por CódigoConduta.com | 7 fev 2019 | Notícias
Implementar um Programa de Integridade, ou de Compliance, deixou de ser exclusividade de grandes organizações multinacionais para se tornar uma ferramenta de gestão para empresas de todos os portes e segmentos de negócio. E cada vez mais executivos do alto escalão estão tendo essa percepção.
Contudo, como todo tema relativamente novo, ainda existem alguns mitos em relação aos investimentos necessários para desenvolver ações e adotar ferramentas para sofisticar as ações de Compliance dentro de uma organização e os custos de não fazê-lo.
Nesse contexto, um estudo com 46 empresas chamado de The True Cost of Compliance, realizado pelo Ponemun Institute LLC, traz dados valiosos.
O principal deles diz respeito aos custos relacionados à ausência de investimentos financeiros para desenvolver uma apurada análise de riscos, desenvolver e aplicar um Código de Conduta, implantar ferramentas de Canal de Denúncias e monitorar o desenvolvimento do Programa de Integridade.
Além das possíveis multas e sanções e dos custos reputacionais, restou claro que a falta de Compliance pode acarretar em perdas operacionais e disrupções no negócio. E o custo do “não-Compliance” foi estimado no triplo dos investimentos necessários com a implantação de um Programa de Integridade efetivo.
Para Cynzia Fontana, Sócia-Diretora da CódigoConduta.com, “é melhor prevenir do que remediar. É quase impossível estimar o quanto um escândalo de corrupção ou um notório caso de assédio sexual, por exemplo, pode afetar o seu negócio sob o ponto de vista financeiro, operacional e, principalmente, reputacional. Tanto quanto é difícil apresentar os benefícios intangíveis de ter um Programa de Integridade, relacionado à construção de um ambiente organizacional e institucional ético”.
Nessa mesma lógica, vale ressaltar que os dados do estudo não contemplam as vantagens marginais da existência de um Compliance efetivo, tais como, a melhora na percepção da imagem da empresa perante seus clientes, fornecedores e parceiros de negócio e a contribuição para a concepção de um ambiente de negócios mais íntegro.
“O Compliance vai muito além do respeito às normas. Trata-se da necessidade iminente de construirmos uma sociedade mais ética de dentro para fora, a partir das organizações e das instituições públicas. Os benefícios podem até ser de algum modo intangíveis, mas a perenidade e a imagem forte das organizações que adotam Programas de Integridade Efetivos demonstra sem sombra de dúvidas que estamos diante de um novo panorama”, completou Cynzia Fontana.
por Fernando Henrique Zanoni | 4 fev 2019 | Artigos
A Série “LGPD na Prática” continua a todo vapor.
Se em capítulos anteriores foi possível apontar quais são as empresas afetadas pela Lei Geral de Proteção de Dados (LGDP), qual a melhor forma para implementar e manter uma estrutura de governança de dados, como preservar um inventário de dados pessoais e mecanismos de transferência, de que maneira deve-se executar uma política de privacidade, como a nova regulamentação influenciará nas rotinas e como cumprir um cronograma interno de treinamento e comunicação, neste sétimo artigo irei explanar de que modo deve-se gerenciar os riscos relacionados à segurança da informação, ou seja, como manter um sistema baseado nos requisitos legais e nas principais ameaças as quais a organização está submetida.
Quando tratei da manutenção de uma estrutura de governança de dados, logo no Capítulo Dois da Série, um dos pontos abordados foi a necessidade de realizar periódicas avaliações de riscos, visando criar uma cultura interna e aprimorar os controles e sistemas de segurança. Contudo, o que se percebe é que são poucas as organizações maduras o suficiente neste particular, o que dificulta o entendimento de como se preparar para as adversidades.
Nesse sentido, cito algumas medidas a serem adotadas para aperfeiçoar ou sofisticar o gerenciamento dos riscos:
1. Integrar o risco de privacidade de dados em avaliações de risco de segurança. Identificar de maneira precisa todas as ameaças e vulnerabilidades relacionadas ao negócio é um trabalho que está intimamente ligado à criação de um inventário de dados, tratada em capítulo próprio, ao mapeamento de acessos e de dispositivos ligados à rede de computadores de uma organização. Com a identificação de gaps e das áreas ou dos processos mais sensíveis dentro da infraestrutura de segurança da informação será possível estabelecer uma matriz de riscos específica, considerando impacto e probabilidade das principais ameaças para, posteriormente, integrá-la a uma matriz global.
2. Manter medidas técnicas de segurança visando evitar, neutralizar ou mitigar os riscos identificados. Conforme dito anteriormente, testes de detecção e prevenção de penetração, a serem realizados regularmente nos sistemas de TI, e de restauração do acesso a dados pessoais, no caso de eventuais violações, além da adoção de salvaguardas que evitem, neutralizem ou mitiguem riscos, considerando não só a segurança cibernética (rede, sistemas, dados), mas também a segurança física, relacionadas aos dispositivos, tudo adequado à complexidade das operações e a infraestrutura da organização. Neste particular, caso uma falha/vulnerabilidade seja descoberta, ela deve ser classificada e um plano de ação deve ser imediatamente proposto.
3. Manter medidas para criptografar dados pessoais. A criptografia é uma função que usa uma chave para codificar os dados para que apenas usuários com acesso a essa chave possam ler as informações, fornecendo proteção contra o processamento não autorizado ou ilegal de dados pessoais, contudo não pode ser usada em todo tipo de operação. Além disso, deve-se ter em mente que a própria conversão de dados pessoais de texto simples em texto cifrado representa um processamento, de modo que, ainda que criptografados, estes continuarão sendo regidos pela LGPD. Ademais, o bom gerenciamento das chaves de codificação é fundamental, do contrário o sistema de segurança não será efetivo. Recomenda-se, no caso de adoção dessa proteção, que sejam criadas diretrizes, como uma política ou procedimentos específicos, determinando que tipo de dados devem ser criptografados e/ou protegidos com uma senha.
4. Restringir o acesso a dados pessoais. O acesso aos dados pessoais, conforme já tratado no Capítulo 5, deve ser restrito àqueles colaboradores ou terceiros com necessidade legítima. Para tanto, controles devem ser implementado, adicionando, modificando ou até mesmo excluindo perfis de usuários, garantindo ainda que o acesso seja autorizado por alguém com nível apropriado de autoridade para autentica-los, segregando funções de modo a evitar que possam existir conflitos ou que se aumente o risco de segurança ou de privacidade.
5. Manter medidas de segurança de recursos humanos. Às organizações que processam dados pessoais sugere-se a adoção de salvaguardas que garantam que as pessoas que acessam essas informações mantenham cargos de confiança ou, ao menos, assinem termos de responsabilidade e confidencialidade específicos. Deve-se adotar, também, procedimentos que assegurem que quando empregados deixam a organização ou são transferidos, sejam tomadas medidas imediatas a fim de restringir o acesso a sistemas de informação e/ou instalações que abriguem dados pessoais, de modo que nenhum dado permaneça sob custódia de tais profissionais após sua transferência ou rescisão de contrato.
6. Integrar a privacidade de dados nos planos de continuidade de negócios. A adoção de um plano de continuidade de negócios e de recuperação de desastres (Data Loss Prevention) é crucial para que a organização defina estratégias no caso de ocorrência de quaisquer incidentes que afetem seus sistemas de informação e, consequentemente, que possam acarretar na perda ou vazamento de dados ou informações confidenciais. A virtualização de servidores físicos reduz consideravelmente a dependência de hardware e acelera substancialmente a velocidade de recuperação, quando necessária.
7. Manter uma certificação de segurança (por exemplo, ISO 27001). Recomenda-se que as organizações submetam-se a auditorias específicas e avaliem postular por certificações, tais como, por exemplo, a ISO 27001, de modo que se evidencie a existência e efetividade dos controles correspondentes aos sistemas de segurança da informação, proteção de dados, privacidade e governança.
No próximo capítulo, irei discorrer sobre como administrar riscos de terceiros.
Para acessar o primeiro capítulo da Série, clique aqui.
Para acessar o próximo capítulo, clique aqui.
Comentários