O termo Compliance surge do inglês, to comply, e nos dá o significado de estar em conformidade. Para os empresários brasileiros esse é um termo que está cada vez mais presente nas grandes empresas. Compliance é estar em conformidade com as leis e as regras internas e externas, ou seja, conformidade em geral com todas as recomendações e normas por parte de uma empresa ou pela sociedade em geral, com o objetivo de minimizar os riscos empresariais perante o mercado de atuação.

No Brasil o compliance está instituído pela Lei nº 12846/2013, também conhecida como Lei Anticorrupção e de sua regulamentação pelo Decreto nº 8420/2015.

Importante citar que compliance se aplica para todas as entidades empresariais, com o objetivo de garantir relações éticas e transparentes entre empresas e principalmente para o Poder Público.

O compliance é constituído por três grandes áreas que são:

 Conformidade com direitos humanos e trabalhistas.
 Conformidade com os aspectos ambientais.
 Conformidade socioeconômico, que compreende a transparência financeira.

Como colocar o compliance em prática?

A base do compliance é o treinamento, sendo fundamental para as empresas, para esclarecer o que é preciso para evitar qualquer tipo de descumprimentos, ou seja, para evitar qualquer tipo de não conformidade com as regras estabelecidas para as entidades empresariais.

É importante entender que o programa de compliance para as empresas não teve início com a Lei Anticorrupção, a lei foi promulgada por conta da situação de corrupção política no Brasil.

Porém a novidade que o compliance trouxe foi a necessidade de ampliação da prática para a sociedade empresarial trazendo a obrigatoriedade de observação por meio de revisão periódica da análise de riscos jurídicos e socioambientais, adequação do treinamento e ações especificas para áreas sensíveis e de alto risco.

O programa de compliance em uma empresa, pode se iniciar desta forma:

a) Elaborando um código de conduta, de linguagem acessível;
b) Disseminando para os funcionários a importância de seguir os padrões estabelecidos no código de conduta, sempre lembrando que o exemplo vem de cima. Lembrando que é de suma importância que a direção da empresa aja de maneira impecável;
c) Criando canais internos de denúncias, nos quais os próprios funcionários possam relatar atividades em desconformidade com os preceitos da empresa;
d) Deixando claro que a empresa não se envolve em práticas moralmente questionáveis, embora possam ser aparentemente legais, é claro, de cumprir todos os regulamentos. Dessa forma, passa a tão buscada imagem de uma empresa integra e idônea.

Compliance e LGPD

A política de compliance atua no cumprimento das conformidades com as regras e normas e precisa se adaptar ao novo diploma, já a Lei Geral de Proteção de Dados dispõe sobre a garantia e controle dos cidadãos sobre suas informações pessoais. A elaboração de programas de compliance devem estar de acordo com a LGPD.

Portanto, as empresas que apresentarem um setor de compliance ativo, independente e bem estruturado, com programas de integridade, buscando sempre aprimorá-los, ficam em destaque!

 

 

 

Chamamos de Ethical Hacker aquela pessoa que possui muita habilidade com tecnologia, informática, TI e segurança da informação e utiliza este conhecimento para testar a segurança de todo tipo de sistema.

 

O Ethical Hacker, conhecido em português como hacker ético ou hacker do bem, é um profissional especializado em redes, sistemas operacionais e em técnicas para detectar vulnerabilidades de segurança nesses sistemas.

Golpes digitais, vazamento de dados e roubos de senha, é o que vêm em mente na maioria das pessoas quando se pensa no termo hacker. Mas, o que poucas pessoas sabem é que além dos hackers envolvidos em atividades ilícitas, há também os Ethical Hackers, profissionais contratados para detectar as vulnerabilidades de uma empresa e garantir a integridade de seus dados.

Com o conceito de exercer o hacking de forma legal, esse profissional tem habilidades que permite encontrar vulnerabilidades, evitando os ataques maliciosos de hackers, atuando com base em autorizações e de acordo com a lei. Um exemplo disso, é a aplicação de testes de penetração (pentests), que reúne grande conhecimentos em redes e sistemas, e opera de forma a estar um passo à frente daquele que pretende burlar as normas.

Outro motivo, apoiado pela vigência da Lei Geral de Proteção de Dados Pessoais (LGPD), seria porque esses profissionais, tornaram-se importantes aliados das organizações, pois eles auxiliam de forma ética a evolução de programas de privacidade e governança, com suas habilidades e conhecimentos práticos, acessando sistemas de forma autorizada.

Um exemplo prático, seria quando uma empresa contrata um Ethical Hacker para invadir sua rede e testar suas defesas, verificando as vulnerabilidades existentes em seu ambiente tecnológico. Através desse tipo de ação, fica mais fácil verificar o nível de exposição e recomendar as melhores contramedidas de segurança.

 

Os hackers do bem devem ser considerados aliados das empresas, pois protegem usuários, dados de sistemas e a própria imagem da empresa. Em tempos de LGPD, em que a segurança da informação está tão em evidência, a boa relação entre instituições e especialistas não pode ser ignorada.

 

 Além disso, é fundamental que as instituições confiem nesses profissionais para assegurar a privacidade de seus clientes e garantir o bom funcionamento dos negócios.

 

 

Referências:
https://acaditi.com.br/o-que-e-e-como-ser-um-ethical-hacker/
https://canaltech.com.br/hacker/ethical-hacking-um-mercado-repleto-de-oportunidades-90800/
https://www.lgpdbrasil.com.br/conheca-o-ethical-hacking/
https://tiinside.com.br/21/09/2020/quando-hackers-podem-ser-parceiros-para-o-crescimento-dos-negocios/
 

 

Pesquisa revela que, na América Latina, custos para uma PME que avisa sobre uma violação de dados são bem menores do que quando incidente é noticiado primeiro pela imprensa.

 

A empresa Kaspersky, especializada na produção de softwares de segurança para a Internet, divulgou em um relatório de pesquisa recente que pequenas e médias empresas (PMEs) que decidem informar publicamente uma violação de dados que tenha sofrido têm, em média, perdas 40% menores se comparadas às empresas que tiveram incidentes vazados pela imprensa.

 

Não informar o público de forma rápida e adequada sobre uma violação de dados pode agravar as consequências do incidente. Temos como exemplos os casos da empresa Yahoo! Em Abril/2018 que foi multada e recebeu críticas por não avisar seus investidores sobre um incidente de violação de dados, e também a Uber em Setembro do mesmo ano, por tentar encobrir um incidente dessa natureza.

 

Os dados deste estudo foram baseados em uma pesquisa realizada mundialmente pela Kaspersky, com mais de 5,2 mil profissionais de TI e cibersegurança, sendo mais de 300 da América Latina. Segundo a empresa, na região, os custos para uma PME que avisa proativamente sobre uma violação de dados somam US$ 93 mil, enquanto empresas semelhantes que tiveram o incidente informado pela imprensa sofreram prejuízo de US$ 163 mil.

 

A pesquisa mostrou ainda que os riscos são especialmente grandes para empresas incapazes de detectar um ataque imediatamente: 19% das PMEs que levaram mais de uma semana para identificar que sofreram uma violação de dados descobriram por meio da imprensa, porcentagem quase duas vezes maior do que a das que detectaram a violação quase imediatamente (30%).

 

"As empresas latino-americanas não costumavam avisar seus clientes sobre um incidente de segurança, mas este cenário mudou. [...].", afirma Roberto Rebouças, gerente-executivo da Kaspersky no Brasil. "Minha leitura é que, no Brasil, a Lei Geral de Proteção de Dados (LGPD) já fez efeito e o cliente final é quem mais se beneficia com isso. Se a empresa tratar o consumidor com responsabilidade, há mais chance de ele continuar confiando nela", observa.

 

Dicas para proteção de dados nas empresas

 

Para a detecção, investigação, busca proativa de ameaças e rápida resposta a ameaças avançadas em nível de endpoints, implementar soluções de EDR (Endpoint Detection and Response);

Oferecer treinamentos de conscientização para os funcionários, para que saibam reconhecer um incidente de cibersegurança e o que devem fazer ao detectá-lo, inclusive avisar imediatamente o departamento de segurança de TI da empresa.

 

Adaptado de: Alertar clientes sobre violações de dados diminui prejuízos.

 

 

Disponível em: https://www.kaspersky.com.br/blog/alertar-clientes-violacoes-dados-diminui-prejuizos/16684/

 

Em agosto de 2020 entrou em vigor a Lei Geral da Proteção de dados.

 

Tal lei, é uma das mais abrangentes no país, ela estabelece direitos, deveres e princípios que envolvem o tratamento de dados pessoais de consumidores e usuários de serviços.

 

 

A nova legislação fez com que as empresas revejam seu modo de operar e adotem estratégias para se adequarem as regras estabelecidas por ela.

 

 

A lei estabelece alguns conceitos e princípios, que devem ser observados, pois, são a base para cumprimento da mesma, e assim como o próprio nome menciona, seu objetivo é proteger os dados, portanto, dentro deste primeiro ponto, é necessário entender que ela discrimina os dados em dois grupos, sendo eles: dados pessoais e dados sensíveis.

 

 

Os dados pessoais são os que relacionam a pessoa natural identificada ou identificável. Entre os exemplos de dados pessoais podemos citar o nome, RG, CPF, e-mail, telefone fixo e celular, endereço residencial, etc. Não são considerados dados pessoais aqueles relativos a uma pessoa jurídica, como CNPJ, razão social, endereço comercial, entre outros.

 

 

Já os dados sensíveis, são dados, que também são pessoais, porém que pode gerar qualquer tipo de discriminação, tais como os dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.

 

 

Também é conceituado na lei, as pessoas responsáveis pelo processo da mesma, e estas são chamadas de atores. Segundo a LGPD, é possível identificar quatro atores, e são eles: o titular, o controlador, o operador e o encarregado.

 

 

Titular, é a pessoa física, a qual se refere os dados.

 

Controlador, é a instituição, podendo ser privada ou pública, que tem à sua disposição os dados do titular, e que faz uso dos mesmos.

 

 

O operador é a pessoa que manipula os dados, dentro dessa instituição e o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados.

 

 

Essas informações são formam a base para aplicação da lei, que já está vigente, e que se aplica à todas as empresas, independente do porte da mesma, e por isso é importante uma adequação, para evitar as penalidades previstas.

 

Você deve ter visto essa pergunta com bastante frequência ultimamente. Isso por causa da Lei Geral de Proteção as Dados - (LGPD). A maioria dos sites tem exibido um banner questionando se você aceita Cookies. Alguns, apenas informam que os utilizam e que, para continuar navegando, você precisa aceitá-los.

 

Afinal, o que são Cookies e para que servem?

 

Basicamente, cookies são informações coletadas pelo site que você está visitando e que ficam temporariamente armazenadas no seu navegador (Internet Explorer, Google Chrome, Firefox, dentre outros). Isso permite aos sites, desde um contador de visualizações, a não contabilizar sua visita mais de uma vez, até saber quais sites você visitou e quais pesquisas te levaram até esses sites.

 

 

Os cookies também podem coletar e armazenar informações como nomes de usuários, senhas, para o preenchimento automático dos dados. 

 

 

Se não quiser mais que seus dados fiquem armazenados, você pode limpar os dados de navegação. Você também pode desativar a coleta de dados, bloqueando os cookies através das configurações de privacidade do seu navegador.

 

 

Mas, não se preocupe, os cookies são utilizados para personalizar e melhorar sua experiência de navegação. A maioria deles tem o objetivo de lhe oferecer publicidade de acordo com seus gostos e interesses.

 

 

Então, aceite os cookies e aproveite!

 

 

Com colaboração: Faruk Abdo Féres