Home / Artigo / GRC 2020: você está enxergando? DEV-SEC_GOV_OPS

GRC 2020: você está enxergando? DEV-SEC_GOV_OPS

Venho estudando Marketing Digital, Growht Hacking, Neurociência, Blockchain, IA, RPA faz alguns anos (tudo fora do circuito tradicional de escolas, diplomas e salas de aula – parece piada eu falando isso!), e sinceramente o CODE vai engolir grande parte das boas práticas de GRC, ou melhor, vai TRANSFORMÁ-LAS digitalmente, sendo mais polido.

Participei dos últimos Digitalks em SP, de eventos como o RD Summit em Floripa, eventos da FIESP, de bancos, de aceleradoras e principalmente acompanhando o movimento dos institutos internacionais. Muita coisa útil, várias opiniões e posicionamentos e principalmente gente tentando dizer que seu produto é melhor que o do outro e que tem IA – Inteligência Artificial. Afinal, quem não tiver Cyber e IA daqui pra frente morreu, segundo muitos dos especialistas/comerciais de plantão! Cuidado se for comprar uma cafeteira ou um liquidificador tenha que ter IA!

Resolvi escrever este artigo na verdade para falarmos sobre Governança, Riscos e Conformidade para 2020. O Code é o novo “Ouro”, ou seja, muita coisa que hoje temos em papel, comitês, aprovações e outros irão morrer, e já estava na hora. Infelizmente, para muita gente de controles, segurança e etc o caminho será se reinventar, dar um upgrade, aprender código ou mudar de área. Passei a me perguntar, por que tantos projetos bem feitos pelas consultorias morrem? Ou até mesmo por que equipes internas morrem ou se descaracterizam ao longo do tempo, depreciando as camadas de controle e regredindo? E a resposta foi sempre uma só: O SER HUMANO É O BICHO MAIS COMPLICADO E SEM PADRÕES QUE EXISTE, ADORA CORRER RISCOS DESNECESSÁRIOS E CRITICAR O TRABALHO DE OUTROS S.H.

Por esse motivo, as novas tecnologias, sejam nano, biotech, IA, automação, analytics, BigData, Cyber Threat management, Machine Learning e etc servirão para proteger o S.H. de si próprio. Se ainda não conseguimos evoluir ao ponto de distribuir melhor comida com toda a tecnologia que temos em logística e produção agrícola, se não conseguimos resolver problemas de transporte, de saúde, de conflitos, de comunicação e não conseguimos colaborar de forma menos “capitalista destrutiva” em 2018 (lembre-se: que não sou esquerda e muito menos comunista pessoal!), e ainda estamos tratando problemas de 20 anos atrás em Gestão de TI, temos que ser substituídos na Governança e Controle dos Riscos. Começando pelas fiscalizadoras, auditorias e tribunais nos governos mundo a fora e principalmente nos municípios. Transparência será sinônimo de TECNOLOGIA!

ERA DOS SENSORES E ALGORITMOS

Assim como um controle de tração protege o motorista ou um sensor, evita uma colisão, um corte errado, ou uma explosão, precisaremos “gamificar” muitas práticas de Gestão Empresarial e monitorar melhor as migalhas digitais que estão na nossa frente. Para quê Gestão de Mudança com GEMUD, comitês e etc, se podemos monitorar, controlar e medir as “migalhas digitais e passos de logs e configurações deixados ao longo do caminho”? Não há volta, e seremos cada vez mais DEVSEC-OPS, ou até mesmo DEV-SEC-GOV-OPS. (Opa! eu que sai primeiro com esse termo heim pessoal!!)

Num empresa digital o DEVOPS é a base de tudo para se ir para o lugar certo e validar as programações, algoritmos, robôs e etc. O SECOPS é a evolução do conceito de DEVOPS, e GARANTE a segurança embutida para uma redução do risco ainda maior. Já a Governança, GRC, SegInfo, muitas vezes continua só para inglês ver!, E por que não vem junto?
Espero que sim, muitos controles, monitoramentos, análises para educação e correção precisam virar um mero algoritmo/código/robô/RPA/IA e evoluir sobre as migalhas digitais. Claro que precisaremos TUTORIAR e fazer Tunning (ajuste) para que a IA não entenda errado ou aprenda errado, cometendo “equívocos de interpretação”. GRC precisa ser integrada às OPERAÇÕES e seguir as migalhas deixadas para poder ANALISAR O COMPORTAMENTO EMPRESARIAL necessário. Precisamos estar mais orientados a produtos/processos/serviços e não mais a planilhas de auditorias periódicas.

Os velhos conceitos não estão desatualizados, mas precisam de LIFT DE CÓDIGO para poder sobreviver. Precisam ser mais integrados e dentro do dia a dia das migalhas digitais operacionais, que refletem o comportamento empresarial digital, e não mais pode ser acompanhado por monitoramento e auditorias tradicionais.

COMO VAMOS FAZER A GOVERNANÇA 2020!

Segundo a revista do MIT edição de JUL/AGO 2018, aproximadamente 50% das atividades correntes de trabalho nos EUA são totalmente adaptáveis e automatizáveis por tecnologias existentes. Seis de cada dez ocupações correntes têm cerca de 30% de automações possíveis nas atividades diárias. Eventualmente, 1 Robô = – 6 trabalhadores!

Estima-se que muitas funções desapareçam e outras migrem. Durante o evento @Expo Fórum Digitalks, foi comentado em painéis que o Recursos Humanos como o conhecemos hoje poderá sumir e dar lugar ao HRTO – Human Resources & Techs Office, será?
A Governança será mais adaptativa (palavra da moda) e precisará de muito mais linhas de código customizáveis e persuasivas nas operações, ou na mão do digitador ou na do robô. Aliás, robôs não precisam ser animados, grandes e falando com a gente. Nesse momento, milhares de robozinhos (programas de computador) com IA estão trabalhando, seja analisando contratos, buscando informações ou fazendo cálculos repetitivos, aprendendo e se aperfeiçoando cada vez mais.

Vem aí a pergunta que fiz para uma empresa que possui mais de 500 robôs de IA trabalhando para ela 24X7X365: “quem monitora os robôs?” Será que ainda trabalham para você? E a resposta foi: “isso não sabemos e não monitoramos tanto!” Confiamos na equipe de programação! Bom, foi assim, com essa confiança excessiva que uma IA chegou à conclusão sozinha, de que Hitler era bom e o que ele fez correto! Muito cuidado – a tutoria e o acompanhamento da IA é essencial. As doenças humanas como psicopatias e loucuras podem ser aprendidas pelas IAs e interpretadas como NORMAIS, o que não é bom.

Em cinco anos, poderemos substituir muitos controles atuais por controles com IA e automação, permitindo maior capilaridade, alcance e eficiência. Definir a estratégia e fazer a tutoria serão a responsabilidade de GRC, ensinando o que é ‘não conformidade’, exagero, conformidade, desvios, necessidade de educação, fraude, pré-fraude, desvios e cibercrimes.

O Disaster Recovery para tecnologia já morreu! Vivo dizendo isso, e a forma que fazemos hoje um Plano de Continuidade, achando que ele é um conjunto de papel em uma pasta bonita já era, e faz alguns anos. Hoje temos vídeo, automação de processos e principalmente nuvem, portanto, pode-se automatizar desde a detecção, os relógios para saber quando é incidente e o quanto se está estourando o RTO, prever e prover o acionamento e ALÉM DE TUDO ISSO, monitorar e auditar em real time.
Boa jornada GRCs 2020! E bom lift!

Sobre Jeferson D'Addario - CBCP, MBCI, CRISC

mm
Consultor sênior há mais de vinte anos em TI, gestão de riscos e continuidade de negócios, ganhador do prêmio SECMASTER 2006 na categoria “Melhor Contribuição para o Desenvolvimento de Mercado”. Possui mais de 35 projetos de Continuidade de Negócios para empresas líderes no Brasil e Exterior nos últimos dez anos. Certificado como CBCP pelo DRII-USA, MBCI pelo BCI-UK, CRISC pela ISACA, ISO 27001 lead auditor (BSI). Formação em Economia e TI. Foi o responsável por trazer e desenvolver os primeiros cursos de continuidade de negócios oficiais do DRII – Disaster Recovery Institute International para o Brasil em 2005. Desde 2010 é instrutor oficial do DRII e representante executivo para o Brasil. É Membro da ISACA-SP, sendo colaborador na tradução do COBIT 4.1. Possui ampla experiência em Gestão de TIC (ITIL e ISO 20.000) e Govenança de TIC (COBIT, ISO 38500), tendo sido gerente e diretor de TI em empresas nacionais, e participado de projetos de implementação e certificação. Criador, coordenador e professor da Pós-graduação em GTSI - Gestão e Tecnologia em Segurança da Informação, curso DARYUS aplicado na Faculdade Impacta Tecnologia (FIT) – SP/SP, desde 2003, atualmente na turma 15. É sócio-diretor e fundador da DARYUS Consultoria e Treinamento, e atualmente CEO do Grupo DARYUS. Possui ampla experiência em gestão empresarial de negócios, pessoas, educação, gestão de crises, comunicação empresarial, relacionamento executivo e gestão financeira, apoiando executivos de grandes empresas no Brasil em projetos de consultoria. Palestrante, articulista e colaborador em eventos nacionais e internacionais relacionados a GRC, TI, Continuidade e Gestão Empresarial. Foi reconhecido pela Infragard – Califórnia em 2010 pela contribuição na área de segurança da informação para o Brasil. Já lecionou anteriormente para IPEN – Instituto de Pesquisas Nucleares – USP – SP e Instituto Trevisan – SP.

Confira tambem

Máquinas para respostas e humanos para perguntas: um resumo da 13ª edição do Global Risk Meeting

Com o propósito de reunir referências do mercado para debaterem o crescente uso da Inteligência …

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *