Dentre os diversos desafios de segurança da informação que a pandemia de Covid-19 nos impõe, temos falado bastante sobre as questões tecnológicas e os cuidados necessários para evitar fraudes e roubo de informações confidenciais. Porém, a preservação do compliance por parte das equipes tem uma importância tão grande quanto, e é preciso que os times sejam guiados e auxiliados nesse quesito. Caso contrário, os riscos que a organização corre especialmente durante esse período de trabalho remoto são aumentados exponencialmente.
Um artigo publicado recentemente pela Deloitte destacou a importância das empresas se preocuparem com questões de segurança durante a pandemia, mas também alertou que com os efeitos econômicos da crise do novo coronavírus algumas organizações podem sofrer com redução de pessoal e operações. Porém, caso tais medidas sejam necessárias, elas devem ser feitas com muito cuidado para não afetar as equipes e os trabalhos que envolvem o compliance em cibersegurança, visto que esse é um dos pilares da reputação de uma empresa.
Assim, a partir do momento em que uma empresa entende a seriedade e a necessidade de lidar profissionalmente com o compliance em segurança cibernética, deve-se direcionar o gerenciamento desses processos, ainda que em tempo parcial, a um profissional com conhecimento adequado. Para empresas com demandas maiores e mais complexas, pode haver a necessidade de criar um departamento sob gestão de um Diretor de Segurança da Informação (CISO ou Chief Information Security Officer). Porém, independente do formato adotado, o fundamental é que tais demandas estejam oficialmente sob responsabilidade de alguém, e que essa pessoa tenha conhecimento adequado da área.
Assim, com esse profissional em ação, as ações de diagnóstico interno e conhecimento das leis e regulações do setor seguem-se sem problemas. Porém, é fundamental ressaltar a importância de trabalhar o compliance em cibersegurança com os colaboradores e equipes. Afinal, de nada vale todo esse trabalho se a empresa não desenvolver e implementar uma série de políticas e procedimentos para que todos tenham conhecimento e, principalmente, cumpram durante suas rotinas. Ou seja, não há tecnologia nenhuma que seja capaz de impedir um funcionário determinado a fazer o download de um arquivo com malware ou a acessar sites que representem algum risco.
Portanto, dois pontos são muito importantes de serem cumpridos pelas empresas que pretendem auxiliar seus times nessa questão. O primeiro diz respeito a conhecer seu público interno e a forma como ele lida com a tecnologia. Ou seja, seus colaboradores são pessoas jovens e acostumadas a lidar com o mundo digital, ou são pessoas mais propícias a cair em golpes virtuais via e-mail ou por acesso a sites maliciosos? Além disso, é importante conhecer o comportamento dessas pessoas em sua rotina de trabalho, quais são as ferramentas mais utilizadas e os riscos a que estão mais expostos.
Com isso delineado, o segundo ponto é promover educação e conhecimento em cibersegurança, o que pode ser feito por meio de políticas e diretrizes de segurança interna a serem divulgadas e implementadas com ajuda dos departamentos de Recursos Humanos e Comunicação Corporativa. Porém, deve-se preparar uma equipe de suporte técnico para responder às dúvidas dos colaboradores e auxiliar remotamente sempre que necessário, especialmente em questões emergenciais que comprometam a segurança da empresa. Ou seja, para que o departamento esteja apto a auxiliar o time a preservar o compliance em cibersegurança é preciso que esses profissionais entendam que lidar com público interno é uma questão de estratégia.
Conclui-se que para prover um trabalho completo e sustentável de compliance em segurança cibernética é preciso muito profissionalismo e conhecimento a respeito do setor e suas leis e regulamentações, para então mergulhar no momento em que a empresa se encontra e definir um planejamento de trabalho. Só assim as empresas conseguirão identificar quais são seus riscos e vulnerabilidades específicos para trabalhar embasado em uma realidade e então proporcionar a segurança devida a todos os departamentos e funcionários.