliance Digital é um instrumento de fundamental importância para empresas, uma vez que contribui para a manutenção da imagem no mercado, mostrando-se ainda bastante eficiente na regulação das condutas dos colaboradores quanto ao uso da internet e quanto ao monitoramento das ferramentas eletrônicas de trabalho fornecidas a eles.

Possibilite que a sua empresa tenha total controle de segurança da informação com o fSense, uma ferramenta intuitiva, de fácil utilização e que torna mais simples o monitoramento dos equipamentos da sua empresa.

Ainda tem dúvidas sobre como aplicar Compliance na sua empresa? Leia este whitepaper com mais informações.

blank