Qual é o problema mais comum que as empresas enfrentam hoje em dia? É a fragilidade da cadeia de suprimentos? A concorrência feroz? A falta de liquidez? Ou é a crescente e implacável onda de ciberataques?

As evidências e os analistas sugerem que, geralmente, é a fragilidade da cadeia de suprimentos. Como as ciberameaças não mostram sinais de desaceleração, tanto pequenas quanto grandes organizações reconhecem cada vez mais que a cibersegurança já não é opcional.

Além disso, os governos e as agências reguladoras também perceberam a sua importância, especialmente quando se trata de organizações que estão em setores críticos para a infraestrutura nacional de um país. Qual é o resultado? Um conjunto cada vez maior de requisitos de conformidade que podem parecer desafiadores, mas que são essenciais para o bom funcionamento e a segurança pública de um país.

Formas de cumprimento

Para começar, é necessário distinguir entre dois tipos de conformidade: obrigatória e voluntária, pois cada uma envolve um conjunto específico de requisitos.

O cumprimento obrigatório abrange as normativas aplicadas por órgãos governamentais ou instituições relacionadas e direcionadas às empresas que atuam em setores de infraestrutura crítica, como saúde, transporte e energia. Por exemplo, uma empresa que trabalhe com dados de pacientes nos Estados Unidos deve cumprir a Lei de Portabilidade e Responsabilidade de Seguro de Saúde (HIPAA, na sigla em inglês), uma regulamentação federal, para garantir a privacidade dos dados dos pacientes além das fronteiras estaduais. No Brasil, em termos de proteção de dados, as empresas e orgãos públicos devem cumprir com as determinações da Lei Geral de Proteção de Dados (LGPD).

Leia mais: Entenda os impactos da Lei Geral de Proteção de Dados (LGPD)

Por outro lado, o cumprimento voluntário significa que as empresas solicitam certificações e normas específicas que as identificam como especialistas em um campo determinado ou qualificam alguns de seus produtos como conformes a uma norma. Por exemplo, uma empresa que busque credibilidade ambiental pode solicitar a certificação ISO 14001, que demonstra seu compromisso com práticas sustentáveis e respeitosas com o meio ambiente.

No entanto, todas as empresas devem reconhecer que o cumprimento das normas não é um esforço único. Cada norma, ou outra "parte do cumprimento", exige recursos adicionais, pois esses processos demandam monitoramento constante e alocações orçamentárias (mesmo as certificações ISO requerem uma recertificação periódica).

Cumprimento da cibersegurança: não apenas para os fornecedores de segurança digital

Uma empresa que não atenda ao cumprimento obrigatório pode enfrentar multas significativas. Incidentes como vazamentos de dados ou ataques de ransomware podem gerar altos custos, mas a evidência de um descumprimento das medidas de segurança obrigatórias pode fazer com que a fatura final dispare.

A normativa específica em matéria de cibersegurança que uma organização deve cumprir depende do tipo de setor em que a empresa atua e da importância da segurança de seus dados internos para a privacidade, a segurança das informações ou as operações em infraestruturas críticas. Também é importante considerar que muitas normas e certificações são específicas de cada região.

Além disso, dependendo dos clientes ou parceiros que uma empresa deseja atrair, é recomendável solicitar uma certificação específica para poder concorrer a um contrato. Por exemplo, se uma empresa quiser trabalhar com o governo federal dos Estados Unidos, precisará solicitar a certificação FedRAMP, que demonstra sua competência na proteção de dados federais.

Em qualquer caso, o cumprimento das normas deve fazer parte dos alicerces de qualquer estratégia empresarial. Como os requisitos normativos continuarão aumentando no futuro, as empresas bem preparadas terão mais facilidade em se adaptar às mudanças. O cumprimento é medido continuamente, o que pode economizar recursos importantes para as organizações e permitir seu crescimento a longo prazo.

O descumprimento pode sair caro

O que acontece com o descumprimento? Como mencionado anteriormente, algumas normas estabelecem sanções financeiras significativas.

Por exemplo, as infrações da LGPD podem resultar em multas de até 50 milhões de reais ou 2% da receita annual global, para qualquer empresa que não notifique uma violação à autoridade supervisora ou aos interessados. As autoridades supervisoras também podem impor multas adicionais por medidas de segurança inadequadas, acarretando custos extras.

Nos Estados Unidos, o descumprimento da FISMA, por exemplo, pode resultar em redução de financiamento federal, audiências governamentais, perda de contratos futuros e muito mais. Da mesma forma, as infrações da HIPAA também podem ter consequências graves, como multas de até 1,5 milhão de dólares anuais e até penas de prisão de 10 anos. Está claro que há mais em jogo do que o bem-estar financeiro.

Em resumo, é melhor prevenir do que remediar, e também é fundamental manter-se atualizado sobre as regulamentações de cibersegurança específicas do seu setor. Em vez de tratar o cumprimento das normas como um custo adicional evitável, sua empresa deve encará-lo como um investimento essencial e contínuo, especialmente quando se trata de normas obrigatórias. O descumprimento dessas normas pode rapidamente colocar o seu negócio - e até mesmo a sua continuidade - em risco.