Tag: auditoria de TI

Categorias
RPA

RPA O Que É Esta Sigla? Como Funciona?

RPA o que é esta sigla? RPA significado de Robotic Process Autommation, é uma tecnologia que transforma processos lentos e manuais em atividades extremamente rápidas e automáticas. 

Gigantes da tecnologia como a SAP já estão criando soluções integradas aos seus sistemas. NO Office 365 já é possível automatizar tarefas no Microsoft Flow.

Como funciona um RPA?

Normalmente, há um primeiro mapeamento de processo por um analista de negócios. Neste momento, ele identifica “atividades braçais”, repetitivas, com pouca ou nenhuma decisão envolvida.

Em seguida, são mapeados os sistemas envolvidos, tipos de acesso, usuários, perfis, funções, forma de autenticação na ferramenta. Isso permite configurar o robô para simular um acesso humano.

Depois, são listados todos os passos em sequência de execução. Aqui, também são verificadas as exceções que podem ocorrer e como tratar cada possibilidade. Em programação chamamos isso de algoritimo.

Testes de integridade dos dados podem ser necessários.

O RPA autônomo utiliza inteligência artificial para tomar decisões sozinho e até a aprender novos fluxos.

Riscos em RPA

A execução automática de um erro que era cometido esporadicamente de forma manual pode aumentar exponencialmente um problema.

Se o processo está um caos, não adianta automatizar o caos. Dê um passo atrás, faça um mapeamento de processo, identifique atividades desnecessárias, duplicadas, e revise os controles.

Certamente é um tema novo na auditoria de tecnologia.

RPA no GRC

Governança, Riscos e Compliance podem aproveitar o potencial dos robôs e substituir atividades repetitivas como consultas de due dilligence, busca de informações para apurações de denúncias de ética e conduta, testes de controles, auditoria interna, auditoria contínua, preenchimento de cadastros, envio automatico de e-mails, geração de relatórios e etc..

A Harvard Business Review publicou um artigo em inglês, intitulado: “Você está desenvolvendo habilidades que não serão automatizadas?”. Gurus falam que algumas profissões irão acabar? O que você pensa sobre o futuro da Auditoria Interna, Riscos e Compliance? Comente a respeito!

Categorias
Auditoria Compliance LGPD

Nova Lei De Proteção Dados e a Auditoria Interna

LGPD – Lei Geral de Proteção de Dados.

LGPD significa Lei Geral de Proteção de Dados – a nova lei nº 13.709/2018, semelhante à GDPR, amplia o marco civil da internet e estabelece parâmetros de proteção ao cidadão nos processos de coleta, retenção, utilização e exclusão de dados pessoais.

Certamente, os profissionais de Auditoria Interna e TI, Governança Corporativa e Compliance, e até mesmo de TI devem estudar o tema com cuidado. Novos desafios profissionais surgem na era do Big Data.

GDPR

A Lei de Dados é sobretudo inspirada na GDPR (General Data Protection Regulation), lei européia com a mesma finalidade.

A GDPR já provocou profundas mudanças em empresas com operação na Europa e já podemos ver algumas dessas mudanças aqui.

Para citar alguns exemplos da aplicação da lei na Europa: Whatsapp, Facebook e Google já possuem funções de controle privacidade contendo explicações de como as informações são utilizadas, revisão de consentimento e até mesmo download dos dados pessoais cadastrados nas plataformas.

Objetivos

  • Clareza: o cidadão tem o direito de ser informado com clareza quais são os dados coletados e como eles serão utilizados;
  • Classificação dos dados: dados pessoais e dados pessoais sensíveis;
  • Papéis e Responsabilidades – a nova lei define diretos e deveres para cada um dos envolvidos: titular, controlador, processador;
  • Consentimento: informações só poderão ser coletadas, controladas ou processadas com o consentimento do titular.

Principais exigências da nova lei

  • Solicitação de confirmação da existência de dados pessoais;
  • Acesso aos próprios dados.
  • Possibilidade de correção dos dados: informações incompletas, inexatas ou desatualizadas;
  • Anonimizar, bloquear ou excluir dados tratados indevidamente;
  • Portabilidade dos dados para outra empresa;
  • Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação do consentimento.

Dados Pessoais

Dados pessoais são características únicas do indivíduo como CPF, RG, data de nascimento etc.

Estes dados são o foco da nova lei, porém algumas implicações legais deverão ser consideradas. Por exemplo: uma situação conflitante em que o cidadão exige a exclusão dos dados mas uma outra lei exige a retenção ou até mesmo a divulgação compulsória daquela informação.

Alguns dados não são estritamente pessoais, mas, quando correlacionados permitem a identificação de um indivíduo. Desta forma, juntando alguns atributos como idade, sexo, endereço, número de telefone ou e-mail é possível identificar alguém sem saber necessariamente o seu CPF.

Dados sensíveis

Dados sensíveis são informações que possam trazer algum tipo de constrangimento quando divulgadas sem autorização. Quando mal controlados, esses dados tem potencial de utilização para atacar, discriminar ou constranger outros (bullying). Alguns exemplos de dados sensíveis: Crença, orientação sexual, histórico de saúde.

Preferências pessoais como hábitos de compra, histórico de localização são amplamente explorados em campanhas de marketing digital. Normalmente presente em cookies, esses dados também passarão a ser protegidos pela lei de dados. O marco civil da internet, lei 12965, foi o pontapé inicial nessa jornada. A lei de acesso à informação (12.527/2011) é também revisitada nessa nova legislação.

Consentimento de uso

A Organização deverá estar preparada para solicitar o consentimento de uso de dados pessoais, indicando claramente o objetivo da utilização.

Este consentimento poderá ser revisado (ampliado ou reduzido), delimitado ou até mesmo revogado a critério do indivíduo dono dos dados.

Forget my Data

Esqueça meus dados! Amparados pela nova lei de proteção de dados, os consumidores terão o direito de solicitar a exclusão de dados pessoais a qualquer momento.

A exclusão de dados pessoais poderá ser parcial ou total.

Uma prática comum em Tecnologia da Informação é a exclusão lógica de informações. Ao invés de realmente excluir o dado, ele é marcado com uma flag de inativação. No entanto, o dado continua lá e pode ser “reativado” à qualquer momento. Este tipo de exclusão fake terá de ser revisto, remodelado, e pode alterar completamente a lógica e o código fonte de algumas aplicações.

Data Protection Officer

DPO ou Data Protection Officer será o profissional responsável por garantir o cumprimento da nova lei de proteção de dados pessoais. Consequentemente, novas oportunidades de trabalho surgirão para profissionais relacionadas à riscos, controles internos e segurança da informação.

Além de conhecimento técnico serão necessárias ferramentas tecnológicas para auxiliar a jornada de LGPD:

  • Data Discovery
  • Data Quality, Integrity & Cleansing
  • Data Classification
  • Data Loss Prevention

A Microsoft já adotou medidas para incluir essas ferramentas na nuvem do Office 365, como por exemplo o Security & Compliance Center.

ANPD

Por fim, tudo isso precisará de fiscalização. A Autoridade Nacional de Proteção de Dados será o orgão governamental responsável por fiscalizar a aplicação da nova lei de dados. Assim sendo, a agência poderá inclusive aplicar multas quando identificar violações da lei.

você está offline!