Quando o Compliance empata a cybersegurança

Quando comecei minha caminhada no Compliance, nos idos de 2013, época da promulgação da Lei Anticorrupção (Lei 12.846/13) vi um cenário de pessoas ávidas por oportunidades, sonhando com um mundo melhor (estilo Rock in Rio…rsrs), bem como o surgimento de um mercado voraz explorando todas as nuances do tema, o qual tentou canibalizar muitas iniciativas de menor porte, somente para seus atores encherem os bolsos de dinheiro, “em nome da ética”.

O mais assustador, com o passar do tempo, foi ver o comportamento de muitos players do cenário do Compliance, que acabaram criando uma espécie de seita de adoradores da conformidade (quase no estilo Cacau Show - só faltou o ritual do Compliance), que não admitiam críticas às hipocrisias do sistema (investigações corporativas com violações de direitos, big stick apenas para empregados e não para o board e outras bizarrices que se via acontecer) e que tratavam tudo como se estivessem na Disney da conformidade.

Hoje vemos que muitas dessas “Disney” do Compliance são pura fachada (a exemplo da funcionária da BRF que perdeu seus filhos por negligência de atendimento da sua empresa (https://g1.globo.com/mt/mato-grosso/noticia/2025/06/30/empresa-condenada-apos-gravida-perder-gemeas-em-frigorifico-de-mt-tenta-reverter-decisao-veja-o-que-se-sabe.ghtml) e de outras que, agora, estão perdidas na realidade da tecnologia, tentando encaixar à força os seus dogmas em um contexto que funciona de forma bastante diferente das operações das empresas.

Enquanto fraudes financeiras devem ser mitigadas em um sistema com muitos controles e aprovações, conforme os ditames da referida Lei 12.846/13, a cybersegurança corporativa trabalha no sistema “every minute counts”, estilo hospital.

Isso não significa que a cybersegurança não precise de controles de Compliance, além dos que já existem em sua atividade (essencial para monitoramento de ameaças no fluxo de rede e de acessos indevidos a bancos de dados), e sim que eles devem ser encarados de uma outra forma.

Muitas vezes a segurança da informação das empresas depende de aprovação de maiores orçamentos de aquisição de ferramentas eficientes para proteger sistemas, sendo que, não pode haver demora na liberação destes recursos porque o inimigo externo está pronto 24hs para invadir o sistema, caso encontre alguma vulnerabilidade a ser explorada, principalmente em tempos de AI.

Não bastasse isso, as equipes de Compliance amam aqueles relatórios imensos de auditorias (na maioria das vezes escritos por advogados que adoram encher folhas com parágrafos inúteis - posso falar porque sou advogada também e odeio enrolação) para apresentar ao board e parecer muito eficiente, sendo que, muitas vezes, os resultados da cybersegurança não são lançados de forma correta em suas inúmeras laudas, figurando apenas estatísticas de falsos positivos em sistemas e sem a descrição de processos, o que pode trazer uma visão distorcida de seus progressos e necessidades.

Vale lembrar que auditoria de Compliance difere de auditoria de cybersegurança, a qual analisa os registros de logs em sistemas com atividade suspeita, de forma a prevenir a ação de ameaças, o que auxilia no aprimoramento de seus controles internos, de modo que é mais importante que aquelas estatísticas, mas certamente não irá constar daquele calhamaço de papel pra investidor curtir.

Assim, vemos que a área de governança e Compliance deve dialogar melhor com as lideranças de segurança da informação, para que a empresa cresça em proteção de sistemas e dados, sem que fique engessada por excesso de burocracias regulatórias que não terão efeito prático em um cenário de alto risco.