A importância do compliance para as empresas combaterem seus riscos cibernéticos
09, Fev. 2022
A importância do compliance para as empresas combaterem
seus riscos cibernéticos
Fonte: Por DANIELSUZUMURA- Jornal Dia Dia (MT)
As companhias carregam dados valiosos internos e de
terceiros, que incluem informações das suas operações, de seus colaboradores,
fornecedores e de clientes, ficando cada vez mais expostas a riscos
cibernéticos. Qualquer deslize pode impactar sua operação, seu resultado
financeiro e, sobretudo, sua reputação.
Sendo, então, a informação um ativo tão importante dentro
das empresas, ela precisa ser protegida.
E o vazamento ou o mau uso de dados não compromete apenas as
grandes empresas, mas as pequenas e médias, inclusive, as familiares, que podem
ter prejuízos muito maiores e comprometer a continuidade do próprio negócio.
Acontece que esses dados estão cada dia mais expostos a
problemas de vazamento ou roubo devido aos avanços da tecnologia. Muitas vezes
a maneira como eles são armazenados permitem brechas a hackers, além do mau uso
de dispositivos como tablets, celulares e notebooks e das próprias redes
sociais, que tornam os sistemas vulneráveis a ataques. Além disso, o trabalho
remoto (fora da empresa) também é um fator de risco, pois abre muitas portas de
acesso a informações importantes.
Outros problemas que podem ser enfrentados pelas empresas
estão relacionados ao acesso não autorizado de funcionários aos dados ou a
falta de firewall eficiente, permitindo a ocorrência de ransomware (sequestro
de dados com objetivo de negociar resgates por meio de criptomoedas). As
empresas estão sujeitas também à ocorrência relacionadas ao armazenamento das
informações, como, por exemplo, se o banco de dados não tiver um bom
espelhamento e backup, a empresa poderá ter problemas de perda de dados e
comprometer um cliente ou funcionário, além dos dados do próprio negócio.
O compliance voltado para a segurança da informação e
proteção de dados contempla a adoção de procedimentos com o objetivo de
minimizar a ocorrência de todos esses riscos, como a adoção de políticas de
segurança da informação e protocolos específicos para funcionários,
fornecedores e clientes acessarem os dados. Envolve também, e principalmente, a
realização de treinamentos aplicados aos colaboradores para instruí-los a não
deixar a empresa vulnerável a riscos cibernéticos, além de um plano de resposta
a incidentes e o investimento na manutenção de um ambiente de tecnologia
atualizado incluindo antivírus, firewall, espelhamento e/ou backup isolado do
sistema em uso.
Nesse contexto, além da adoção de medidas gerais de
conformidade acima exemplificadas, é muito importante para as companhias
adotarem um Programa de Governança em Privacidade de Dados, para manterem seus
dados protegidos e se resguardarem perante a Lei Geral de Proteção de Dados
(LGPD).
Esse Programa de Governança em Privacidade de Dados, pode
ser implementado observando-se dez etapas:
1 – nomear um encarregado designado pela empresa que será responsável de introduzir um sistema de compliance e fazer intermediação entre empresa titular de dados;
2- criar um canal de atendimento ao titular de dados, por
meio do qual o titular dos dados pessoais possa obter informações sobre o
tratamento e exercer seus direitos legais;
3 – elaborar o mapeamento do fluxo de dados pessoais e de
seu ciclo de vida, ou seja, a identificação dos momentos de coleta, retenção,
processamento, compartilhamento e eliminação;
4 – caso encontre riscos, elaborar o relatório de impacto
que avaliará os riscos associados ao tratamento (com a descrição dos processos
de tratamento de dados pessoais que podem gerar riscos às liberdades civis e
aos direitos fundamentais e as medidas, salvaguardas e mecanismos de mitigação
de risco);
5 – realizar os ajustes de conformidade por meio da adoção
de medidas para mitigação de riscos associados ao tratamento dos dados
pessoais;
6 – adotar medidas de segurança da informação para evitar
acessos não autorizados ou qualquer forma de tratamento inadequado ou ilícito,
garantindo confidencialidade, integridade e disponibilidade dos dados apenas
quando e a quem de direito. E mostrar que está fazendo isso;
7- elaborar um plano de resposta a incidentes com o
estabelecimento de procedimentos para resposta a incidentes de segurança da
informação envolvendo dados pessoais;
8 – elaborar e divulgar a política de privacidade com
informações claras e atualizadas sobre a previsão legal, a finalidade e os
procedimentos utilizados para a execução das operações de tratamento para
deixar o cliente seguro em relação a isso;
9- realizar os ajustes contratuais pertinentes em relação
aos contratos celebrados com colaboradores e com terceirizados que atuem como
operadores (que realizam o tratamento de dados pessoais em nome do controlador)
isso inclui que empresas contratadas e que dispõem de muitos dados da empresa,
como contabilidade, por exemplo, garantia de que ela também cumpra as normas da
LGPD;
10 – realizar a capacitação da equipe acerca das diretrizes
da LGPD e da Política de Privacidade adotada.
A LGPD não estabelece um prazo para a implantação do Programa
de Governança em Privacidade de Dados, porém, se a empresa tiver efetivamente
implantado esse Programa e venha a ocorrer algum incidente, os valores das
multas que poderão ser aplicadas por perda ou vazamento de dados pessoais, por
exemplo, serão consideravelmente menores, além da reputação não ser tão abalada
devido à empresa já estar comprometida com a proteção de dados.
Diante de tudo o que foi abordado, é imprescindível que as
empresas se protejam de eventuais incidentes cibernéticos. Pode fazer toda a
diferença na garantia de segurança, redução de custos e na manutenção da
credibilidade das empresas no mercado, especialmente os pequenos e médios
negócios.
Monica Bressan * é especialista em governança corporativa,
compliance, ISO 37001, ISO 31000, contratos e finanças.
Profissional com perfil estratégico, com mais 20 anos de atuação em escritórios de advocacia, empresas e como professora em cursos de graduação e pós-graduação, formada em Direito e Administração de Empresas, com Especialização em Direito Tributário e Mestrado em Administração de Empresas com foco em Finanças Estratégicas. Possui certificação internacional ISO 31000 Lead Risk Manager (Gestão de Riscos) e ISO 37001 Provisional Auditor (Antissuborno). Ótima experiência com: mapeamento, implantação e acompanhamento de controles internos para todas as áreas da empresa; apoio jurídico-legal para a tomada de decisões; gerenciamento de projetos, com capacidade de atuar em equipe de forma colaborativa; realização de treinamentos focados nas necessidades da organização e disseminação de cultura de melhores práticas.
Acesse as edições mais recentes das publicações do Mercado
de Seguros
Revista Apólice: https://www.revistaapolice.com.br/2021/12/edicao-272/
Revista Cobertura: https://www.revistacobertura.com.br/revistas/revista-cobertura-238/#1
Revista Insurance Corp: http://insurancecorp.com.br/pt/content/pdf/ic_ed39_2021.pdf
Revista Segurador Brasil: https://revistaseguradorbrasil.com.br/edicao-169/
Revista Seguro Total: https://revistasegurototal.com.br/2021/12/20/elementor-43925/
Revista de Seguros : https://www.cnseg.org.br/publicacoes/revista-de-seguros-n-918-8A8AA8A37E8E18A1017EC49F825E169D.html
Conjuntura CNseg : https://cnseg.org.br/publicacoes/conjuntura-cnseg-n63.html