Com o crescimento dos ciberataques em todo o mundo, uma sigla tem ganhado relevância no contexto corporativo: GRC
Para que todo negócio flua bem, existe uma trindade que deve sempre estar em pleno funcionamento e em sintonia: pessoas, processos e tecnologia. Ainda que possa soar clichê, são as três bases de sustentação que garantem a uma empresa uma atuação sólida e segura.
Com o preocupante crescimento de ciberataques em organizações de todo o mundo, uma sigla tem ganhado relevância no contexto corporativo: GRC – Governança, Risco e Compliance. Ainda que signifique muitas coisas dependendo do contexto organizacional de quem a adota, sucintamente refere-se a controlar os riscos e atender demandas regulatórias. Para entender sua necessidade, partimos de uma premissa um tanto quanto simples, proposta pelo economista austríaco Peter Drucker: não se pode gerenciar o que não pode ser medido.
Porém, quando olhamos para a realidade de sua aplicação, especialmente em empresas aqui no Brasil, algumas questões surgem. Ainda mais considerando tópicos como a LGPD – Lei Geral de Proteção de Dados, o que fica notório é que a prioridade está apenas em atender a lei, e não na segurança. Ou seja, resolver apenas a letra “C” da sigla GRC. Porém, descobriu-se que o buraco é muito mais fundo do que isso.
Leia também: Mais de 60% dos brasileiros já sofreram com roubo de identidades
Companhias visualizam o perigo, mas não fazem uma gestão integrada de seu risco – isto é, entender o impacto que pode representar ao negócio e tangibilizar o dano financeiro. Existe uma grande diferença entre análise e gestão de vulnerabilidades. E ela não pode ser feita apenas com a tecnologia – que, para muitos, ainda é uma bala de prata. Não se deve desequilibrar a balança; investir muito em ferramentas e não acompanhar com equipe e processos que administrem ela de forma correta.
E isso pode ser ilustrado: estudos apontam que, nas principais empresas de tecnologia do mundo (as chamadas Big Techs), aproximadamente 60% delas possuem um CRO – Chief Risk Officer (“Diretor de Risco”, em tradução livre), um C-Level destinado apenas a cuidar dos riscos da empresa. Quanto mais reduzimos o patamar das companhias, mais rara se torna a existência de pessoas ou setores nessas funções.
Para implementar GRC, e fazê-lo bem-feito, é necessário acima de tudo uma mudança na cultura: estar em conformidade com a lei não significa apenas dar um “check” em uma lista. E isso também se converte em potencial de mercado: quanto maior o nível de maturidade com processos e de segurança da empresa, mais tempo o seu ambiente estará disponível, e, consequentemente, mais rentável ela pode ser.
* Armsthon Zanelato é vice-presidente de vendas da ISH Tecnologia
