Chegamos a um ponto da economia em que não existe como sustentar o desenvolvimento de uma empresa ignorando a infraestrutura de TI. E é justamente por isso que decidimos elaborar este conteúdo sobre compliance em TI e falar um pouco de Shadow IT, um grande desafio nos dias atuais.
Afinal, apesar desse segmento ser disruptivo e, geralmente, parecer imaginariamente ilimitado, vale lembrar da importância em garantir a adequação às leis e normas que regulamentam o ambiente no qual a sua empresa está posicionada. Sendo assim, acompanhe este artigo e aprimore o seu repertório nesse universo!
O que é Compliance em TI?
Compliance é um termo inglês que, em nosso idioma, aponta o ato da conformidade, de agir adequadamente, seguindo os parâmetros de um setor, sem abusos, desvios ou interpretações soltas. Grosso modo, trata-se da importância de operar dentro das regras.
Logicamente, em nosso portal priorizamos a aplicação dos conceitos no segmento tecnológico. Mas, aqui, vale perceber como compliance é uma necessidade universal para todo o meio corporativo, pois apenas assim é possível garantir um ambiente de competição saudável entre os diferentes jogadores de cada mercado.
Voltando a nossa atenção para a TI, percebemos a extensão desse conceito, em que as empresas desse setor precisam estar atentas a:
- Legislações municipais, estaduais e nacionais — em testes de protótipos físicos e digitais de alguma solução tecnológica;
- Licenças de utilização de serviços — na utilização de softwares com chaves de autenticação;
- Responsabilidade corporativa — no monitoramento dos e-mails empresariais.
Quais são as leis existentes para garantir a sua adequação?
As empresas de TI não estão isentas da observância às regulamentações gerais do Estado. Pensando nisso, compilamos as principais legislações a serem observadas, entendendo o papel da sua empresa perante cada uma delas. Veja!
Provas eletrônicas
Conhecida legislativamente sob o nº 12.850 de 2013. Essa lei determina a configuração de organização criminosa, delineia as regras observadas durante uma investigação criminal e, por fim, descreve os meios para a obtenção de provas. É justamente nesse último ponto que a infraestrutura de TI se encaixa, pois, devem obedecer a solicitação do Estado caso seja judicialmente sustentado o pedido de quebra do sigilo de informações.
Marco Civil da Internet
Conhecida legislativamente sob o nº 12.965 de 2014. Essa lei estabelece os parâmetros gerais da Internet, discorrendo sobre princípios, direitos e deveres durante sua utilização. Em suma, o artigo 3º dessa lei ressalta as obrigações de todos aqueles que usam a rede. Para as empresas de TI, destacam-se pontos como a proteção da privacidade privada e individual, garantia da neutralidade e preservação da estabilidade.
Direitos autorais
Conhecida legislativamente sob o nº 9.610 de 1998. Como sugere o nome, essa lei discorre sobre todas as eventualidades em que são reconhecidos os direitos de autoria por determinada obra, contribuição, projeto e solução, tanto no plano físico quanto digital. As empresas de TI devem se atentar para a utilização de artes não remuneradas/atribuídas, bem como todo tipo de apropriação inadequada da propriedade intelectual de terceiros.
Anticorrupção
Conhecida legislativamente sob o nº 12.846 de 2013. Essa lei determina a responsabilização civil e/ou administrativa de empresas em atos nocivos contra a administração pública brasileira e/ou internacional. Essencialmente, as empresas de TI devem seguir os parâmetros de uma ética inflexível, desconsiderando toda prática que resulte em benefícios próprios em função de algum Governo, seja nacional ou estrangeiro.
Software
Conhecida legislativamente sob o nº 9.609 de 1998. Uma leitura fundamental a todas as empresas de TI, esse texto legislativo discorre sobre a caracterização e defesa da propriedade intelectual em programas computacionais, regulamentando sua comercialização e uso por pessoas físicas e jurídicas. Para as empresas de TI, ressalta a importância em contar com softwares licenciados para todas as máquinas que compõem sua operação.
Tratamento de Informação Classificada
Conhecida legislativamente sob o nº 7.845 de 2012. Outra lei de leitura fundamental, sobretudo para as empresas de TI envolvidas com o repasse e armazenamento de comunicações e documentos do Governo Federal. Afinal de contas, essa é a lei que discorre sobre os procedimentos e normas que regulamentam os processos para o tratamento de informações confidenciais e sensíveis à segurança nacional.
Qual a importância de se utilizar uma ferramenta de monitoramento?
Aqui, temos o ponto mais importante aos gestores das empresas desse setor. Tratando-se de um segmento tão flexível, torna-se importante dispor de ferramentas que possam impedir os desvios éticos, intencionais ou ingênuos por conta dos colaboradores. Nesse sentido, listamos os principais problemas que podem ser evitados pelas empresas que investem no monitoramento de suas operações. Veja!
BYOD
Essa sigla remete à terminologia inglesa Bring Your Own Device, um conceito que pode ser interpretado como “traga o seu próprio dispositivo”, em nosso idioma. Apesar de garantir conforto aos funcionários, essa solução pode reverter alguns impactos negativos sob o ponto de vista legal.
Conforme observa a lei nº 12.846/2013 (Anticorrupção), todos os conteúdos acessados pelos funcionários serão interpretados como responsabilidade da sua empresa. Nesse contexto, pode ser interessante tomar medidas auxiliares, permitindo o uso dos dispositivos pessoais na hipótese de que os colaboradores:
- Assinem um termo de responsabilidade, reconhecendo as condições e isentando o empregador;
- Aceitem a utilização do mesmo antivírus utilizado pela intranet da empresa, bloqueando o acesso ao seu computador pessoal com senha ou outro método de validação com eficiência igual ou superior.
Shadow IT
Esse é um problema que pode ser consequência do BYOD mal supervisionado. Shadow IT é um termo que define toda a atividade computacional invisível à equipe de supervisão. Ou seja, os colaboradores podem estar acessando todo tipo de informação que ocasione ociosidade ou um eventual problema legal para a empresa, como a utilização de softwares não licenciados.
Assim, concluímos que as ferramentas de monitoramento são fundamentais para a operação legal da sua empresa. Afinal de contas, chega a ser utópico considerar apenas a colaboração ética dos seus funcionários. Sejam quais forem os números, de mil colaboradores, basta que um transgrida para ocasionar problemas legais à sua operação.
Shadow IT representa um desafio crescente nas organizações, frequentemente desencadeado pela falta de supervisão efetiva do Bring Your Own Device (BYOD). Esse fenômeno refere-se às atividades computacionais que escapam à detecção e controle da equipe de supervisão de TI.
Colaboradores, inadvertidamente ou intencionalmente, podem acessar uma variedade de informações, potencialmente resultando em ociosidade ou, mais preocupante, em problemas legais para a empresa, como o uso de softwares não licenciados.
Além disso, a presença de Shadow IT destaca a necessidade urgente de implementação de ferramentas de monitoramento para garantir a conformidade legal nas operações da empresa.
Ressalta-se que confiar exclusivamente na colaboração ética dos funcionários é utópico. Independentemente do tamanho da equipe, a transgressão de apenas um indivíduo pode acarretar implicações legais significativas para a organização.
Em vista disso, é obrigatório investir em estratégias proativas de Compliance em TI e mitigar os riscos associados ao Shadow IT.
Gostou deste artigo esclarecendo o papel de Compliance em TI? Então aproveite para aprofundar os seus conhecimentos nesse setor, conferindo nosso artigo especial sobre como melhorar a segurança da informação na sua empresa!
