Para que servem as auditorias de Privacidade de Dados e Segurança da Informação?

Desconsiderando conceitos e definições prontas, qual é a utilidade que as auditorias de Privacidade de Dados e Segurança da Informação possuem para os envolvidos? Quem ganha o quê? Quais mudanças as auditorias causam? Isso vale o custo envolvido (financeiro, tempo, esforço, pessoas e demais recursos)?

Para responder a estas questões devemos, em primeiro lugar, quem são os grupos afetados por uma auditoria de Privacidade de Dados e Segurança da Informação e, de forma ampla e simples, podemos listar os seguintes atores:

• Alta Direção;
• Áreas corporativas e projetos internos;
• Área Jurídica;
• Área responsável por Segurança Física;
• Área de Tecnologia da Informação;
• Área de Recursos Humanos, Departamento Pessoal, Folha de Pagamento e Recrutamento e Seleção;
• Área de Privacidade de Dados e Segurança da Informação;
• Parceiros;
• Clientes

Todos estes grupos (que podem ser expandidos ou sintetizados, dependendo da realidade de cada um) devem ter uma clara visão de como isso impacta suas esferas, desde o mais estratégico (no caso da Alta Direção) até o ponto tático e operacional (demais áreas), passando pelos custos financeiros e também de reputação que isso pode acarretar (e, consequentemente, impactar na conquista, retenção ou mesmo perda de parceiros e clientes por conta de questões legais e mesmo de competitividade em alinhamento com o que o mercado atual exige).

Logo após temos de refletir sobre os ganhos para a organização que é auditada. O que acontece depois que as áreas são comunicadas e preparadas, o período de auditoria chega e é concluído e o relatório é entregue ao representante daquele evento? São informações relevantes e que vão aumentar a conformidade com as leis, a eficácia e a efetividade com as práticas de mercado e, finalmente, gerar retorno direto (o ROI) ou mesmo indireto (na prevenção de perdas por vazamentos e outros eventos relacionados e mesmo na demonstração de capacidade que poder levar à conquista de um cliente antes não ao alcance).

Sobre as mudanças, uma auditoria pode ou não gerar mudanças, mas normalmente elas não acontecem depois do processo, e sim antes. É no período anterior à auditoria onde se espera que a organização tenha comunicado seu objetivo (adequar-se a uma lei, conquistar uma certificação, etc) e, a partir daí, a área de Privacidade de Dados e Segurança da Informação faz a construção de toda a atmosfera necessária para que isso seja viabilizado, cabendo à auditoria apenas atestar suas intenções previamente definidas (portanto, nenhuma auditoria deve provocar mudanças drásticas após sua realização, mas sim antes disso).

Já o custo envolvido na realização da auditoria é algo muito amplo, uma vez que, ao definir o objetivo, ações preliminares são realizadas, pessoas são envolvidas, mudanças são feitas e dinheiro é gasto. Depois disso, há o período (também custoso em todos estes aspectos) na contratação e realização da auditoria e, finalmente, o pós-auditoria requer que estes custos se tornem permanentes, como parte da operação.

Enfim, uma auditoria sá tem utilidade quando ela é a finalização de um processo que visa um objetivo muito maior do que simplesmente obter um certificado. O que deve realmente ser visado pelo CISO ou DPO é o que isso vai causar em termos de melhoria contínua e permanente.