Por: IT Forum 365 | Data: 04/05/2020 22:00
No dia 6 de abril de 2011, eu, Marcos Assi, publiquei um artigo falando sobre a importância do Compliance em Tecnologia da Informação (“TI”), e um amigo, me enviou uma mensagem sobre a importância do tema, que há muito tempo já devia fazer parte dos planejamentos estratégicos e dos planos de negócios e deveriam avaliar e implementar, mas vamos ao que interessa.
Há alguns anos, os cursos de graduação de Gerenciamento de Rede, Ciências da Computação, Sistemas de Informação, Engenharia de Computação, entre outros, não faziam parte de nosso dia a dia. Falar em acesso remoto era complicado, falar de home office então, somente para alto escalão da organização ou para um grupo seleto de profissionais.
Pensando um pouco na modernidade que a TI e as facilidades que ela proporciona, será que, em breve, não poderemos reduzir as visitas ao escritório e trabalhar à distância? Mas como monitorar isto tudo? Será que a cultura operacional do pessoal mudará? E o Compliance, como estará neste contexto?
Acredito que, em algum momento, devemos pensar nisso. Afinal, nos grandes centros urbanos, levamos, em média, de duas a quatro horas diárias em trânsito, portanto este tempo não poderia ser mais bem aproveitado em casa mesmo? Hoje já existem empresas com este tipo de modalidade de trabalho, mas e a segurança da informação e as políticas da empresa, que mesmo na condição do trabalho em escritório já se mostram um desafio, imaginem isto à distância.
Não podemos deixar de lado esta possibilidade, que parece filme de ficção cientifica, mas a legislação trabalhista necessita mudar também. Hoje, o formato é outro e o pessoal de Compliance pode ficar louco em administrar esta tal governança de TI remota.
Algumas empresas têm flexibilidade de horário e atividades por tarefas, que já causa uma enormidade de problemas para as organizações, pois fogem da caixinha pré-estabelecida pela legislação. Mas até quando devemos manter isso desta forma?
A justiça está em volta com uma enormidade de ações trabalhistas que não contemplam estas mudanças nos perfis profissionais da turma de Governança de TI. Há alguns anos tínhamos especialista em fraude contábil ou documental, mas e a fraude forense, como tratá-la?
Portanto, devemos buscar atualização de nossas atividades e, sempre que possível, trocar ideias com as modernidades de TI com estes profissionais, além de que devemos evidenciar que uns alunos destes cursos de graduação com foco em TI vão terminá-los com metade das disciplinas totalmente defasadas.
Devemos acompanhar bem de perto todas as mudanças, sejam elas por necessidade de melhores práticas, por custos ou por imposição dos órgãos reguladores, mas não podemos deixar de lado. O Compliance de TI ou operacional deverão estar andando lado a lado com estas áreas na organização, sob pena de perder espaço no mundo corporativo.
Mas como estamos falando em Compliance em TI, precisamos entender que trata se do conjunto de boas práticas, normas e procedimentos que tem como objetivo dar segurança e confiabilidade para que as empresas exerçam suas atividades de forma correta, atendendo a legislação e as normas internas da organização, evitando perdas financeiras, sanções, multas e também protegendo a imagem da empresa, acionistas e demais stakeholders.
O Compliance em TI está relacionado ao Framework de Governança de TI e por vezes existe até uma certa confusão entre estes dois temas. Mas para esclarecer este ponto, mas sem entrar na profundidade da matéria, aos olharmos os objetivos do COBIT, podemos constatar que a conformidade com a legislação e políticas internas são somente uma parte integrante, porém importante do modelo de governança de TI.
Com o atual momento que a humanidade enfrenta com o COVID-19, o desafio e as dificuldades que foram impostas ao mundo corporativo foram multiplicadas. Nunca se ouviu tanto falar em Plano de Continuidade de Negócios, Gestão de Crises e Risk Assessment, que apesar de não serem temas recentes, não faziam parte do dia a dia de grande parte das pessoas que compõe as organizações. Estes temas sempre foram de interesse e preocupação das pessoas que exercem funções na segunda e terceira linha de defesa das organizações, que insistiam na necessidade da implementação e manutenção destes planos e sem querer generalizar foram desprezados pela alta administração das empresas.
Todas as pessoas e corporações, em menor ou maior grau, foram atingidas pela crise gerada pela pandemia, mesmo aquelas que possuíam os planos de continuidade de negócios, comitês de crise e o risk assessment atualizados, provavelmente não tinham previstos impactos da grandeza que estamos enfrentando. Na situação corrente da pandemia, dentro da abrangência do Compliance de TI, as principais preocupações devem estar no uso de novas tecnologias, segurança dos dados, política de controle de acessos e nos riscos de fraudes cibernéticas.
Os impactos para as empresas que já tinham iniciando a jornada na era digital, provavelmente passam por um menor sofrimento quanto ao uso de novas tecnologias, mas não é a realidade da maioria das empresas. A crise atual tem proporcionado uma aceleração, que fez com que as empresas se viram da noite para o dia, obrigadas a colocar seus empregados trabalhando em home office, tendo que buscar novos canais e formas de chegar a seus clientes, fornecedores e parceiros comerciais.
A Lei 12.551/2011 que altera o artigo 6o. da Consolidação das Leis do Trabalho (“CLT”), faz a primeira menção ao home office, no caso chamado de teletrabalho. Mas a modalidade foi de fato regulamentada durante a reforma trabalhista pela Lei 13.467/2017, que definiu os critérios desta modalidade de trabalho. Com a pandemia uma série de medidas foram decretas pelo governo federal, a Medida Provisória 927 estabelece critérios de flexibilização na esfera trabalhista, fornecimento de equipamento e ferramentas para possibilitar o teletrabalho. Avaliar a aderência das medidas adotadas pela organização relacionadas a esta modalidade, bem como acompanhar as constantes atualizações e alterações nas legislações vigentes sobre o tema tornou se papel importante da função de Compliance de TI nos tempos atuais.
As novas formas e canais digitais em uso para chegar aos clientes, fornecedores e parceiros comerciais que precisam ser implantados para manter a continuidade dos negócios, também pode trazer riscos relacionados não são a conformidade com as leis, mas também riscos de segurança de informação e proteção de dados. Avaliar estes riscos e trabalhar junto as áreas de Segurança da Informação para implementar ações e controles mitigatórios são primordiais para o momento atual.
Da mesma forma a avaliação e revisão das políticas e controles de acesso aos sistemas, bem como a conscientização dos usuários sobre estes acessos e sobre as fraudes cibernéticas é crucial neste momento cesta crise sem precedentes na nossa história.
Segundo um recente artigo publicado pela ACFE os americanos sofreram prejuízos da ordem de US$ 13,4 milhões de fraudes relacionados a COVID-19. A maior parte destas fraudes são relacionadas a ataques cibernéticos. Esquemas de Pishing Scams, na qual os fraudadores utilizam de e-mails contendo links para falsas orientações da Organização Mundial de Saúde, bem como falsos esquemas de arrecadações de fundos e doações para entidades de caridade ou mesmo sites de internet oferecendo produtos e curas milagrosas para a doença, mas que tem como intenção infectar o computador das pessoas com malwares ou obter dados pessoais e sigilosos dos usuários, estão entre os tipos mais comuns de fraudes cibernéticas neste momento.
O momento atual requer das organizações vigilância e atenção aos processos, sistemas e controles, mas principalmente no cuidado com as pessoas. Cuidar do maior bem da organização e proporcionar condições para que estas consigam desempenhar suas atividades com segurança, preservando a saúde individual dos empregados e familiares é de suma importância. Adicionalmente treinar, educar e conscientizar as pessoas sobre estes riscos, promovendo um fluxo de informações transparente e confiável. Da mesma forma dedicar atenção para seus clientes, fornecedores e demais stakeholders garantindo a continuidade dos negócios e visando o bem-estar da comunidade em que a empresa está inserida.
A melhor prática é que as atividades de Compliance em TI sejam segregadas das Gestão de TI, mas sabemos que isto vai depender muito da estrutura organizacional, porte, e cultura interna de cada empresa, mas independente disto cabe ao Compliance em TI em conjunto com a Gestão de TI, assegurar e apoiar a administração da organização para que os aspectos mencionados neste artigo sejam observados e cumpridos, adaptando se a nova realidade corrente. Também auxiliar a empresa a preparar se para a retomada das atividades num novo normal que com certeza trará desafios distintos, mas estará repleto de oportunidades.
* Marcos Assi, CCO, CRISC é professor e consultor da MASSI Consultoria e Treinamento. Massamitsu Alberto Iko é Senior Manager Global Ethics & Investigations de uma empresa multinacional de Agronegócios