O Facebook, que já foi a rede social queridinha que não fazia nada de errado aos olhos de seus usuários e investidores, passou por outro revés recentemente. Pesquisadores de uma empresa de cibersegurança descobriram informações de usuários do Facebook prontamente disponíveis em servidores de computação na nuvem geridos pela Amazon.com.

 

Essa revelação vem cerca de um ano depois que o Facebook foi ridicularizado pelo escândalo da Cambridge Analytica, em que um desenvolvedor de aplicativos compartilhou dados de milhões de usuários do Facebook com uma empresa de consultoria política. Apesar das garantias do CEO do Facebook, Mark Zuckerberg, de que a empresa faria mais para proteger os dados dos usuários, lapsos como o que envolve a Amazon continuam a aparecer.

 

A partir de uma perspectiva de auditoria interna, os problemas do Facebook oferecem uma lição clara e convincente: os dados, antes vistos apenas como um ativo a ser aproveitado, agora também devem ser vistos como uma possível responsabilidade ou risco. A demanda está crescendo por uma proteção maior aos dados, ou mais precisamente, às informações pessoais identificáveis que fazem dessas informações um tesouro para os profissionais de marketing, varejistas, campanhas políticas e outros que querem influenciar o que o público pensa e faz.

 

Mais governos estão considerando criar uma legislação que exija que os agregadores de dados protejam os dados e garantam a privacidade. Uma pesquisa recente do Institute of Business Value da IBM deixa claro que o público também está exigindo prestação de contas.

 

Três quartos dos entrevistados pela pesquisa da IBM disseram que não confiam nas empresas com seus dados. Além disso, 87 por cento disseram que os governos devem regular as empresas que gerenciam dados pessoais e 40 por cento disseram que os executivos de C-Level devem ser multados ou presos por não o fazer.

 

Em suma, os dados assumiram um papel duplo de Dr. Jekyll e Sr. Hyde. A mineração e análise de dados são uma etapa fundamental nas decisões estratégicas de negócios. Ajudam empresas e organizações a construir modelos baseados em informações históricas para prever o comportamento futuro. Mas a má gestão dos dados e a incapacidade de entender o que eles nos dizem são um risco. Esse risco torna-se mais distinto e complexo quando a incapacidade de proteger os dados prejudica a reputação da organização. Inclusive, 70% dos chief audit executives que responderam à pesquisa Pulse of Internal Audit de 2019 do The IIA listaram como a maior preocupação de cibersegurança os danos reputacionais decorrentes de uma violação de dados.

 

Os auditores internos devem cultivar e manter um profundo entendimento de como suas organizações coletam, gerenciam, protegem, usam e compartilham dados. Também devem ter controle sobre as práticas passadas e atuais de uso e armazenamento de dados. Para ter certeza, a lista de áreas em que a auditoria interna pode garantir a segurança dos dados é significativa.

 

Compliance. Os novos regulamentos de proteção dos dados — da Global Data Protection Regulation na Europa à nova lei California Consumer Privacy Act, que entrará em vigor no próximo ano — estão criando rapidamente uma complexa teia de riscos de conformidade relacionados à proteção de dados. A auditoria interna deve estar a par dessas regulamentações, bem como de possíveis novas regulamentações, e fornecer conhecimentos e visão de futuro sobre os passos que as organizações devem dar para atingir a conformidade.

 

Operacional. Políticas e processos que abordam como os dados são coletados, gerenciados e protegidos oferecem muitas oportunidades de prestar avaliação. Uma área fundamental relacionada à proteção dos dados é como eles são compartilhados interna e externamente. Para muitas organizações, as políticas e processos criados para proteger os dados são secundários àqueles criados para monetizá-los, o que aumenta o risco de violações de dados.

 

Estratégico. Conselhos e C-suítes tomam decisões estratégicas de negócios com base em muitos fatores, incluindo a análise de dados. A auditoria interna deve prestar avaliação sobre a precisão dos dados e sobre o próprio processo de análise.

 

Cultura. Esse é um dos aspectos mais desafiadores e menos óbvios do risco de dados. A auditoria interna deve entender como a abordagem e as decisões da organização sobre os dados influenciam as operações rotineiras. Além disso, os auditores precisam entender a capacidade da organização de se adaptar às mudanças nas necessidades de dados. A cultura é frequentemente definida como "a forma como fazemos as coisas por aqui". Se "a forma como fazemos as coisas" desconsidera a necessidade de proteger os dados, também temos um problema cultural.

 

Uma pesquisa de 2018 da Gartner descobriu que mais de 87 por cento das organizações são classificadas como tendo pouca inteligência de negócios e pouca maturidade em análise. Isso não apenas cria obstáculos para as organizações que desejam aumentar o valor de seus ativos de dados e explorar novas tecnologias de análise, como também sugere que há pouca compreensão das consequências legais e éticas do uso de dados.

 

Claramente, há muito que a auditoria interna pode oferecer em relação aos dados. Os CAEs devem falar francamente aos conselhos e à gerência executiva sobre o valor da avaliação em cada uma das áreas descritas aqui e devem estar preparados para prestar essa avaliação quando a oportunidade surgir.

 

Como sempre, aguardo seus comentários.

 

Divulgação:

Richard F. Chambers, presidente e CEO do Global Institute of Internal Auditors, escreve artigos semanais para um blog da InternalAuditor.org sobre assuntos e tendências relevantes para a profissão de auditoria interna.