O setor de tecnologia da empresa se relaciona com outros setores, cuida de toda a infraestrutura de softwares e hardwares do negócio e é responsável pela segurança dos dados que o negócio transita e utiliza nas rotinas de todos os departamentos.
Diante disso, o compliance em TI é necessário para garantir a segurança das informações, respeitando leis que tratam do assunto, como a LGPD, assegurar que o setor mantenha boa gestão de uso da infraestrutura e fazer com que o relacionamento com as demais áreas seja o melhor possível. Ou seja, manter a conformidade legal, operacional e de acordo com as políticas internas.
Veja como o compliance do departamento de tecnologia é importante para a empresa como um todo.
Controle de acessos
A responsabilidade do TI, e de seu programa de compliance nesse sentido, é a de permitir que apenas pessoas autorizadas acessem determinados dados, softwares e funcionalidades.
Evitar acessos indevidos protege a organização contra desvios de vários tipos e outros atos vedados, inclusive ilícitos.
Prevenção contra extração indevida de dados
Todos os dados com os quais a empresa trabalha devem ser centralizados na sua infraestrutura. Para isso, dentro do planejamento de conformidade e integridade da TI, faz-se a adoção de boas práticas de gestão de dados e uso de ferramentas.
Por exemplo, os profissionais de tecnologia não permitem que sejam utilizadas planilhas manuais e individuais para o controle de contas a pagar e receber, mas sim software financeiro, ERP ou mesmo mais de uma ferramenta, ligadas por meio de integração.
Dessa forma, nenhuma pessoa tem controle total sobre informações que armazena em planilhas ou nuvem de dados própria. E caso sejam extraídos dados da infraestrutura para algum destino fora dela, isso pode ser identificado pelos registros de ações dos usuários, o que abordaremos no próximo tópico.
Registros das ações de usuários
As tarefas e outras ações realizadas dentro da infraestrutura de tecnologia devem ser registradas para que todos possam saber qual usuário foi o responsável por cada ação tomada nos sistemas. Esse detalhamento é importante ainda porque para determinados módulos ou funções mais de um profissional pode ter acesso e licença de uso. Com os registros, é possível saber exatamente quem fez algo que mais de uma pessoa poderia ter feito.
Ocorrendo erros, ações proibidas ou ilegalidades, os registros de ações evitam que o responsável se esconda entre outros usuários ou mesmo coloque a culpa em terceira pessoa, sendo identificado automaticamente independentemente do tamanho da equipe de seu setor.
Uso correto de softwares licenciados
As licenças de softwares são regulamentadas por leis, assim como existem os contratos com direitos e deveres próprios da empresa e do fornecedor pelo relacionamento firmado entre eles.
Não contar com um bom programa de conformidade para a infraestrutura de tecnologia facilita a ocorrência de erros que ferem leis ou contratos de serviço, pelo que a empresa pode ser multada ou até processada.
Cumprimento de SLAs
SLA, de Service Level Agreement (Acordo de Nível de Serviço) é um documento no qual a área de tecnologia formaliza qual é a sua relação com outros setores, incluindo pontos como limites de responsabilidades, obrigações das partes, direitos dos envolvidos e indicadores de medição de conformidade e desempenho.
O compliance em TI também cuida para que o SLA seja cumprido, já que o desrespeito às diretrizes dele afeta a produtividade e os resultados da empresa.
Por exemplo, se consta no SLA que os profissionais de tecnologia precisam aplicar uma solução paliativa em até 24 horas (enquanto a mais complexa e permanente é pesquisada e desenvolvida) para um bug de sistema, significa que tal prazo, para os processos e recursos envolvidos, é importante para não interromper as rotinas. Logo, a conformidade com o SLA é preocupação do programa de compliance em TI.
Políticas de aquisição e contratação de produtos e serviços
Grande parte da infraestrutura (softwares e hardwares) é terceirizada, quando não toda. Por isso, para evitar que o gestor de TI faça compras e contratações fora das políticas da empresa, um processo de Due Dilligence, trazido do programa global, tem de estar à disposição desse gestor.
Assim, o profissional não realiza compras em desconformidade com o programa de compliance, o que inclui prevenção contra realização de negócios que poderiam representar riscos à empresa.
Cooperação com o programa global e programas setoriais
Os planos de integridade e conformidade fora da área de TI têm responsabilidades como evitar corrupção corporativa, respeitar leis de âmbitos diversos e manter as rotinas dentro do que foi padronizado após testes e validação. E a infraestrutura de tecnologia tem ligação com todos esses planos (e com as possíveis brechas que pessoas mal intencionadas podem utilizar para ações proibidas).
Por exemplo, para desviar dinheiro da empresa é necessário ter acesso a funcionalidades específicas, seja esse acesso autorizado ou não. Se materializando esse tipo de ocorrência, cabe ao setor de TI documentar as ações mapeadas e entregar o material a um superior, ou utilizar os canais de denúncia da própria área ou globais para comunicar o problema.
No exemplo, o compliance em TI cooperou com o programa de compliance financeiro e com o global, identificando uma ilicitude e os responsáveis, ajudando a empresa a manter sua integridade e seu compromisso com os stakeholders.
Adequação à LGPD
O departamento de tecnologia e o programa de compliance são fundamentais para que o negócio tenha rotinas que respeitem os mais diversos pontos dessa lei, seja com a TI aplicando parâmetros e configurações solicitados por outros setores ou mesmo agindo de maneira proativa para adequar a organização a regramentos da LGPD.
Por exemplo, se após determinado período um tipo de informação de possíveis clientes deixa de ser útil para a empresa cumprir com os objetivos pelos quais essa coleta foi feita, o setor de marketing pode solicitar que a TI programe os sistemas para exclusão automática de tais dados após o período destacado (ou ajude os usuários a aplicar essa funcionalidade).
Assim como tratar dados somente até o limite da utilidade deles para o cumprimento dos objetivos (caso do exemplo acima), monitorar e manter a segurança dos bancos de dados também é ordenamento da LGPD, tarefa que prontamente o setor de tecnologia realiza como rotina e gestão de infraestrutura.
Como pôde perceber, os temas têm relação muito próxima. E para saber mais sobre essa relação e a importância do compliance para adequação da LGPD, leia este outro texto.
