Nos últimos anos, empresas do mundo todo aceleraram rapidamente sua transformação digital – mas será que suas abordagens de compliance acompanharam essas mudanças? As empresas que não consideram compliance como parte fundamental de sua estratégia de transformação digital correm o risco de sofrer danos financeiros e de reputação, que podem reduzir ou até superar os benefícios da modernização. E com o aumento das regulamentações de privacidade de dados e consumidores mais conscientes, os custos da ausência de compliance são ainda maiores.
Este artigo ajuda a entender como os processos de transformação digital (como a migração para a cloud, a modernização de aplicações e a implementação da tomada de decisões orientada por dados) podem afetar os riscos de compliance, para que assim você possa planejar uma transformação responsável e sustentável para o seu negócio.
Regulando o novo cenário digital
Nos últimos anos, um cenário digital altamente competitivo e mutável forçou os negócios a se tornarem cada vez mais ágeis. Mas em uma corrida para adicionar novos recursos e capacidades, muitas empresas geralmente não tratam a compliance como uma prioridade. Uma pesquisa de 2020 da Deloitte com empresas de serviços financeiros descobriu que enquanto 49% dos entrevistados estavam acelerando sua transformação digital, apenas 23% também estavam atualizando seus mecanismos de governança e de geração de relatórios[1].
Essa tendência tornou-se ainda pior à medida que a pandemia acelerou o ritmo dessas mudanças. Mas, como a Forbes observou, “as medidas provisórias implementadas no início da pandemia podem não fazer mais sentido ou ser seguras o suficiente. Este ano deve ser dedicado a refinar e aperfeiçoar as soluções que você implementou para torná-las mais eficientes e eficazes[2].”
Ao mesmo tempo, os ataques se tornaram mais comuns e as regulamentações aumentaram, tornando o risco de falhas de compliance ainda maior. No início deste ano, a Reuters relatou um aumento nas regulamentações globais e litígios privados contra empresas que não protegem dados pessoais[3]. Ou seja: empresas que não levam a compliance em consideração durante sua transformação digital podem sofrer repercussões financeiras e legais significativas, isso sem mencionar os danos à reputação, que podem prejudicar seus resultados por um bom tempo.
Impactos da modernização de compliance
Implementação da tomada de decisões orientada por dados
Grande parte dos planos de transformação digital de muitas empresas envolve o aproveitamento dos dados dos usuários para personalizar e melhorar a experiência. No entanto, um estudo de 2021 da McKinsey sobre análise digital e líderes de transformação revelou que “muitos projetos têm controles mínimos projetados para os novos processos, planos de mudança subdesenvolvidos (ou nenhum) e, muitas vezes, pouca participação dos times de segurança, privacidade e risco e jurídico[4].
Essas práticas expõem empresas a enormes riscos de compliance, já que soluções de monitoramento de terceiros, como o Google Analytics, não aderem ao GDPR e a outros regulamentos de privacidade de dados por padrão[5]. Além disso, o aumento da coleta de dados trouxe penalidades ainda mais severas para violações. Para você ter uma ideia, o relatório da IBM Cost of a Data Breach Report de 2021 estimou que o custo médio de uma violação de dados foi de US$ 180 por registro de informações de identificação pessoal[6].
Nesse contexto, cada vez mais empresas têm adotado a prática de zero trust em seus princípios de segurança. Em linhas gerais, zero trust é uma abordagem moderna de segurança que reduz esses riscos ao estender as mais restritas possíveis permissões de acesso a usuários, sistemas e funcionários, minimizando os danos que as ameaças podem causar em um ataque e, como resultado, reduzindo as multas e penalidades de compliance que ocorreriam durante uma violação de dados.
Modernização de aplicações
Além da tomada de decisões orientada por dados, outro elemento indispensável para a transformação digital são as aplicações modernas, que são atomizadas em componentes que podem ser implementados e gerenciados de forma independente, permitindo que as empresas lancem, escalem e substituam recursos de forma rápida. Isso melhora a agilidade das equipes de segurança, pois permite que corrijam rapidamente aplicações vulneráveis.
No entanto, o aumento da complexidade das aplicações modernas gera mais pontos de entrada para invasores, além de tornar a detecção de ataques ainda mais difícil. Além disso, o uso crescente de APIs complica ainda mais a privacidade e a segurança, pois a maioria das leis de privacidade de dados responsabiliza as empresas pela forma como terceiros lidam com os dados de seus clientes.
Para mitigar esses riscos, empresas devem adotar uma abordagem proativa de cibersegurança que aproveite análises de dados para entender onde existem vulnerabilidades e ajudar a criar programas de inteligência de ameaças. Além disso, a modernização de aplicações com funções serverless pode simplificar os procedimentos de segurança, pois as companhias não precisam proteger contêineres; só é necessário proteger seu código e os dados dos usuários. Aplicações serverless também são automaticamente escaláveis, facilitando a compliance com os regulamentos que exigem alta disponibilidade para os dados do usuário.
Adoção de uma nova infraestrutura
Por fim, a adoção da cloud disparou nos últimos anos, especialmente com o aumento do trabalho remoto e a necessidade de aplicações ágeis e escaláveis. Como os provedores de cloud são responsáveis por proteger a infraestrutura, essa migração pode simplificar e fortalecer a proteção, garantindo que os servidores estejam sempre atualizados com os patches de segurança mais recentes.
No entanto, mover aplicações e dados de data centers locais para a cloud pode dificultar a adesão às leis de privacidade de dados de diferentes países, especialmente àquelas que restringem as transferências de dados internacionais. Como a infraestrutura de cloud é geograficamente centralizada, os dados geralmente são armazenados ou processados longe de onde são gerados ou necessários. E como os provedores de cloud são os responsáveis pela transferência de dados, as empresas têm menos controle e visibilidade sobre o processamento de dados do que com uma infraestrutura legada.
Nesse caso, edge computing é o modelo de infraestrutura mais recente que oferece uma solução para esse problema. Assim como os provedores de cloud, as plataformas de edge fornecem recursos sob demanda pela internet e usam uma infraestrutura gerenciada e protegida pelo provedor. Mas, ao contrário dos data centers de cloud, as edge locations são amplamente distribuídas geograficamente, de modo que os dados são sempre processados e entregues o mais próximo possível do usuário final, o que possibilita que você mantenha os dados no mesmo país.
Conclusão
Embora a transformação digital possa melhorar significativamente a escalabilidade, a agilidade, o desempenho e a experiência do usuário, ela geralmente exige que os negóciostambém adotem novas tecnologias e processos que aumentam a complexidade e reduzem o controle e a visibilidade. E no cenário regulatório de hoje, é crucial que as empresas estejam conscientes sobre como seus dados são armazenados, processados e protegidos, tornando mais importante do que nunca fazer parcerias com um provedor de serviços que valoriza a privacidade e a segurança.
A Plataforma de Edge da Azion simplifica a compliance ao trabalhar a segurança em cada edge location, além de contar com as certificações PCI e SOC 2 obtidas recentemente em toda a nossa plataforma. E com soluções integradas de segurança e análise, as empresas podem criar programas de segurança zero trust e manter a visibilidade dos dados de seus usuários.
Para saber mais, visite nossa página de compliance ou inscreva-se para uma avaliação gratuita para descobrir os benefícios que a nossa plataforma de edge traz para sua segurança.
Referências
- [1] Accelerating digital transformation responsibly (Deloitte) | [2] How Can Companies Stay Secure after a Digital Acceleration? (Forbes) | [3] Trends in privacy and data security (Routers) | [4] Derisking digital and analytics transformations (McKinsey) | [5] GDPR and Google Analytics (GDPR and Google Analytics) | [6] 2021 Cost of a Data Breach Report (IBM)