- Transformando Negócios
- (11) 96904-8603
- contato@seno-ti.com.br
Compliance em TI
É de suma importância que as empresas se conscientizem da necessidade de investir em mecanismos que possibilitem a prevenção destes riscos de ataques digitais, pois, uma vez ocorridos, os danos podem ser imensuráveis e de difícil reparação.
Uma das formas é instituindo um programa de compliance efetivo, que tem por objetivo primordial reduzir os riscos da empresa e, por conseguinte, de seus diretores e sócios. Alguns dos pilares do programa, principalmente a Avaliação de Riscos, Monitoramento e Auditoria e Due Dilligence, são facilitadores para que a empresa desenvolva regras de boas práticas e de governança voltadas ao estabelecimento de medidas de segurança, técnicas e administrativas, como já exemplificado anteriormente.
Portanto, o programa de compliance pode ser um importante aliado para que riscos, como o vazamento de dados e informações, sejam mapeados, classificados e tratados de forma preventiva, por meio de políticas que visem otimizar, proteger e alavancar a informação como um dos bens das empresas. Com essa prática, certamente riscos de processos e danos de reputação serão evitados, a empresa poderá antever cenários e tomar decisões estratégicas.
Meus dados foram vazados, e agora?
Uma premissa essencial que deve ser posta, é que toda pessoa natural tem assegurada a titularidade de seus dados pessoais, bem como garantidos seus direitos fundamentais de intimidade, liberdade e de privacidade, conforme previsto pela Constituição Federal. Assim, qualquer pessoa que tenha seus dados utilizados de forma indevida, que sofra danos de ordem patrimonial, moral, individual ou coletivamente, poderá pleitear o direito de reparação, sendo, portanto, assegurada a sua efetiva indenização, por meio do instituto da responsabilidade civil (artigos 189 e 927 do Código Civil).
Além disso, a nova Lei Geral de Proteção de Dados Pessoais (LGPD), embora ainda não esteja em vigor, também dispõe de forma específica sobre o direito da pessoa ser indenizada em casos de prejuízos decorrentes do vazamento de seus dados e informações. Ainda, a legislação traz a possibilidade de denúncia à “Autoridade Nacional de Proteção de Dados (ANPD) e ao “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”, órgãos que ainda precisarão ser regulamentados/criados.
Para as empresas investigadas, a LGPD prevê várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões, publicização da infração, dentre outras. Importante ressaltar que as sanções e regramentos para tratamento e proteção dos dados pessoais previstos não afastam as responsabilidades cíveis, penais e administrativas hoje existentes relacionadas à utilização indevida de dados pessoais. Isto é, o novo diploma vem reforçar a proteção de dados pessoais, estabelecendo uma forma de tratamento, sendo que seu descumprimento constitui ato ilícito.
Daqui para frente, os aspectos que não forem sanados por meio da legislação, deverão ser resolvidos por meio da ética dos indivíduos responsáveis por lidar com os dados. Apesar de o futuro ser incerto, para cada grande inovação, será preciso repensar, de maneira ética, quais serão suas aplicações e como essas informações poderão ser protegidas. Essa será, sem dúvida, uma necessidade crescente para o compliance na era dos dados.
Dicas para melhorar o compliance na sua empresa
-
• Defina e implemente modelos e estruturas de gestão de riscos;
-
• Defina e implemente políticas, normas e procedimentos que respaldem a estrutura de gestão de riscos da sua TI;
-
• Avalie os riscos de TI com base em frameworks de mercado, tais como CobIT, ITIL, MIT;
-
• Defina e implante indicadores de desempenho, ou KPIs, e de risco, conhecidos como KRI;
-
• Implante soluções de governança, risco e compliance aderentes à política de gestão de riscos existente na sua empresa;
-
• Faça a gestão de conformidade com regulamentações;
-
• Revise todos os contratos de TI na perspectiva de risco e de compliance; adeque os novos contratos dentro desta visão;
-
• Revise os controles gerais de TI como parte dos processos internos ou de auditoria interna;
-
• Revise, defina e implante uma gestão de licenças de software;
-
• Defina e implemente uma gestão de monitoramento;
Via CIO.com.br e qametrik.com
É de suma importância que as empresas se conscientizem da necessidade de investir em mecanismos que possibilitem a prevenção destes riscos de ataques digitais, pois, uma vez ocorridos, os danos podem ser imensuráveis e de difícil reparação.
Uma das formas é instituindo um programa de compliance efetivo, que tem por objetivo primordial reduzir os riscos da empresa e, por conseguinte, de seus diretores e sócios. Alguns dos pilares do programa, principalmente a Avaliação de Riscos, Monitoramento e Auditoria e Due Dilligence, são facilitadores para que a empresa desenvolva regras de boas práticas e de governança voltadas ao estabelecimento de medidas de segurança, técnicas e administrativas, como já exemplificado anteriormente.
Portanto, o programa de compliance pode ser um importante aliado para que riscos, como o vazamento de dados e informações, sejam mapeados, classificados e tratados de forma preventiva, por meio de políticas que visem otimizar, proteger e alavancar a informação como um dos bens das empresas. Com essa prática, certamente riscos de processos e danos de reputação serão evitados, a empresa poderá antever cenários e tomar decisões estratégicas.
Meus dados foram vazados, e agora?
Uma premissa essencial que deve ser posta, é que toda pessoa natural tem assegurada a titularidade de seus dados pessoais, bem como garantidos seus direitos fundamentais de intimidade, liberdade e de privacidade, conforme previsto pela Constituição Federal. Assim, qualquer pessoa que tenha seus dados utilizados de forma indevida, que sofra danos de ordem patrimonial, moral, individual ou coletivamente, poderá pleitear o direito de reparação, sendo, portanto, assegurada a sua efetiva indenização, por meio do instituto da responsabilidade civil (artigos 189 e 927 do Código Civil).
Além disso, a nova Lei Geral de Proteção de Dados Pessoais (LGPD), embora ainda não esteja em vigor, também dispõe de forma específica sobre o direito da pessoa ser indenizada em casos de prejuízos decorrentes do vazamento de seus dados e informações. Ainda, a legislação traz a possibilidade de denúncia à “Autoridade Nacional de Proteção de Dados (ANPD) e ao “Conselho Nacional de Proteção de Dados Pessoais e da Privacidade”, órgãos que ainda precisarão ser regulamentados/criados.
Para as empresas investigadas, a LGPD prevê várias punições possíveis, desde uma advertência até multa equivalente a 2% do faturamento, que pode chegar até R$ 50 milhões, publicização da infração, dentre outras. Importante ressaltar que as sanções e regramentos para tratamento e proteção dos dados pessoais previstos não afastam as responsabilidades cíveis, penais e administrativas hoje existentes relacionadas à utilização indevida de dados pessoais. Isto é, o novo diploma vem reforçar a proteção de dados pessoais, estabelecendo uma forma de tratamento, sendo que seu descumprimento constitui ato ilícito.
Daqui para frente, os aspectos que não forem sanados por meio da legislação, deverão ser resolvidos por meio da ética dos indivíduos responsáveis por lidar com os dados. Apesar de o futuro ser incerto, para cada grande inovação, será preciso repensar, de maneira ética, quais serão suas aplicações e como essas informações poderão ser protegidas. Essa será, sem dúvida, uma necessidade crescente para o compliance na era dos dados.
Dicas para melhorar o compliance na sua empresa
-
• Defina e implemente modelos e estruturas de gestão de riscos;
-
• Defina e implemente políticas, normas e procedimentos que respaldem a estrutura de gestão de riscos da sua TI;
-
• Avalie os riscos de TI com base em frameworks de mercado, tais como CobIT, ITIL, MIT;
-
• Defina e implante indicadores de desempenho, ou KPIs, e de risco, conhecidos como KRI;
-
• Implante soluções de governança, risco e compliance aderentes à política de gestão de riscos existente na sua empresa;
-
• Faça a gestão de conformidade com regulamentações;
-
• Revise todos os contratos de TI na perspectiva de risco e de compliance; adeque os novos contratos dentro desta visão;
-
• Revise os controles gerais de TI como parte dos processos internos ou de auditoria interna;
-
• Revise, defina e implante uma gestão de licenças de software;
-
• Defina e implemente uma gestão de monitoramento;
Via CIO.com.br e qametrik.com
Artigos Relacionados
