Em tempos atuais de turbulências corporativas, a questão do Compliance (conformidade com a legislação e comportamentos definidos) tem sido mais fortemente debatida. Em relação ao recurso informação, para se estar em Compliance é fundamental a existência de um Processo Corporativo de Segurança da Informação. Compliance não acontece sem a segurança da informação! A segurança da informação é a base para um processo de Compliance Corporativo.
Mas como desenvolver uma Gestão de Compliance da Informação? Descrevemos abaixo as etapas necessárias para que uma organização desenvolva e mantenha a sua informação ou a informação que está sob sua responsabilidade, de maneira adequada aos requisitos de conformidade exigidos.
1. Identifique seus direcionadores
Inicialmente, para realizar uma Gestão de Compliance da Informação, é necessário identificar quais são os direcionadores obrigatórios que a organização precisa seguir, precisa estar em conformidade, isto é, precisa estar Compliance.
Definimos como Direcionadores Obrigatórios:
- Legislação (nacional ou de outros países).
- Regulamentos específicos de um determinado segmento (exemplo das instituições financeiras).
- Exigências de mercado (pode ser uma certificação).
- Regras definidas pela própria organização, como Código de Conduta, Código de Ética, Código de Transparência da Informação.
- Algum elemento específico para a organização.
Exceto em relação à legislação e regulamentos setoriais, que todas as organizações são obrigadas a cumprir, os demais direcionadores vão depender do que a organização deseja. Sendo assim, está em conformidade pode ser diferente para organizações diferentes. O exemplo mais simples é o Código de Conduta. Apesar de todas as organizações possuírem um belo e exemplar texto, o que vale na prática é a prática do Código de Conduta.
2. Identifique quais são os controles exigidos pelos direcionadores
Cada direcionador define uma série de controles que devem ser desenvolvidos, implementados e mantidos (sustentados) ao longo do tempo pela organização. Algumas definições são amplas e bem conceituais, dando margem a várias interpretações para a sua implementação. Outras definições, por sua vez, são bastantes específicas e de fácil verificação o seu funcionamento.
Para os controles mais conceituais, explicite o que significa seguir esses controles. É necessário que toda a organização e principalmente o seu Corpo Diretivo entenda e esteja ciente das consequências do atendimento a esses controles.
3. Defina uma Arquitetura de Segurança da Informação
Para a existência de um Processo Corporativo de Segurança da Informação, é necessário um passo anterior: a definição de qual arquitetura iremos seguir. Existem diversas arquiteturas e cada uma com suas características. Pessoalmente, entendo que a arquitetura definida pela Norma NBR ISO/IEC 27002 é um padrão aceito internacionalmente e de fácil entendimento, além de já ser uma norma ABNT e de fácil acesso para todas as organizações. Mas a sua organização pode ser obrigada a seguir alguma outra, como o NIST do governo norte-americano. O importante é que fique explícito para todos qual arquitetura que a organização segue.
4. Avalie a Arquitetura de Segurança e os Controles dos Direcionadores
Tomando por base o conjunto de controles (amplos ou específicos) definidos nos direcionadores obrigatórios, verifique se a Arquitetura de Segurança da Informação adotada atende ou possibilita atender a esses controles. Como dissemos anteriormente, talvez a arquitetura não defina especificamente o controle necessário, mas se essa arquitetura contempla o assunto do controle, podemos assumir que ela é adequada.
Nesta etapa, caso a arquitetura adotada considere os controles exigidos pelos direcionadores corporativos, podemos afirmar que a Gestão de Compliance da Informação poderá acontecer de maneira adequada
5. Avalie a efetividade do funcionamento dos controles da Arquitetura de Segurança
Esta é a etapa da verdade! Avalie a maturidade do atendimento dos controles. É neste ponto que concretamente saberemos se a organização está adequadamente em conformidade com os direcionadores. Podemos afirmar que nesta etapa a Gestão de Compliance da Informação acontece. Ou não.
Uma sugestão: se você vai realizar a primeira avaliação, considere inicialmente os macrocontroles. Outra opção para organizações muito grandes é considerar um determinado escopo. Temos que ter o cuidado com o tamanho do projeto de avaliação de maturidade dos controles.
6. Divulgue o Nível de Compliance e planeje as ações de melhoria
O nível atual de Compliance da Informação da organização deve ser divulgado internamente com o Corpo Diretivo. Porém, não se encerra com essa atividade. É necessário, considerando o não atendimento dos controles de Compliance de Informação, a elaboração de um planejamento de ações para que a organização atinja o seu patamar adequado de Compliance da Informação.
7. Estamos falando de Gestão de Compliance
Muitas vezes, o Compliance é tomado como um fato. É necessário encarar uma Gestão de Compliance e, no nosso caso, uma Gestão de Compliance da Informação. Sendo assim, é necessária a realização das etapas anteriores em um ciclo de gestão, em um ciclo de melhoria (tipo PDCA).
A colaboração da Segurança da Informação com o Compliance da Informação se encaixa como peças de um quebra-cabeça cujo objetivo é o atendimento dos objetivos corporativos. O mais importante é as peças se encaixarem e que o conjunto seja terminado.
Normalmente se destaca o Compliance pelo seu valor legal, mas Compliance é mais do que legislação – é atendimento ao que a organização quer considerar como direcionador.
E Segurança da Informação é mais do que Compliance. Sendo assim, a junção de Segurança da Informação e Compliance protege a informação e permite a sustentabilidade da organização.