Escritório de contabilidade deveriam pensar na ISO 27001 e não apenas na LGPD!
A ISO 27001 na contabilidade pode auxiliar escritórios a garantir segurança das informações além da LGPD.
A lei geral de proteção de dados (LGPD) entrará em vigor em agosto de 2020 e tem causado uma movimentação no mercado pela busca por soluções de proteção da informação e garantindo que as empresas estejam em conformidade com lei. Mas isso basta para ter segurança das informações em um escritório de contabilidade? Vamos entender como a ISO 27001 na contabilidade pode auxiliar nessa proteção.
A lei, realmente traz uma nova cultura para nosso país e para todos os ramos de atividades que utilizam dados pessoais, ou seja, praticamente 100% das empresas. Esse é um grande ganho para todos, tanto para a empresa quanto o proprietário da informação (em geral os consumidores que fornecem seus dados pessoais).
Mas o que gostaria de falar vai um pouco além dessa obrigação legal, vai além de atender uma legislação para não levar multa. Gostaria de falar sobre garantia do negócio quanto à perda de informação, seja ela de relativa a dados pessoais ou importante para operação de uma empresa.
Vamos pensar em um escritório de contabilidade que tem diversas atribuições para pessoas físicas e jurídicas. Quais são as informações que transitam na operação de um escritório de contabilidade? Dados pessoais atrelados às empresas como todas as informações pessoais de sócio, colaboradores, financeiras incluindo dados bancários. Informações que devem ser protegidas de acordo com a LGPD, mas e as informações jurídicas?
E todas a informações de faturamento, dados cadastrais, senhas, assinaturas digitais, impostos governamentais que se vazarem podem gerar riscos de fraude gigantescos e acabar com a operação do escritório, a marca e gerar prejuízo financeiro e até mesmo a falência da organização?
Por isso temos que ir além da LGPD, precisamos pensar em uma solução global para garantir a segurança da informação de toda empresa. Que traga a visão de gerenciamento de risco permeando todos os processos do escritório de contabilidade e assim garantindo sua operação livre de risco de vazamento de informação.
Mas se não temos uma lei que nos obriga a realizar toda essa proteção qual a melhor forma de gerenciar as informações no escritório? Podemos classificar em três grandes grupos de risco:
- Riscos físicos,
- Riscos oriundos do comportamento humano e;
- Riscos digitais.
Vamos detalhar um pouco mais cada um dos riscos e pensar como pode afetar o escritório de contabilidade.
Os riscos físicos afetam diretamente a continuidade do negócio, isso quer dizer, que um dano físico com grande proporção pode parar completamente a operação, levando à falência. Podemos pensar em situações extrema como catástrofe ambiental (inundações, terremoto, furacões, queimadas, entre outros acidentes ambientais). Para gerir esse risco ter um sistema de backup em nuvem, ou servidores em locais extremante protegidos é uma boa solução.
Existem aqueles riscos mais prováveis como a queda de energia, perda de rede de telecomunicações e comprometimento da conexão com a internet, e no momento do pico de energia a queima de equipamentos, que não utilizam backup tendo como consequência a perda de informação contida naquele equipamento. Esse é um exemplo muito simples e bastante factível e que pode afetar a integridade das informações do escritório de contabilidade. Informações de clientes podem ser comprometidas e afetando diretamente a qualidade do serviço do escritório que não atenderá a necessidade do cliente.
Os riscos de comportamento humanos são aquele que estão atrelados ao mal uso da informação comprometendo a confidencialidade. Uma série de atividades cotidianas que não são naturalmente vistas como risco, mas são riscos sim, como por exemplo: computador aberto em local público com informações disponível, acesso à redes públicas e desprotegida (de hotéis, shopping, aeroporto e tantas outras). O risco de roubo de celulares, notebook ou tablets que são utilizados para acessar informação da empresa. Isso pode acontecer quando mantemos os equipamentos no automóvel ou em bolsas em locais públicos.
Esses riscos são os mais difíceis de serem controlados, já que depende de seres humanos e não simplesmente da instalação de uma ferramenta de proteção. Por isso o treinamento contínuo e a evidência da importância da participação de todos é crucial para minimizá-lo.
E os riscos digitais são aqueles ligados aos sistemas utilizados, bancos de dados, redes e conexões entre outros. E para eles uma série de ações de segurança podem e devem ser realizadas para garantir que não ocorra vazamento de informações do escritório e além de prejudicar o escritório podendo levar a crimes contra seus clientes. Algumas dessas ações incluem o gerenciamento de acesso, sistemas de criptografia, proteção contra vírus, conexões seguras, qualificação de fornecedor de software garantindo que eles tenham proteção adequada.
Esse conjunto de ações levará à um sistema de segurança de informação que garanta a integridade, confidencialidade e acessibilidade de informações e dessa maneira a continuidade do negócio.
Assim se inicia um gerenciamento de riscos à segurança da informação no escritório, mas seguir padrões internacionais de segurança pode ser ainda mais eficiente. A ISO 27001 é reconhecida mundialmente e apresenta um método de determinar, gerir e eliminar o risco. Num sistema de planejamento e avaliação, plano de ação, monitoramento adequado para sempre aumentar a eficiência do sistema implementado.
Dessa forma é possível entender como a LGPD atende um pequeno pedaço da operação dos escritórios e não garante 100% de segurança. De maneira complementar, ter ações de proteção de dados pessoais e dados gerais do escritório elevará o padrão de segurança e o gerenciamento de risco da empresa garantindo a continuidade das atividades sem envolvimento processual e crimes cibernéticos.
