Cybersecurity e sua relação com governança corporativa e compliance.

Cybersecurity
Cybersecurity

Cybersecurity e sua relação com governança corporativa e compliance.

Segundo o relatório "Integridade corporativa no Brasil" de 2018, apresentado pela Deloitte, entre as empresas de grande porte com receita anual acima de R$100 milhões, chega a 53% o percentual das que adotaram ao menos 15 das 30 práticas concretas de gestão de riscos, controle e governança corporativa. Entretanto, entre as empresas de pequeno e médio porte (com receita abaixo de R$ 100 milhões), esse percentual cai para 20%.

Esse cenário apresenta um grande desafio para a gestão de dados em empresas de médio e pequeno porte (90% das empresas brasileiras). A LGPD (Lei Geral de Proteção de Dados) exige que o processo de tratamento, armazenamento e proteção de dados seja feito dentro desses padrões, trazendo inclusive um capítulo específico que trata sobre segurança da informação, boas práticas e governança.

Inseridas no contexto da governança da segurança da informação, as ferramentas de cybersecurity podem ser importantes aliadas na adequação das políticas dessa área e no cumprimento de boas práticas de governança corporativa e compliance.

Governança corporativa

De acordo com o IBGC (Instituto Brasileiro de Governança Corporativa), a governança corporativa tem como objetivo promover o alinhamento entre os interesses dos sócios, diretores, acionistas e os sistemas de fiscalização e regulamentação da legislação brasileira.
A governança transforma os valores da empresa em ações para que eles sejam percebidos pelo público externo. Essas ações são norteadas pelo Código das Melhores Práticas de Governança Corporativa (IBCG, 2015), que traz orientações sobre a melhor forma de incutir boas práticas nos processos administrativos e na cultura organizacional, partindo de quatro princípios: transparência, equanimidade, prestação de contas e responsabilidade corporativa.

Compliance

O termo compliance tem origem no inglês, derivado do verbo to comply que pode ser traduzido como: cumprir, executar, concordar, adequar-se, ou estar em conformidade. No meio empresarial, a prática do compliance consiste na sistematização de medidas que verifiquem se a organização está atuando dentro das leis e normas, internas e externas, estabelecidas para cada tipo de negócio.

Tanto as ações de governança corporativa quanto o compliance contribuem para a integridade da empresa junto a seus colaboradores, parceiros e clientes. Entretanto o conjunto de ações realizadas em prol de cada uma dessas práticas tem funções diferentes, sendo o compliance mais voltado para os processos internos, enquanto a governança corporativa está voltada para as relações entre a organização e o mercado.

O papel da governança corporativa e do compliance na segurança de dados

A LGPD em seu capítulo VII, seção II, aborda a importância da governança corporativa e do compliance para a gestão de dados. Ela enfatiza suas funções na elaboração de diretrizes que orientem para boas práticas durante o desenvolvimento dos processos. O intuito é que tudo ocorra de forma organizada, fiscalizada e em conformidade com o padrão exigido pelas normas técnicas, que incluem análise e prevenção de riscos e medidas educativas.

A norma que orienta as práticas de governança da segurança da informação é a ABNT NBR ISO/IEC 27014:2013 — Tecnologia da Informação — Técnicas de Segurança — Governança de Segurança da Informação. Nela é possível encontrar conceitos e princípios que norteiam a avaliação, gestão, monitoramento e comunicação das operações voltadas para segurança da informação nas empresas.

Os seis princípios básicos que regem a ABNT NBR ISO/IEC 27014:2013 trazem os parâmetros que a gestão da segurança da informação deve seguir, apresentando referências claras de como desenvolver boas práticas nos ambientes de negócio. São eles:

  1. Toda a organização deve estar coberta pelo plano de segurança da informação.
  2. Devem haver análises e medidas para mitigar riscos.
  3. A direção e as decisões sobre os investimentos devem ser estabelecidas de forma planejada.
  4. Os requisitos internos e externos devem estar em conformidade.
  5. A segurança deve ser promovida de forma positiva no ambiente.
  6. Os resultados alcançados devem ser analisados criticamente e continuamente.

Como é possível observar por meio da descrição dos seis princípios básicos, a governança da segurança da informação abarca a proteção das informações como um todo, incluindo dados escritos, verbais e digitais.

Focado especialmente na proteção digital está o setor de cybersecurity, ou cibersegurança. A cibersegurança desenvolve estratégias e gerencia ferramentas tecnológicas que auxiliam na proteção contra ameaças aos dados transportados e armazenados digitalmente, computadores, softwares e redes.

É no campo da cibersegurança que a LGPD oferece os maiores desafios de adaptação para as empresas, pois ela exige que novas ferramentas e medidas sejam providenciadas, para garantir a transparência e segurança no processamento de dados. Há hoje softwares de cibersegurança que integram as medidas de governança e compliance exigidas pela lei, auxiliando na gestão dos dados.

A estruturação de um sistema de cibersegurança eficiente, junto a diretrizes de governança corporativa que conduzam a boas práticas neste setor serão a chave de uma política de processamento de dados eficiente e respeitosa.

Junto a essas duas frentes é preciso haver a integração com o compliance, inserindo nos processos cotidianos a etapa de análise de riscos e verificação das possibilidades de atuação perante as leis que regem o setor.

Investir em governança na segurança da informação, compliance e cibersegurança, pode ajudar sua empresa a crescer de forma consistente e com credibilidade. Além da construção desses valores para a cultura e imagem da marca, essas práticas podem evitar prejuízos com processos jurídicos e problemas com a fiscalização em um futuro próximo.

Sobre o autor

Carlos

Desenvolvimento de projetos de automação predial, segurança eletrônica, eficiência energética e conservação de energia na área predial, interoperabilidade com redes elétricas inteligentes. Desenvolvimento de sistemas de supervisão e controle predial (BMS).