Por Yair Kuznitsov, cofundador e CEO, Anedotas
Toda semana converso com equipes empresariais de GRC que entendem exatamente o que a IA agente pode fazer por sua profissão. Eles leram os artigos, viram as demonstrações e podem articular a diferença entre a IA que faz um fluxo de trabalho andar um pouco, ou até muito mais rápido, e um agente que o substitui totalmente.
Mesmo assim, alguns continuam relutantes em fazer a mudança para o GRC agente.
Quando pergunto por quê, a conversa se afasta da tecnologia rapidamente. A maioria deles tem o “orçamento de IA” disponível, mas algo os impede de fazer a mudança e nem sempre conseguem nomear o que é.
Todas as conversas eventualmente levam ao mesmo lugar, mesmo que eles não consigam dizer isso com tantas palavras: eles não têm certeza de quem são quando as operações não são mais deles. É uma questão de identidade e até de valor acima de tudo.
A maioria dos praticantes de GRC carrega uma crença implícita sobre a origem do seu valor. Essa crença não está errada, mas descreve um papel que está a ser reestruturado, e aqueles que fizerem a transição mais rapidamente serão os que liderarão a indústria nos próximos anos.
A competência que nos trouxe até aqui
Os profissionais de GRC construíram o seu conhecimento em torno da competência operacional. Saber como reunir as evidências corretas, gerenciar ciclos de auditoria sob pressão e manter um programa de conformidade complexo em execução quando há falta de pessoal e recursos têm sido sinais de um membro valioso da equipe de GRC há anos.
Essa competência levou anos para ser desenvolvida, e as pessoas que a possuem são genuinamente boas no que fazem e são legitimamente valorizadas pelo seu negócio.
O problema com GRC agente é que não recompensa essa competência da mesma forma. Os agentes podem coletar evidências, abrir tarefas de correção e gerenciar sozinhos a maior parte do ciclo de auditoria. Dado que os agentes podem lidar com essas operações, a verdadeira questão é o que um profissional de GRC deveria fazer, e a maioria das organizações ainda não fez essa pergunta.
Os verdadeiros engenheiros de GRC não vivem em planilhas. Eles declaram controles no Terraform, versionam-nos no Git e roteiam cada atualização por meio de pull requests e pipelines de CI/CD.
Baixe GRC Engineering 101 para saber como começar
A mudança que eles estavam esperando
O GRC não foi projetado para ser uma função operacional. Ele foi projetado para ajudar as organizações a compreender e gerenciar riscos. A recolha de provas, os ciclos de auditoria, as atualizações de estado foram sempre implementações desse propósito, e não do propósito em si. Os profissionais que entraram nesta área não foram atraídos por causa da “diversão” da recolha de provas.
Eles se preocupavam se a organização estava realmente protegida ou apenas aparentando estar, e queriam fornecer essa visão ao negócio.
O que aconteceu com o tempo é que as ferramentas não acompanharam os programas e a carga operacional consumiu tudo. As pessoas que deveriam estar pensando sobre o risco passavam a maior parte do tempo mantendo a máquina funcionando, não porque esse fosse o objetivo da função, mas porque alguém tinha que fazer isso e não havia outra maneira.
O que os agentes fazem e o que não podem
O Agentic GRC não acelera os fluxos de trabalho, ele os substitui. A evidência não flui mais através de uma pessoa; ele é extraído continuamente de sistemas integrados. Os controles não são verificados periodicamente; eles são monitorados em tempo real. A correção não é rastreada em planilhas; os tickets são abertos, atribuídos, acompanhados e fechados automaticamente.
Mas os agentes não se projetam. A lógica que os orienta (o que coletar, o que constitui aprovação ou reprovação, o que desencadeia uma escalada, o que o auditor aceitará como evidência) vem de uma combinação chave: contexto de dados e percepção humana.
Alguém tem que definir o apetite ao risco, decidir o que realmente significa “remediado”, saber quando o resultado parece correto e quando falta algo que o sistema não consegue ver.
GRC agente em Anedotas é construído exatamente em torno deste modelo. Os agentes cuidam das operações de ponta a ponta, com base na base de dados robusta que passamos anos construindo e na lógica definida pela equipe de GRC.
Quando os agentes podem lidar com o cadeias de evidências, testes de controle e preparação de auditoria, a questão do que o GRC deveria realmente fazer muda. E para praticantes com verdadeira profundidade, essa resposta é o que sempre souberam fazer. Mas isso não torna a mudança fácil.
Redefinir um papel é difícil e traz medos reais. Muitas pessoas estão preocupadas com seus empregos por causa da IA, algumas com mais razão do que outras.
Especificamente para os profissionais de GRC, isso é menos uma ameaça do que a oportunidade que eles estavam esperando.
Os profissionais que fizeram essa mudança descrevem-na menos como aprender algo novo e mais como obter permissão para fazer o que foram treinados para fazer.
Seu trabalho passou a ser dizer aos agentes o que é importante: definir o apetite de risco correto, decidir quais controles estão genuinamente protegendo algo e quais existem porque sempre existiram, saber quando uma descoberta automatizada é um problema real e quando é ruído, e traduzir o contexto de negócios em lógica de conformidade de uma forma que nenhum agente pode replicar, porque essa tradução requer julgamento construído a partir de anos de experiência.
Esse julgamento esteve presente nas equipes do GRC o tempo todo, esperando que a carga operacional diminuísse.
As organizações que agirem primeiro não vencerão porque suas equipes são melhores em IA. Eles vencerão porque suas equipes de GRC finalmente terão tempo e mandato para fazer o que conformidade deveria fazer: pensar claramente sobre riscoaja de acordo com o que realmente importa e pare de gerenciar um programa e comece a liderá-lo.
Por que deixar ir parece perder
A relutância que surge nessas conversas faz mais sentido quando você enquadra dessa forma.
Os profissionais não têm medo de perder o seu valor; eles têm medo de perder as operações que se tornaram sua identidade, mesmo que essas operações nunca tenham sido o que eles desejavam. Abandonar isso é como perder algo, o que torna difícil ver o que está esperando do outro lado. E o que está esperando está muito mais alinhado com o motivo pelo qual eles começaram esse trabalho.
A mudança, quando acontece, é menos uma transformação do que um retorno ao que o papel sempre deveria ser.
Saiba mais sobre GRC agente com anedotas em anedotas.ai
Patrocinado e escrito por Anedotas.
Deseja saber mais sobre Segurança Clique Aqui!
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.