Como manter a compliance em TI?

A Tecnologia da Informação é estratégica para qualquer empresa. É a partir dela que a organização tem acesso a dados e informações relevantes, que ajudam a tomar decisões acertadas. Nesse cenário, surge a expressão compliance em TI, que indica um conjunto de boas práticas que podem ser usadas para aprimorar os resultados atingidos.

A ideia é facilitar a execução das atividades estratégicas e repassar o suporte demandado por outros setores. Ao mesmo tempo o compliance ajuda a aumentar o sucesso organizacional e a produtividade dos colaboradores. Portanto, é uma atitude colaborativa, que ajuda a empresa a alcançar seus objetivos.

A questão é: como manter a compliance no setor de TI? Essa é a resposta que apresentaremos neste post. Além disso, vamos explicar seu conceito, trazer exemplos negativos e as melhores práticas que podem ser adotadas.

Vamos lá?

O conceito de compliance em TI

A palavra compliance pode ser traduzida como conformidade. A ideia é garantir que a empresa cumpra os regulamentos, leis e normas reguladoras por meio da adoção de melhores práticas. Em outras palavras, a organização age de acordo com as regras estabelecidas no mercado.

Essa prática ajuda a inovar os processos e evitar multas e sanções. Da mesma forma a empresa assegura um posicionamento ético e estratégico, o que aumenta sua vantagem competitiva perante os concorrentes. No âmbito da TI o compliance atua de modo abrangente.

Além de se preocupar com as inovações tecnológicas — que muitas vezes esbarram em alguma legislação —, também se refere à segurança dos dados e atitudes relacionadas, como políticas de acesso e tecnologias que evitam fraudes. Um exemplo dessa situação é o monitoramento de e-mails, cuja responsabilidade é da organização, conforme a determinação judicial.

É importante destacar que o compliance é uma das bases da governança corporativa. No entanto, o segundo conceito, trata de políticas e métodos que direcionam o trabalho dos gestores e ajudam a planejar e controlar o uso da TI — no caso dessa atividade específica. Já as boas práticas ajudam a adequar a empresa às legislações existentes. Refere-se, então, a uma obediência maior às determinações externas. Essas duas atitudes são, portanto, complementares.

Os exemplos negativos

A ausência de práticas de compliance fazem com que a empresa esteja sujeita a riscos, entre eles a aplicação de multas e outros tipos de sanções. Para evidenciar essa questão, trazemos agora alguns exemplos negativos que devem ser substituídos na sua empresa:

Existência de Shadow IT

A chamada TI Invisível é referente a serviços, dispositivos e softwares utilizados sem o controle do departamento de Tecnologia da Informação e aprovação explícita da empresa. É o caso, por exemplo, de um colaborador usar um programa em nuvem sem que o gestor saiba o que está acontecendo. Estão incluídos nesse conceito a computação em nuvem, Bring Your Own Device (BYOD) e tecnologia de nicho.

Diversos riscos são gerados pela Shadow IT. Isso acontece porque as normas de segurança são ignoradas. Além disso, a experiência do usuário pode ser negativamente impactada, seja por dificuldades de conexão ou conflito de protocolos. Essa situação interfere no compliance quando um colaborador, por exemplo, armazena dados corporativos em uma conta pessoal de cloud computing.

Falta de licenciamento de softwares

Essa é uma situação bastante comum, mas que pode causar grandes prejuízos à organização. Um exemplo das perdas ocorreu com a Universidade Cândido Mendes, do Rio de Janeiro, que precisou leiloar o prédio em que funcionava para pagar a dívida de R$ 42 milhões com a Microsoft.

Perceba que a ausência de licenciamento leva ao pagamento de multas, além de a empresa ter que responder criminalmente pelo ato. A pena pode chegar a até 10 vezes o valor de varejo do sistema. Mais que a própria falta de permissão, outras situações estão relacionadas, como:

• ausência de um sistema de gestão de ativos;
• uso inadequado de mídias e licenças MSDN;
• suposição de que os registros dos fornecedores estão corretos;
• falhas na execução de auditorias periódicas;
• má compreensão dos direitos concedidos pela licença.

Falhas no programa de governança

A implantação dessa prática é um verdadeiro desafio, pois não há fórmula única. Tudo depende do contexto empresarial. Entre as principais consequências das falhas estão orçamentos estourados, prazos ampliados e resultados que não correspondem às expectativas. Quando aliada ao compliance, a governança tem mais possibilidade de ser eficiente. Afinal, o primeiro é a base para o segundo.

As melhores práticas

A compliance voltada para TI está sujeita a diversas leis. Entre elas estão:

• Provas Eletrônicas;
• Marco Civil da Internet;
• Lei de Software;
• Lei Home Office e Teletrabalho;
• Lei de Direitos Autorais;
• Lei Anticorrupção.

Para cumprir todas as determinações é necessário seguir algumas boas práticas. Confira as principais:

Adote soluções em nuvem

As ferramentas de cloud computing diminuem os custos das atividades e o trabalho executado pelas equipes. Em relação ao compliance, facilitam sua implementação, porque trazem mais aderência às diretrizes exigidas. Dessa forma, é desnecessário modificar sistemas ou desenvolver novos aplicativos a cada alteração, o que reduz os gastos e os riscos.

Tenha cuidado com o BYOD

A implantação desse conceito ainda traz dor de cabeça aos gestores. Segundo uma pesquisa da MDM Solutions e Integrare 360º, divulgada no site Inovação nas Empresas, 46% dos gestores acreditam haver dificuldades para a segurança, outros 31% temem pelo mau uso dos equipamentos.

De acordo com a Lei Anticorrupção, os conteúdos acessados pelos colaboradores são de responsabilidade da empresa. Por isso é preciso adotar procedimentos de segurança, como:

• assinatura de termos de responsabilidade;
• instalação dos mesmos sistemas antivírus usados na empresa;
• obrigatoriedade do uso de senhas com bloqueio automático;
• realização de backups periódicos na rede.

Adote soluções de governança corporativa

O compliance está diretamente relacionado à governança e a complementa. Ao adotar ferramentas adequadas fica mais fácil fornecer suporte para solucionar problemas de service desk e retirar a sobrecarga dos usuários, o que melhora a produtividade e até a postura dos colaboradores. As soluções ainda permitem a redução das interrupções e mais satisfação dos usuários.

Use uma ferramenta de monitoramento

O controle é a melhor forma de analisar a infraestrutura, experiências e aplicações do usuário. Com essa visão, é possível identificar e solucionar problemas que ocasionam ineficiência operacional. O resultado é o aumento da produtividade e o foco em atividades estratégicas.

Por sua vez, os serviços de sustentação da infraestrutura de TI — como ambiente de virtualização, armazenamento e banco de dados — são terceirizados. Com isso também se consegue saber o que é efetivamente relevante para o negócio.

Agora que você viu como manter a compliance em TI, basta seguir as dicas no dia a dia da sua empresa. Quer ver mais recomendações para melhorar a sua organização? Siga os nossos perfis no Facebook, YouTube, LinkedIn e Twitter!