Alcançar a conformidade em algum domínio requer muitas coisas:

• Um esforço muito grande, para sair da inércia em se planejar e executar sem atenção a requisitos éticos, legais, regulatórios e de boas práticas e mudar para uma cultura de Ética e Conformidade nos Negócios (Business Ethics & Compliance);
• Persistência para estar constantemente mantendo toda a organização na trilha, no “mapa rodoviário” (um tanto estranho imaginar essa tradução para “roadmap“) traçado para se atingir e manter-se conforme com o padrão buscado;
• Conhecimento de sua área de atuação, de normas, requisitos legais, padrões definidos por entidades técnicas, como ISO, ABNT, COSO, FDA, ANVISA, SEC, CVM;
• Uma disciplina sem tamanho para, no dia-a-dia, cuidar para que a execução aconteça conforme o planejado e estabelecer o ciclo de auto-avaliação da maturidade diante das exigências e requisitos que se impõem, do cumprimento das ações e remediações necessárias para as correções de curso e da constante revisão do planejamento, adequando-se à medida em que novos níveis de maturidade são alcançados.

Quanto custa? Bom, gosto da linha de pensamento de que há, a princípio, três custos alternativos.

O primeiro, na verdade, custa o próprio esforço, custa mobilizar recursos próprios e ingressar numa jornada por conta própria. É o custo de ler este curto artigo, de uma pesquisa no Google, visita aos sites em que se podem encontrar as normas ou leis a que queremos cumprir, adquirir uma norma da ISO/ABNT ou mesmo livros. Conversar com pares, fazer benchmarks, identificar o que estão fazendo à nossa volta, se encher de coragem para entrar num ritmo de autodidática, de pesquisa, de arregaçar as mangas e tentar fazer tudo por conta própria. Há inúmeros recursos para suportar uma decisão nesse sentido. Para segurança da informação (“Cyber Security”), gosto em particular do CIS (Center for Internet Security, www.cisecurity.org), que oferece ferramentas gratuítas para auto-avaliação de maturidade (Maturity Self Assessment) muito práticas e objetivas, dentro de 20 domínios que cobrem tudo o que é necessário para se ter uma organização em conformidade com requisitos de segurança. Junte o CIS ao NIST (National Institute of Standards and Technology, www.nist.gov) e você terá praticamente tudo o que precisa para um programa de conformidade em segurança da informação extremamente robusto, cobrindo por exemplo ISO 27001, GDPR/LGPD (Privacidade de Dados) e FDA Data Integrity.

Muita ousadia afirmar isso? Talvez, mas eu acredito que não. Simples e fácil? Hummm… também creio que não. Impossível? Definitivamente não.

Segunda alternativa: investir em um programa de compliance com o suporte de quem entende do tema, seja montando uma equipe especializada própria, contratando uma empresa de serviços especializados ou ambos, o que é eventualmente mais recomendável. Considere que sua equipe própria possa ter apenas um gestor, com conhecimento de seu negócio e mercado de atuação, mas principalmente com conhecimento do domínio em que se busca a conformidade e habilidade para gerir os recursos próprios e de terceiros. Os especialistas pra valer, que irão por a mão na massa para fazer o programa se concretizar, podem ser terceiros. Talvez não seja adequado à organização mobilizar recursos próprios no longo prazo para atingir e se manter conforme. Essa alternativa requer um investimento maior, requer a compreensão de um investimento e esforço de longo prazo, com horizonte acima de dois anos e sem data para acabar. Se presume que a busca pela conformidade é crucial para a organização se manter competitiva, que não se trata de um luxo ou de uma opção.

A terceira e última alternativa não deveria ser recomendada ou adotada por ninguém. Ela é a mais cara de todas. Pressupõe que a organização não fez absolutamente nada ou fez errado. Nesse caso, o custo é o da urgência, da emergência, de lidar com o caos, de buscar medidas extremas de remediação por conta de algum estrago que já foi materializado. Aqui se incluem prejuízos financeiros, multas, operações paralisadas, interrupção no faturamento, danos à imagem, além de contratações emergenciais de especialistas para ajudar no tratamento da crise.

Estar conforme com alguma norma ou lei é uma exigência para sua organização? Há riscos concretos para sua organização, caso não adote algum padrão de ética, uma norma ou mostre fragilidade em comprovar que atende requisitos legais através de um robusto programa de governança, risco e conformidade? A LGPD, por exemplo, traz algum impacto ao seu negócio? Qual caminho a seguir? Com quem você pode contar para iniciar e persistir no caminho?

Fique atento. Minimamente, Segurança da Informação é um tema de extrema e total atenção, tanto no plano organizacional como pessoal. Mexa-se. Faça backups regularmente e não deixe de testá-los. Proteja-se com antivirus, softwares e dispositivos de segurança. Esteja atento ao mínimo necessário para proteger seus ativos.