⚡ Não perca: notícia importante no ar! ⚡
Sua opinião é importante: leia e participe!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Por Yair Kuznitsov, cofundador e CEO, Anedotas
Toda semana converso com equipes empresariais de GRC que entendem exatamente o que a IA agente pode fazer por sua profissão. Eles leram os artigos, viram as demonstrações e podem articular a diferença entre a IA que faz um fluxo de trabalho andar um pouco, ou até muito mais rápido, e um agente que o substitui totalmente.
Mesmo assim, alguns continuam relutantes em fazer a mudança para o GRC agente.
Quando pergunto por quê, a conversa se afasta da tecnologia rapidamente. A maioria deles tem o “orçamento de IA” disponível, mas algo os impede de fazer a mudança e nem sempre conseguem nomear o que é.
Todas as conversas eventualmente levam ao mesmo lugar, mesmo que eles não consigam dizer isso com tantas palavras: eles não têm certeza de quem são quando as operações não são mais deles. É uma questão de identidade e até de valor acima de tudo.
A maioria dos praticantes de GRC carrega uma crença implícita sobre a origem do seu valor. Essa crença não está errada, mas descreve um papel que está a ser reestruturado, e aqueles que fizerem a transição mais rapidamente serão os que liderarão a indústria nos próximos anos.
A competência que nos trouxe até aqui
Os profissionais de GRC construíram o seu conhecimento em torno da competência operacional. Saber como reunir as evidências corretas, gerenciar ciclos de auditoria sob pressão e manter um programa de conformidade complexo em execução quando há falta de pessoal e recursos têm sido sinais de um membro valioso da equipe de GRC há anos.
Essa competência levou anos para ser desenvolvida, e as pessoas que a possuem são genuinamente boas no que fazem e são legitimamente valorizadas pelo seu negócio.
O problema do GRC agente é que ele não recompensa essa competência da mesma forma. Os agentes podem coletar evidências, abrir tarefas de correção e gerenciar sozinhos a maior parte do ciclo de auditoria. Dado que os agentes podem lidar com essas operações, a verdadeira questão é o que um profissional de GRC deveria fazer, e a maioria das organizações ainda não fez essa pergunta.
Engenharia GRC 101: Programa como Código
Os verdadeiros engenheiros de GRC não vivem em planilhas. Eles declaram controles no Terraform, versionam-nos no Git e roteiam cada atualização por meio de pull requests e pipelines de CI/CD.
Baixe GRC Engineering 101 para saber como começar
Baixe agora
A mudança que eles estavam esperando
O GRC não foi projetado para ser uma função operacional. Ele foi projetado para ajudar as organizações a compreender e gerenciar riscos. A recolha de provas, os ciclos de auditoria, as atualizações de estado foram sempre implementações desse propósito, e não do propósito em si. Os profissionais que entraram nesta área não foram atraídos por causa da “diversão” da recolha de provas.
Eles se preocupavam se a organização estava realmente protegida ou apenas aparentando estar, e queriam fornecer essa visão ao negócio.
O que aconteceu com o tempo é que as ferramentas não acompanharam os programas e a carga operacional consumiu tudo. As pessoas que deveriam estar pensando sobre o risco passavam a maior parte do tempo mantendo a máquina funcionando, não porque esse fosse o objetivo da função, mas porque alguém tinha que fazer isso e não havia outra maneira.
O que os agentes fazem e o que não podem
O Agentic GRC não acelera os fluxos de trabalho, ele os substitui. A evidência não flui mais através de uma pessoa; ele é extraído continuamente de sistemas integrados. Os controles não são verificados periodicamente; eles são monitorados em tempo real. A correção não é rastreada em planilhas; os tickets são abertos, atribuídos, acompanhados e fechados automaticamente.
Mas os agentes não se projetam. A lógica que os orienta (o que coletar, o que constitui aprovação ou reprovação, o que desencadeia uma escalada, o que o auditor aceitará como evidência) vem de uma combinação chave: contexto de dados e percepção humana.
Alguém tem que definir o apetite ao risco, decidir o que realmente significa “remediado”, saber quando o resultado parece correto e quando falta algo que o sistema não consegue ver.
Agentic GRC em Anecdotes é construído exatamente em torno desse modelo. Os agentes cuidam das operações de ponta a ponta, com base na base de dados robusta que passamos anos construindo e na lógica definida pela equipe de GRC.
Quando os agentes conseguem lidar com as cadeias de evidências, os testes de controle e a preparação da auditoria, a questão sobre o que o GRC deveria realmente fazer muda. E para praticantes com verdadeira profundidade, essa resposta é o que sempre souberam fazer. Mas isso não torna a mudança fácil.
Redefinir um papel é difícil e traz medos reais. Muitas pessoas estão preocupadas com seus empregos por causa da IA, algumas com mais razão do que outras.
Especificamente para os profissionais de GRC, isso é menos uma ameaça do que a oportunidade que eles estavam esperando.
Os profissionais que fizeram essa mudança descrevem-na menos como aprender algo novo e mais como obter permissão para fazer o que foram treinados para fazer.
O trabalho deles porque
Toda semana converso com equipes empresariais de GRC que entendem exatamente o que a IA agente pode fazer por sua profissão. Eles leram os artigos, viram as demonstrações e podem articular a diferença entre a IA que faz um fluxo de trabalho andar um pouco, ou até muito mais rápido, e um agente que o substitui totalmente.
Mesmo assim, alguns continuam relutantes em fazer a mudança para o GRC agente.
Quando pergunto por quê, a conversa se afasta da tecnologia rapidamente. A maioria deles tem o “orçamento de IA” disponível, mas algo os impede de fazer a mudança e nem sempre conseguem nomear o que é.
Todas as conversas eventualmente levam ao mesmo lugar, mesmo que eles não consigam dizer isso com tantas palavras: eles não têm certeza de quem são quando as operações não são mais deles. É uma questão de identidade e até de valor acima de tudo.
A maioria dos praticantes de GRC carrega uma crença implícita sobre a origem do seu valor. Essa crença não está errada, mas descreve um papel que está a ser reestruturado, e aqueles que fizerem a transição mais rapidamente serão os que liderarão a indústria nos próximos anos.
A competência que nos trouxe até aqui
Os profissionais de GRC construíram o seu conhecimento em torno da competência operacional. Saber como reunir as evidências corretas, gerenciar ciclos de auditoria sob pressão e manter um programa de conformidade complexo em execução quando há falta de pessoal e recursos têm sido sinais de um membro valioso da equipe de GRC há anos.
Essa competência levou anos para ser desenvolvida, e as pessoas que a possuem são genuinamente boas no que fazem e são legitimamente valorizadas pelo seu negócio.
O problema do GRC agente é que ele não recompensa essa competência da mesma forma. Os agentes podem coletar evidências, abrir tarefas de correção e gerenciar sozinhos a maior parte do ciclo de auditoria. Dado que os agentes podem lidar com essas operações, a verdadeira questão é o que um profissional de GRC deveria fazer, e a maioria das organizações ainda não fez essa pergunta.
Engenharia GRC 101: Programa como Código
Os verdadeiros engenheiros de GRC não vivem em planilhas. Eles declaram controles no Terraform, versionam-nos no Git e roteiam cada atualização por meio de pull requests e pipelines de CI/CD.
Baixe GRC Engineering 101 para saber como começar
Baixe agora
A mudança que eles estavam esperando
O GRC não foi projetado para ser uma função operacional. Ele foi projetado para ajudar as organizações a compreender e gerenciar riscos. A recolha de provas, os ciclos de auditoria, as atualizações de estado foram sempre implementações desse propósito, e não do propósito em si. Os profissionais que entraram nesta área não foram atraídos por causa da “diversão” da recolha de provas.
Eles se preocupavam se a organização estava realmente protegida ou apenas aparentando estar, e queriam fornecer essa visão ao negócio.
O que aconteceu com o tempo é que as ferramentas não acompanharam os programas e a carga operacional consumiu tudo. As pessoas que deveriam estar pensando sobre o risco passavam a maior parte do tempo mantendo a máquina funcionando, não porque esse fosse o objetivo da função, mas porque alguém tinha que fazer isso e não havia outra maneira.
O que os agentes fazem e o que não podem
O Agentic GRC não acelera os fluxos de trabalho, ele os substitui. A evidência não flui mais através de uma pessoa; ele é extraído continuamente de sistemas integrados. Os controles não são verificados periodicamente; eles são monitorados em tempo real. A correção não é rastreada em planilhas; os tickets são abertos, atribuídos, acompanhados e fechados automaticamente.
Mas os agentes não se projetam. A lógica que os orienta (o que coletar, o que constitui aprovação ou reprovação, o que desencadeia uma escalada, o que o auditor aceitará como evidência) vem de uma combinação chave: contexto de dados e percepção humana.
Alguém tem que definir o apetite ao risco, decidir o que realmente significa “remediado”, saber quando o resultado parece correto e quando falta algo que o sistema não consegue ver.
Agentic GRC em Anecdotes é construído exatamente em torno desse modelo. Os agentes cuidam das operações de ponta a ponta, com base na base de dados robusta que passamos anos construindo e na lógica definida pela equipe de GRC.
Quando os agentes conseguem lidar com as cadeias de evidências, os testes de controle e a preparação da auditoria, a questão sobre o que o GRC deveria realmente fazer muda. E para praticantes com verdadeira profundidade, essa resposta é o que sempre souberam fazer. Mas isso não torna a mudança fácil.
Redefinir um papel é difícil e traz medos reais. Muitas pessoas estão preocupadas com seus empregos por causa da IA, algumas com mais razão do que outras.
Especificamente para os profissionais de GRC, isso é menos uma ameaça do que a oportunidade que eles estavam esperando.
Os profissionais que fizeram essa mudança descrevem-na menos como aprender algo novo e mais como obter permissão para fazer o que foram treinados para fazer.
O trabalho deles porque
#samirnews #samir #news #boletimtec #agentic #grc: #equipes #obtêm #a #tecnologia. #a #mudança #de #mentalidade #é #o #que #está #faltando.
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário