Compliance em TI: como garantir que a sua operação esteja em conformidade

Compliance em TI: como garantir que a sua operação esteja em conformidade

É preciso ter cuidado com pontos como segurança de dados e documentações.

 

A área de Compliance tem cada vez mais ganhado destaque dentro das companhias que passaram a perceber a importância de ter esse processo desenhado e bem gerenciado. “Normalmente quem cuida de Compliance é a área de auditoria da empresa, que verifica se a área de TI está seguindo as orientações e as determinações realizadas, juntamente com o setor jurídico da empresa. No caso de negócios pequenos que não possuem grandes problemas ou interferência de ordem jurídica, não é comum ter essa área”, explica Vivaldo José Breternitz, professor da Faculdade de Computação e Informática da Universidade Presbiteriana Mackenzie.

 

Garantir que a operação esteja em conformidade e entender as funções e a importância de cada profissional são pontos primordiais para evitar que ocorram falhas significativas durante esse processo. Para o profissional de TI é fundamental estar alinhado às normas tanto internas quanto externas, e garantir que todas as execuções das suas atividades estejam de acordo com o Compliance.

 

Como deve funcionar o Compliance


O primeiro passo é garantir que a operação esteja em conformidade com as leis e regras internas da empresa. “Vamos supor que no Brasil exista uma lei que define que os dados precisam ficar dentro do país. De repente, um profissional de TI de um banco encontra uma nuvem lá fora (de outro país) que parece ser boa, tem clientes felizes e está cobrando mais barato. Então, a função do Compliance é averiguar se essa seria a melhor decisão a ser tomada”, exemplifica o professor. “A função do Compliance é acompanhar as ações do TI e de outros setores para garantir que os dados que são acessados por funcionários e clientes são aqueles que realmente possam ser acessados por clientes e funcionários. Com a nova LGPD, esse controle deverá ser bem maior”, ressalta.

 

No sentido de dados, outro exemplo de verificação que precisa ser feito de forma cuidadosa é com relação às informações que não devem estar abertas para todo mundo. “Se eu tenho uma empresa que tem uma planilha com informações e salários dos funcionários ou dados de clientes, para contabilizar os custos, o departamento de contas poderia ter as informações de valores totais de salários de uma equipe, mas não de salários de cada funcionário. A função do Compliance é identificar isso e evitar que erros como esses aconteçam”, explica Breternitz.

 

Pontos de atenção de Compliance nas empresas

 

  • Permissão de acesso a dados não autorizados: é preciso ter bastante cuidado com a permissão de acesso a dados não autorizados. Esse controle deve garantir que somente os profissionais envolvidos no processo, que tenham a real necessidade de ter visibilidade de determinados dados, consigam acessá-los na rede da organização. Vale destacar que esse é um dos principais erros de conformidade quando se fala em Compliance.

 

  • Documentação e histórico de dados: outro ponto que, muitas vezes, passa despercebido pelas áreas envolvidas no processo de Compliance e pode trazer problemas significativos está na criação da documentação e elaboração do histórico de dados. “Outro erro comum é a documentação de dados de sistema. Por exemplo, quando é criado um aplicativo, que possui um código determinado, a empresa deve garantir que os dados documentados por quem os construiu estejam seguros”, ressalta o professor do Mackenzie. “A documentação de dados é fundamental quando se cria um aplicativo porque, caso surja algum problema e aquele profissional que realizou o projeto saia da empresa, outros não terão acesso a esse histórico”, complementa.

 

  • Não cumprimento de ações de segurança de dados: por último, um aspecto indiscutível está no cumprimento de ações de segurança de dados. É preciso garantir que a empresa esteja cumprindo todas as regulamentações e, principalmente, focando seus esforços para atender à Lei Geral de Proteção de Dados (LGPD), que deve entrar em vigor em agosto deste ano e traz uma nova forma de analisar os dados e realizar tratamentos adequados.

onlinedatacloud

Compartilhe isso: