Oportunidades em cyber compliance

  • Hernan Huwyler
  • 26 Fevereiro 2021

A falta de conhecimento técnico sobre sistemas expõe o compliance officer ao darwinismo do mercado laboral.

A recomendação de controlar os ativos informáticos para garantir o cumprimento dos regulamentos relativos à proteção de dados e de fazer contratos de disponibilidade e qualidade de serviços cria oportunidades laborais concretas. O compliance officer, ou o responsável pela verificação de cumprimento, adquire um papel privilegiado de apoio aos sistemas de segurança dos dados na definição de protocolos que assegurem o cumprimento das políticas e cláusulas contratuais. Para além disso, o compliance officer contribui para quantificar os riscos de incumprimento tanto de leis relativas à privacidade e aos serviços essenciais como de contratos de serviços de dados, infraestruturas cloud, licenças de software, desenvolvimento de aplicações e tecnologias em geral. A extensão da visibilidade e dos contributos do compliance officer nas funções de sistemas e segurança informática requer um conhecimento renovado dos riscos, processos e controlos de cibersegurança.

Na última década, a Comunidade Europeia e outros reguladores multiplicaram os seus requisitos através de regulamentos sobre infraestruturas e serviços críticos. Começando pelos setores da energia e dos transportes, a estratégia de regulação avançou para outros domínios, como os serviços financeiros, as infraestruturas de comunicações e Internet, a saúde, a água e os resíduos e os serviços governamentais. Dessa forma, perante o aumento das suas obrigações, os fornecedores de serviços públicos críticos terão de assumir uma atitude responsável e proativa para assegurar a continuidade das suas operações à sociedade. Esta tendência deverá promover um sentido de responsabilidade proativo para prevenir interrupções de serviços e garantir a segurança dos dados. Por outro lado, regulamentação também deverá estender-se a outros setores, como a indústria alimentar, a agricultura, a educação, os serviços de defesa e segurança informática e a gestão de edifícios de utilidade pública.

Do Chile à China, os regulamentos relativos à privacidade dos dados pessoais também aumentaram exponencialmente, tornando-se temas quentes para os compliance officers. Especialmente, a partir da norma Europeia de proteção de dados adotada em 2016, que já se tornou o «Golden Standard», os serviços de assessoria e novas contratações alargaram o horizonte dos especialistas de compliance com vocação prática e conhecimento técnico em proteção de dados. Este novo perfil requer a tradução de obrigações associadas à privacidade em procedimentos claramente articulados sobre controlos de sistemas e cláusulas contratuais relativos a processadores de dados e fornecedores na terciarização de serviços informáticos. Em acréscimo, os serviços de certificação e auditoria de cumprimento de terceiros geraram uma forte procura de profissionais capazes de alinhar a testagem de processos com melhores práticas, como os controlos da ISO 27002 ajustados à ISO 27701 relativamente à privacidade.

Em resposta à pandemia de COVID-19, a função de compliance passou a definir os contornos e a comunicação de procedimentos para proteger dispositivos terminais e móveis em consequência do «work-from-anywhere». Para além disso, tornou-se necessário atualizar novos contratos de eCommerce e de aquisição de serviços cloud para o trabalho remoto. No que se refere ao teletrabalho, mais especificamente, a minimização do risco dos sistemas nas sombras («shadow IT») pela instalação indevida de software não licenciado ou aplicações Web, em muitos casos, gratuitas, forçou os compliance officers a melhorar os protocolos de solicitação de compra de software e o bloqueio de serviços Web, como o Dropbox e o Google Documents. Perante as mudanças que a pandemia trouxe, em muitas organizações, a função de compliance também melhorou os controlos avaliados em due diligence para potenciais terceiros e durante o processo de ongoing due diligence para fornecedores informáticos em serviço. Os planos de saída de serviços com fornecedores informáticos também requerem a monitorização de ações de contingência para a substituição inesperada de fornecedores de sistemas.

Estas novas necessidades do negócio e obrigações em constante mudança levaram a que a função de compliance alargasse o seu âmbito de cumprimento e a sua matriz de controlo interno aos sistemas para responder às exigências da atualização de políticas, procedimentos e cláusulas em contratos sobre ativos informáticos. Em consequência, a função de compliance melhorou os controlos sobre as licenças utilizadas para assegurar o cumprimento dos termos de uso.

Face aos riscos das constantes vulnerabilidades dos ativos informáticos e das mudanças nas estratégias de ataque dos hackers e outros delinquentes, o compliance officer terá de propor, implementar, comunicar e auditar o cumprimento de controlos em sistemas baseados em políticas de segurança, contratos e regulamentos. As crescentes terceirizações de serviços e modelos de software e armazenamento na nuvem aumentam exponencialmente a exposição a esses riscos. A capacidade dos compliance officers de ir para além do cumprimento no papel e da mera redação de políticas gerais permite canalizar decisões de negócios sobre alternativas custo-eficazes que minimizem incumprimentos e protejam ativos como a propriedade intelectual.

O compliance officer também ajudou a quantificar os impactos regulatórios e contratuais perante fatores de riscos associados a ativos informáticos em diferentes cenários. Ao assessorar o negócio sobre compensações e penalidades máximas e mínimas sobre contratos e regulamentos, como os artigos do regulamento europeu sobre a proteção de dados, a função de cumprimento permite utilizar metodologias quantitativas de avaliação de riscos de compliance. Isso permite deixar para trás metodologias enviesadas que depreciam os dados, como avaliações a «vermelho, amarelo e verde», matrizes 5*5 e sistemas arbitrários de scoring. Refutadas pela ciência durante mais de uma década, estas metodologias qualitativas passaram a ser entendidas como negligentes e más práticas ineficazes na defesa empresarial.

Compreender o contexto de cyber-compliance permite aos consultores oferecer novos serviços diferenciados no mercado e aos compliance officers internos dar mais um passo para chegar a assessores influentes nos negócios. A falta de conhecimento técnico em sistemas, controlos sobre processos informáticos ou proteção de dados impede a função de compliance de proteger as suas organizações. Em acréscimo, deixa os compliance officers à mercê do darwinismo do mercado laboral e incapazes de oferecer os tão procurados e bem pagos serviços de consultoria.

  • Hernan Huwyler
  • Professor na IE Law School

Assine o ECO Premium

No momento em que a informação é mais importante do que nunca, apoie o jornalismo independente e rigoroso.

De que forma? Assine o ECO Premium e tenha acesso a notícias exclusivas, à opinião que conta, às reportagens e especiais que mostram o outro lado da história.

Esta assinatura é uma forma de apoiar o ECO e os seus jornalistas. A nossa contrapartida é o jornalismo independente, rigoroso e credível.

Comentários ({{ total }})

Oportunidades em cyber compliance

Respostas a {{ screenParentAuthor }} ({{ totalReplies }})

{{ noCommentsLabel }}

Ainda ninguém comentou este artigo.

Promova a discussão dando a sua opinião