Os ambientes de riscos de TI e compliance mudam constantemente. Para se manter competitiva, uma empresa precisa adotar uma estratégia de governança, gestão de riscos e compliance que acompanhe as constantes mudanças no ambiente de negócios e na regulamentação. É preciso, também, atender às crescentes expectativas de acionistas e clientes. Contudo, o alinhamento dessa estratégia com as melhores práticas de segurança da informação pode gerar impactos bem mais proativos à corporação do que a mera adoção de uma ingênua postura reativa, focada apenas em requisitos de conformidade regulatórios.

A busca por compliance com normas e legislações internacionais, tais como ISO-27001, HIPAA, SOX, SAS-70 II, é, sem dúvida, muito importante, tendo ajudado no amadurecimento da área de segurança da informação. Além disso, um estudo comparativo feito pelo portal IT Service Strategy demonstra que 90% dos requisitos regulatórios associados à segurança são idênticos. Os regulamentos podem adicionar ou remover um requisito aqui ou ali, mas, na maioria das vezes, eles tentam atingir o mesmo objetivo. Se a empresa, portanto, abordar os 90% e, em seguida, buscar os requisitos adicionais, ela “deve” estar em conformidade com todos eles.

Mas segundo o professor e consultor Marcello Zillo, várias empresas erroneamente afirmam: “O importante é estar compliance, vamos fazer o mínimo necessário para isso”. Desse modo, elas fazem pouco caso de diversos aspectos da segurança da informação que, embora relevantes, não são imperativos à obtenção de compliance – o que é um enorme equívoco. Caso uma empresa adote essa postura, este artigo deve ser lido até o fim.

Pergunto ao leitor: estar compliance é sinônimo de “estar seguro”? Até que ponto a conformidade regulatória pode fornecer à empresa uma falsa sensação de segurança, colocando em alto risco informações vitais ao negócio? É possível estar compliance e seguro?

Na minha opinião, estar compliance não garante que seu negócio esteja seguro. Pode, talvez, aliviar um pouco a responsabilidade da área de segurança da informação da empresa, porém, é preciso estar mais do que compliance para uma empresa poder se considerar genuinamente segura. É preciso estar compliance e também seguro, em um perfeito alinhamento estratégico mútuo, sendo que estar compliance é o mínimo necessário e desejado.

A adoção de um eficiente programa de compliance, em paralelo à introdução de mecanismos mais eficazes para controle de segurança da informação em meio digital – como a opção por um provedor de serviços gerenciados de segurança (MSSP) –, constituem excelente rumo a ser seguido. Em particular, com um serviço MSS, a equipe interna de segurança da informação de uma empresa pode manter um foco estratégico em apoio ao programa de governança, gestão de riscos e compliance, uma vez que pode delegar as atividades de nível operacional da segurança da informação digital corporativa a um provedor especializado em serviços gerenciados de segurança.

Paulo Sérgio Pagliusi (anna.malatesta@rmacomunicacao.com.br) é gerente de produtos e processos da Arcon.

Artigo encaminhado por Anna Malatesta (anna.malatesta@rmacomunicacao.com.br) e Ivanir Costa (ivanir.costa@rmacomunicaco.com.br), da RMA Comunicação