Excel: um risco que merece atenção especial na adequação à LGPD
*Marcelo Farinha | O Excel nasceu em meados da década de 80 e, em pouquíssimo tempo, se tornou uma ferramenta essencial ao funcionamento de várias empresas, independentemente da atividade ou porte. Uma pesquisa da Salesforce identificou que 81% das empresas no Mundo o utilizam no dia a dia.
São muitas as suas funcionalidades. Alguns pesquisadores chegam a considerá-lo um dos principais pilares da Shadow IT (TI das Sombras) ou TI Invisível. Neste ambiente, os ativos tangíveis (discos e pen drives) ou intangíveis de TI (software e arquivos) ficam fora da governança dos departamentos de TI.
A questão é que tanto poder e informalidade trouxeram consigo alguns riscos, entre os quais se destaca a forma como os usuários carregam dados em planilhas, muitas vezes com o rápido -mas também perigoso- “ctrl c ctrl v”, sem se preocuparem com a origem e o momento temporal em que aqueles dados se encontram nos sistemas de origem. As saídas dos ERPs em Excel ou PDF são inputs comuns e muitas vezes utilizados para fazer as integrações das quais as empresas dependem para tomada de decisões, definição de estratégias ou atendimento às exigências fiscais e legais.
Todavia, apesar das inúmeras e inegáveis vantagens, o Excel não nasceu para ser uma ferramenta colaborativa. Muitas vezes um usuário faz uma variedade enorme de cálculos e evoluções na sua máquina, e, ao salvar numa planilha compartilhada, é impedido porque o documento está sendo utilizado por outro usuário. Neste caso, ele tem duas opções: perder tudo o que foi feito ou criar uma nova versão para futura integração. A segunda opção é, na maioria das vezes, a escolhida. O problema é que a integração acaba não acontecendo e a empresa passa a contar com várias versões de um mesmo fato, o que o mercado chama de “erro não intencional”. Além dos riscos oriundos destas várias informações que não foram devidamente integradas, o ganho de produtividade que a ferramenta proporciona acaba sucumbindo perante as horas investidas em revisões, comparações, acertos e discussões.
Normalmente as pessoas não começam uma planilha do zero. Para ganhar tempo é comum partir de uma já existente. A literatura nos mostra que existem casos reais em que a planilha utilizada como base continha dados sigilosos, estratégicos e até mesmo informações pessoais sensíveis de forma oculta. Quando as novas e inofensivas informações, que eram o objetivo da nova tabela, foram divulgadas, levaram consigo as informações sigilosas, provocando danos de valor inestimável, financeiros e de imagem.
É possível colocar senha nas planilhas Excel, mas não é possível conceder acessos estratificados de leitura, inserção, deleção e atualização. Para manter um controle do foi alterado é necessário adotar ferramentas de monitoramento do ambiente, com pessoal dedicado a esse gerenciamento.
O ciclo vicioso se encerra quando os dados extraídos dos sistemas proprietários e ERPs, depois de trabalhados no Excel, e de participarem como coadjuvantes nas decisões, voltam a estes sistemas originários. A qualidade dos dados cai vertiginosamente e não há mais condições de identificar os caminhos tortuosos pelos quais transitaram, isto é, não existem trilhas de auditoria e nem mesmo logs. Esses dados alterados propagam-se por toda empresa -e até mesmo fora dela- numa velocidade impressionante, não sendo possível identificar onde foram danificados ou até mesmo corrompidos.
O fato de o Excel não estar na governança da TI e não ser considerada uma ferramenta segura para suportar Riscos e Controle faz com que ele seja excluído dos trabalhos de auditoria. Alguns agentes reguladores não reconhecem qualquer controle baseado em Excel, deixando-o em uma espécie de limbo. Os auditores são informados de que a empresa utiliza sistemas estruturados próprios ou ERPs de renome no mercado, mas, na maioria das vezes, não sabem que as informações foram consolidadas ou agrupadas através de Planilhas Excel e falham na avaliação de riscos. É comum as próprias empresas não saberem quantas planilhas existem em seus computadores, qual são seus objetivos, por quem, quando e onde são utilizadas.
O Meta3Group, que há mais de duas décadas criou a ferramenta m3AI–Meta3 Application Inspector, que lê códigos fontes em diversas linguagens em todos os ambientes e gera o inventário deste código com os arquivos, tabelas, programas etc, criou o m3–AIX, que é capaz de ler todo o ambiente das empresas, identificar todos os arquivos onde haja Excel, inventariar todas planilhas, abas, integrações, colunas, fórmulas, macros e referências. Com o software é possível até mesmo identificar que planilhas referenciadas não estão presentes nos diretórios ou foram substituídas de forma maliciosa durante a execução. O m3-AIX permite, ainda, varrer os conteúdos e buscar dados pessoais sensíveis, evitando, assim, possíveis vazamentos e exposição à LGPD.
Com a entrada da GDPR – General Data Protection Regulation na Europa e da LGPD – Lei Geral de Proteção de Dados no Brasil, os riscos do uso sem controle do Excel se tornaram exponenciais. A ferramenta pode e deve ser utilizada, mas com os devidos cuidados, afinal, de nada adianta fechar a porta principal e deixar as janelas e portas dos fundos destrancadas. Em muitos casos, as empresas sequer sabem que estas portas existem, o que é ainda pior.
*Marcelo Farinha é diretor executivo de segurança e compliance do Meta3Group
No Comment! Be the first one.