close
Compliance em TI qual é a sua importância para a segurança da informação

Compliance em TI: qual é a importância para a segurança da informação?

5 minutos de leitura

Estabelecer requisitos de segurança digital para fornecedores e/ou atender demandas de segurança de terceiros é mais que medida de proteção, é estratégia de negócio

Por Redação em 17/03/2025

Diante da digitalização dos negócios e das ameaças cibernéticas cada vez mais maliciosas, o compliance em TI demanda uma maior estruturação para aqueles que visam manter suas operações seguras. Embora não seja uma exigência nova, sua importância se amplifica em um cenário no qual os dados digitais são praticamente a principal estrutura de uma organização.

Esse quadro revela a necessidade de compliance e segurança dos dados em toda a cadeia, tanto em âmbito local quanto global. Em resumo, essa prática é um processo para estabelecer requisitos de segurança digital para fornecedores ou atender a essas características de segurança de terceiros.

Além da proteção, ela é estratégica para a expansão empresarial. Para a empresa que quer estabelecer operações de negócios em um determinado mercado ou com um cliente, ter um compliance em TI bem estruturado e condizente com os frameworks e legislações do país de destino é fundamental. 

Se, por exemplo, o seu negócio mantém operações com uma empresa da União Europeia, estar em conformidade seria atender aos requisitos tanto da Lei Geral de Proteção de Dados Pessoais (LGPD) quanto do Regulamento Geral sobre a Proteção de Dados (na sigla em inglês, GDPR).  E isso vale para ambos os negócios: o seu e o da empresa europeia.  

O desafio para o profissional de TI, portanto, é comprovar, através de softwares e sistemas, que todas as atividades estão dentro das políticas internas da empresa e também em conformidade com leis, diretrizes e regulamentações externas. 

Quando ele tem sucesso nessa atribuição, a empresa ganha vantagem competitiva por atender aos padrões exigidos pelo mercado e por expressar seu compromisso com a segurança digital. 

Navegue pelos tópicos abaixo para entender melhor o tema.

Compliance de TI não é segurança da informação

Apesar de os conceitos serem, por vezes, confundidos, a compliance em TI e a segurança da informação são práticas distintas, embora igualmente importantes. Dentro da lógica de confiabilidade e segurança dos processos corporativos de uma organização, as duas estratégias devem ser vistas como complementares.

Por dever, a segurança da informação exige a adoção de tecnologias e planejamento para que uma empresa consiga proteger seus ativos e a infraestrutura de TI. Já o compliance em TI é responsável por garantir a conformidade com os órgãos regulatórios e normas da tecnologia da informação. 

Se, no passado, medidas mais técnicas eram aplicadas, hoje isso não é mais o suficiente. As ciberameaças estão mais sofisticadas e deixam estruturas mais vulneráveis, inclusive utilizando a IA para isso. De acordo com o pesquisador de segurança da ESET Brasil, Daniel Barbosa, “o uso malicioso da inteligência artificial generativa tende a ser cada vez mais presente no desenvolvimento de novas ameaças”. Nesse sentido, o executivo avalia que as legislações deverão se adequar a essas mudanças.

Um estudo da PWC, divulgado pela CNN, apontou que, no Brasil, um terço das empresas sofreram ataques cibernéticos que resultaram em perdas na casa de US$ 1 milhão, nos últimos três anos. Em escala global, o custo médio chegou a US$ 3,32 milhões no mesmo período. Os números refletem a falta de preocupação com o problema, visto que somente 2% das organizações tomam medidas relativas à cibersegurança.

Somado a isso, o Brasil lidera o ranking da América Latina como o país mais atacado por hackers. Ainda que tenha apresentado uma redução de 26% nos ataques de ransomware, o diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina, Fabio Assolini, acredita que isso não é motivo de alívio e sim “um alerta para intensificarmos a prevenção contra as táticas cada vez mais sofisticadas dos criminosos virtuais”, como noticiou a Exame.

Essa conjuntura revela a importância das políticas de compliance de TI estarem alinhadas às normas e às melhores práticas do mercado. A partir delas, os profissionais têm uma diretriz a seguir e torna-se mais fácil estabelecer rotinas de seguranças mais robustas.

Vale reforçar que a falta de governança corporativa pode abrir brechas de segurança. Basta um simples ataque de engenharia social para um criminoso ter acesso não autorizado aos sistemas e softwares da empresa. E quando a segurança da informação está em risco, além da chance de um vazamento de dados, há a possibilidade de multas regulatórias. 

Quais são os regulamentos de conformidade em TI

Negócios que desejam melhorar a competitividade, a proteção e a reputação, precisam estar integrados às melhores práticas de segurança de dados do setor no qual está inserido. Para isso, além de estarem cientes de leis de privacidade, as empresas devem entender que, para a compliance de TI, o esforço é maior. 

Um dos caminhos é buscar certificações como a ISO 27000, que mostra para os clientes, fornecedores e parceiros o compromisso da empresa com as melhores práticas de segurança e a conformidade com a LGPD e outros marcos regulatórios. 

Os certificados a seguir são algumas das opções que as organizações devem estar atentas para garantir a segurança da informação. Confira.

  • ISO 27001: a norma diz respeito a sistemas de gerenciamento de segurança da informação. Ao segui-la, o líder de TI gerencia informações financeiras, propriedade intelectual, banco de dados de funcionários e dados sensíveis, garantindo a segurança de toda a base. 
  • PCI DSS: sigla para Payment Card Industry Data Security Standard ou Padrão de Segurança de Dados da Indústria de Pagamento com Cartão. Qualquer empresa que aceite transações com cartão de débito ou crédito pode estar em conformidade ao comprovar que segue os 12 requisitos do PCI DSS. 
  • HIPAA: a Lei de Responsabilidade e Portabilidade de Seguro Saúde estabelece um conjunto de normas e diretrizes para regulamentar informações, especialmente Informações de Saúde Protegidas (PHI) por seguradoras, provedores de serviços médicos e empregadores que oferecem seguro saúde. 

Esses são apenas alguns regulamentos que farão toda a diferença para as empresas que seguirem as diretrizes impostas por eles. SOC, SOX, NIST SP 800-171, CCPA e até mesmo a GDPR são exemplos de conformidade que se pode seguir. 

Quais as melhores práticas de compliance para TI?

Como já citado no texto, compliance em TI exige uma governança corporativa. Na definição da consultoria Gartner: “governança são os processos que garantem o uso eficaz e eficiente de TI, permitindo que uma organização atinja seus objetivos”.

Existem várias estruturas para auxiliar na governança e compliance de uma empresa. Três de destaques são: 

  • ITIL: a Biblioteca de Infraestrutura de Tecnologia da Informação possui cinco pilares básicos que alinham os serviços de TI com os objetivos do negócio: estratégia, design, transição, operação e serviço. 
  • CobiT: esse framework é uma estrutura de governança e gerenciamento para TI com o objetivo de facilitar a implementação lógica e organizada dos controles. É possível usar um conjunto de quatro domínios de processo para alinhar a TI com negócios. 
  • GSTI: estrutura a interação entre diferentes áreas da empresa, promovendo colaboração e eficiência na busca por objetivos estratégicos. Baseado em três pilares — pessoas, processos e ferramentas —, ele alinha a TI às necessidades dos clientes e à satisfação dos usuários, garantindo alto desempenho e maior competitividade no mercado.

Vale dizer que executivos C-Levels têm um grande trabalho nessa jornada, já que precisarão gerenciar equipes e ganhar o apoio de funcionários para que as melhores práticas de segurança estejam em dia na organização. 

Como estabelecer uma política de conformidade?

Em um cenário ideal, as empresas teriam sua própria área de compliance, em que C-Levels e analistas seriam os encarregados de gerenciar e supervisionar a conformidade com todos os regulamentos e mandatos aplicáveis. 

Assim, seria possível:  

  • identificar riscos; 
  • implementar controles de risco;
  • gerar relatórios sobre a eficácia dos controles; 
  • resolver problemas de conformidade;
  • fornecer consultoria regulatória para a empresa.

Com essas responsabilidades bem amarradas, seria possível evitar danos à imagem da empresa ou à confiança do consumidor, custos em mitigação, já que a empresa passará a ter postura proativa sobre as ciberameaças. 

No entanto, estabelecer um compliance exige um monitoramento meticuloso de tudo que acontece em uma empresa. 

Porém, ainda há um desafio grande: a educação cibernética dos funcionários. Isso é ainda mais relevante com o trabalho remoto ou híbrido, já que muitos colaboradores usam o próprio dispositivo para acessar informações sensíveis. Essa TI invisível se torna uma barreira quando o assunto é compliance em TI. Três pilares devem ser considerados para superar esse empecilho: cultura, educação e conscientização. Quando ações nesse sentido são desenvolvidas e implementadas no planejamento estratégico de cibersegurança, o risco de ataques diminui.

E-book gratuito: saiba como implementar uma cultura de cibersegurança na sua empresa

Saiba mais

Matérias relacionadas

digitalização Estratégia

Digitalização completa pode aumentar vendas em até 30%

Avaliação é de empresa brasileira que vai internacionalizar sua operação

Itaú Unibanco Estratégia

Itaú Unibanco completa migração total para a nuvem até 2028

A interface do banco com correntista já está na cloud, priorizando a experiência do cliente

fraudes em 2025 Estratégia

Fraudes em 2025: qual o futuro dos golpes digitais?

Perdas globais via fraudes digitais devem atingir a marca de US$ 400 bilhões ainda em 2025

DORA Estratégia

DORA entra em vigor na UE e pode afetar empresas brasileiras

Marco regulatório que visa fortalecer a resiliência operacional do setor financeiro europeu requer adequações de gestão de riscos da TIC