Security Leaders São Paulo divulga os finalistas dos melhores cases de sucesso de cibersegurança

Em sua 10ª edição, o prêmio tem como objetivo reconhecer os melhores cases de sucesso e as lições aprendidas pelos líderes.

 

Gerenciar a segurança da informação nas organizações é um grande desafio para os líderes do setor e a cada ano exige mais inteligência, estratégia e outras habilidades para lidar com equipes multidisciplinares. Se por um lado a LGPD está prestes a entrar em vigor, por outro o estudo LATAM Security Threats 2019, realizado pelo F5 Labs a partir de incidentes de segurança mapeados neste ano em toda a América Latina, o Brasil é a principal fonte de ataques na região. Globalmente, os brasileiros ocupam o 11º lugar onde mais se lançam ataques sobre todo o planeta.

 

Diante disso, a 10ª Edição do Security Leaders São Paulo premiará os melhores cases de sucesso de Segurança, liderados pelos profissionais do setor. Divulgamos nesta segunda (28/10) os os dez primeiros mais bem pontuados – independente da vertical ou região – e os três primeiros serão premiados como Ouro, Prata e Bronze.

 

A cerimônia de premiação será realizada durante o Congresso Security Leaders no dia 30 de outubro em São Paulo. Venha fazer parte dessa história e presencie o futuro da Segurança Cibernética e da Privacidade de Dados no #SL10anos.

 

Acompanhe agora os dez destacados:

 

Bruno Macena dos Santos, Business Information Security Officer da Prudential
Fabio Correa Xavier, CIO do Tribunal de Contas do Estado de São Paulo
Fernando Bruno dos Santos, Gerente Segurança da Informação da B3
José Gomes Fernando, diretor do Banco Bradesco S/A
Marco Túlio Oliveira de Moraes, Head Information Security da MUFG Brasil
Pierre Rodrigues, CISO da Weg
Rodrigo Jorge, Head Information Security da Neoway
Vitor Sena, CISO da Gerdau
Waldemar Ruggiero Junior, diretor departamental Banco Bradesco S/A
Yanis Cardoso Stoyannis, Gerente de Consultoria e Inovação de Cyber Security da Embratel/Claro Brasil

Share to Imprimir

Por que elas (as mulheres) ganham espaço na cybersecurity?

Estudo da Forrester prevê que o número de mulheres CISOS nas empresas da Fortune 500 aumentará para 20% em 2019. O índice não é diferente no País e a Security Report entrevistou Andréa Thomé, líder da Woncy – Women in Cibersecurity no Brasil, para entender o crescimento da participação feminina,destaque da 10ª edição do Security Leaders São Paulo.

Em apenas dois anos, a presença feminina como CISO nas organizações aumentou 7%. O índice foi medido pela Forrester, quando em seu estudo prevê que o número de mulheres CISOs nas empresas da Fortune 500 aumentará para 20% em 2019, em comparação com 13% em 2017. Isso é consistente com novas pesquisas da Boardroom Insiders, que afirma que 20% dos diretores globais de informação da Fortune 500 ( CIOs) agora são mulheres – a maior porcentagem de todos os tempos.

A RSA Conference USA 2019, realizada recentemente em São Francisco – que é o maior evento de segurança cibernética do mundo, com mais de 40.000 pessoas e 740 palestrantes – é outro ponto de medição para a representação de mulheres em nosso campo. “Na conferência deste ano, 46% de todos os oradores principais eram mulheres”, de acordo com Sandra Toms, vice-presidente e curadora da RSA Conference, em um blog que ela postou no último dia do evento deste ano. “Enquanto as palestras da RSAC viram quase a paridade de gênero este ano, as mulheres compuseram 32% de nossos oradores”, observou Toms.

Diante desse crescimento real no mundo todo, a 10ª edição do Security Leaders São Paulo, contará com um talk show dedicado exclusivamente para as C-Levels, o Women in Cybersecurity, no dia 30 de outubro. Mas para entender um pouco desse aumento da presença feminina, a Security Report traz uma entrevista exclusiva com Andréa Thomé, líder da Woncy – Women in Cibersecurity no Brasil.

Security Report: Como você avalia o mercado de cybersecurity para a carreira das mulheres?

Andréa Thomé: Ao mesmo tempo em que este mercado está em uma curva crescente, há alguns anos em busca de profissionais em todos os níveis hierárquicos, líderes têm dificuldades para contratar profissionais nesta área, conforme citação de 89% dos participantes do Salary Guide 2020, da Robert Half. Esta busca por capital intelectual é potencializada em grande parte, segundo relatório do World Economic Forum pela alta ocorrência de ataques de Cybersecurity, que é o 5º maior risco para os negócios ao redor do mundo e o 1º na América do Norte. Entretanto, as mulheres são minoria neste mercado, segundo estudo do Cybersecurity Workforce de 2018, que afirma que ocupamos uma em cada três vagas. Ou seja, em meu entendimento temos muitas oportunidades de crescer e ocuparmos um percentual mais significativo neste setor.

Security Report: Estudos comprovam que as mulheres possuem algumas habilidades e, dentre elas, cuidar e a gestão de risco já estão no DNA delas. Como isso impacta na liderança de segurança da informação nas empresas?

Andréa Thomé: A liderança em temas de segurança da informação e até mesmo carreiras STEM (Ciência, Tecnologia, Engenharia e Matemática), requer soft skills muito importantes, independente de gênero. Dentre eles normalmente destaco: adaptabilidade a ambientes, pessoas e desafios; flexibilidade; visão analítica e crítica de negócios e também técnica (o que inclui a visão de riscos); colaboração e trabalho em equipe; comprometimento; aprendizado contínuo; orientação ao cliente interno e externo; liderança e; comunicação verbal e escrita. Lidero equipes há mais de 25 anos e em minha experiência muitas mulheres conseguem se destacar em muitos destes aspectos e isso certamente as leva adiante em suas carreiras.

Security Report: O estudo Women in Cybersecurity releva que comparado aos homens, porcentagens mais altas de mulheres profissionais de cibersegurança estão alcançando posições como diretora de tecnologia (7% das mulheres vs. 2% homens), vice-presidente de TI (9% vs. 5%), diretor de TI (18% vs. 14%) e nível C-level (28% vs.19%). De acordo com sua experiência, quais os fatores para esse crescimento nos últimos anos?

Andréa Thomé: Este fato se dá por conta de altos níveis de educação e mais certificações. Eu acrescentaria a presença nata de intuição no currículo, fator que nos leva a projetar situações e maior previsibilidade para reagir às negativas e potencializar as positivas.

 Security Report: Você acredita que o mercado esteja mais aberto para a liderança feminina na cibersegurança em função da migração de mulheres oriundas de outras áreas de negócios?

Andréa Thomé: Esta migração é hoje mais intensa do que no passado. Temos mulheres mais multidisciplinares e com experiência técnica múltipla em suas carreiras, hoje atuando em Cybersecurity, o que certamente pode facilitar sua chegada a funções de liderança.

Recebemos profissionais de áreas diversas de TI, GRC, Auditoria, Compliance, RH, Segurança Patrimonial, Vendas, Jurídica, Riscos, dentre outras para diversas funções técnicas e de liderança nas organizações. Isso vem acontecendo em função do quão instigantes são os desafios em Cybersecurity.

Security Report: Você acredita que o Shadow IT é mais comum nas lideranças de segurança da informação masculina? Por que?

Andréa Thomé: Em meu entendimento o Shadow IT não tem conexão direta com o gênero que assume a liderança de Cybersecurity. O que em meu entendimento é facilitado na gestão feminina é a negociação para reversão deste movimento e o convencimento das áreas que levam suas iniciativas de TI para fora da vista dos especialistas. Isso se dá porque as mulheres atuam com o mindset de gestão de riscos de uma forma mais natural e autônoma e com as variáveis em mãos, deixam claro os riscos de se manter ambientes de tecnologia longe dos cuidados de quem pode minimizar ameaças.

Do frigorífico ao bolso, proteção de dados é o papel da segurança

Em entrevista exclusiva à Security Report, Ricardo Castro, ex-CISO da BRF e atual gerente de segurança da informação da SumUp, conta sua trajetória e a visão de quem já atuou em diferentes ecossistemas.

 

Sair de uma empresa com modelo de gestão tradicional, como a BRF que atua em  um dos setores mais competitivos do mundo, e partir para uma fintech é um movimento ousado. Mas para Ricardo Castro isso é natural. Afinal, segundo ele, proteção de dados é o que todo CISO deve se preocupar.

Em entrevista à Security Report, o ex-CISO da BRF e atual gerente de segurança da informação da SumUp, Ricardo conta sua trajetória, LGPD, o drama do shadow IT e outros temas recorrentes entre os gestores de segurança.

 

 Security Report:   Ao longo de sua carreira, quais foram os principais desafios e como os superou?

Ricardo Castro: Na realidade, os desafios foram evoluindo junto com a maturidade de mercado. Os desafios a serem contornados são: incluir requisitos e engajamento de Segurança da Informação no início de projetos (principalmente nos ágeis ou DevOps) e a sensibilização executiva de que não existe segmento de mercado que esteja livre de riscos de cybersegurança.

Security Report:   Nos últimos anos, com a transformação digital, uma das questões recorrentes é o shadow IT. Como a área de SI deve atuar nesse cenário?

Ricardo Castro: O shadow IT é um problema recorrente não só pela transformação digital, mas também pela postura, muitas vezes antiquada, da Segurança da Informação na companhia. Segurança quer controle, na maioria das vezes com um custo inadequado para o negócio, e o negócio quer gerar o melhor resultado, assumindo ou ignorando uma série de riscos. Na minha experiência, o caminho ainda é a conciliação de interesses. Para manter-se viva e pertinente, a Segurança da Informação deve propor alternativas para garantir um nível adequado de proteção, dado o risco, sem se tornar uma barreira à evolução nos negócios. Empatia com o negócio e com a experiência do cliente são essenciais para times engajados na proteção das informações.

Security Report:      Você veio da indústria de alimentos tradicional e migrou para uma fintech do setor financeiro. O que muda e quais os desafios?

Ricardo Castro: Muda pouco em termos práticos, uma vez que os desafios continuam sendo a manutenção de uma cultura de Segurança e Proteção de Informações, com uma linguagem adequada e interessante para cada público, fazendo com que o discurso tenha valor para as pessoas dentro e fora da empresa. Se elas não entenderem que segurança tem valor, continuarão com as práticas que expõem as suas vidas e empresas a riscos desnecessários. No final do dia, proteger informação é o mesmo que proteger pessoas.

Security Report:   Como você enxerga a maturidade do mercado diante dos próximos 12 meses, antes de a LGPD entrar em vigor?

Ricardo Castro: As empresas maiores sofrerão mais, principalmente porque muitas iniciativas não foram aprovadas em orçamento para 2019, já que a ANPD ainda não tinha sido instituída. Contudo, deixar para investir em segregação de acessos e funções, mascaramento de dados, inventário de informações, ferramentas de classificação, rastreamento e prevenção a vazamento de informações em apenas oito meses (em 2020) pode causar uma verdadeira disrupção dos negócios.

Security Report: Para o plano de ação da LGPD numa startup, quais os diferenciais comparados com o mercado tradicional?

Ricardo Castro: Não muda muito. A regra do jogo é igual para todos. A palavra de ordem é cultura – todos alinhados com conceitos e práticas adequadas, entendendo o valor de atender a lei e proteger o cliente. Esse será o real diferencial para o negócio.

Security Report: A lei apresenta muitas questões interpretativas. Como você acha que a ANPD deve atuar?

Ricardo Castro: É um assunto que seria melhor descrito pelos meus colegas do jurídico, mas acredito que a ANPD e o mercado aprenderão juntos a medir a maturidade adequada do mercado e o peso das autuações. Jurisprudência já existe há bastante tempo, mas não na amplitude de agora. Por isso, temos um caminho longo de incertezas a serem geridos.

Security Report:  Como você enxerga a indústria de cybersecurity sob o aspecto das ofertas de soluções e o que você avalia como tendência?

Ricardo Castro: A exemplo do que foi a SOX e a Basiléia 2, acredito que haverá r muita ‘propaganda enganosa’ indicando soluções incompatíveis com a lei e o propósito de negócio. Muita solução milagrosa será oferecida, mas a verdade é que o caminho para todos é muito parecido. Algumas empresas ficarão no “patinete” e outras precisarão de uma “frota de Ferraris”, com gente competente para pilotar bem cada uma dessas preciosidades (as soluções).

Security Report: Qual o papel do CISO no processo de implementação da LGPD e quais suas recomendações.

Ricardo Castro: Usando minha experiência na GDPR como base, o CISO é quem fica com 80% de todo o trabalho. Ele é o ponto de contato entre TI e o Jurídico/Compliance e fica encarregado da implementação de boa parte dos controles relacionados a proteção e detecção de um possível vazamento das informações. Muita expectativa é colocada sobre o trabalho do CISO por todas as áreas envolvidas.

Security Report:   Como você enxerga a figura do DPO nesse processo?

Ricardo Castro: Acredito que o perfil do DPO vai mudar com a maturidade da adoção da LGPD e com a atividade fim da empresa. Enquanto alguns terão um perfil muito técnico, outros serão meros porta-vozes frente ao público. De uma forma ou de outra, conhecimento suficiente em Segurança e Direito é essencial para se desempenhar um bom trabalho.

Esses e outros temas serão abordados pelos CISOs que participarão no Security Leaders São Paulo, de 29 a 30 de outubro. Faça sua inscrição.

DPO: os guardiões dos dados entram em cena

A LGPD traz excelentes oportunidades num cenário nacional com poucos Data Protection Officers. Por isso, o Security Leaders São Paulo fechou uma parceria inédita com as advogadas mais renomadas do Direito Digital, Patrícia Peck e Cristina Sleimam, para ministrar um curso de formação de DPOs durante o evento, entre 29 e 30 de outubro

 

O momento sinaliza uma verdadeira corrida contra o relógio. A LGPD entra em vigor em agosto de 2020 e poucas empresas contam com um dos atores fundamentais para fazer a ‘ponte’ entre organizações e a Autoridade Nacional de Proteção de Dados. Esse indicativo abre oportunidades para quem deseja trilhar a “nova” profissão no País. Mesmo assim, poucos têm se arriscado porque há uma longa discussão sobre o papel do DPO no cenário nacional, também pela indefinição de como a ANPD conduzirá os processos exigidos pela lei.

Diante dessa lacuna e dúvidas a respeito de quem é essa figura e as suas atribuições, a 10ª edição do Security Leaders São Paulo traz um curso de DPO, sob medida, de 29 a 30 de outubro, numa parceria inédita entre o Security Leaders e a Peck Sleiman EDU e os detalhes podem ser conferidos no #SL10anos.

Ministrado por duas grandes advogadas do País, a especialista em direito digital, Patrícia Peck; e Cristina Sleiman, sócia e diretora de Negócios da Peck Sleiman EDU, – o curso será dividido em dois módulos e abordará aspectos da LGPD e a atuação do DPO. “O DPO (ou encarregado de dados) deve, em primeiro lugar, ser alguém com autonomia para poder exercer uma função fiscalizatória interna. Mas também possui prerrogativas de interlocutor com a Autoridade Fiscalizadora de Proteção de Dados Pessoais”, explica Patricia Peck.

Além de ser um dos keynote speaker da 10ª edição do Security Leaders São Paulo, Patrícia Peck é sócia Head Direito Digital do escritório PG ADVOGADOS e instrutora de cursos jurídicos pela Peck Sleiman EDU. Formada e doutorada pela Universidade de São Paulo (PhD em Propriedade Intelectual e Direito Internacional), pesquisadora convidada pelo Instituto Max Planck, pela Universidade de Columbia na área de Direito Internacional e Comparado com ênfase em propriedade intelectual.

Cristina Sleiman é sócia e Diretora de Negócios da PECK SLEIMAN EDU. A advogada é mestre em Sistemas Eletrônicos pela Escola Politécnica da Universidade de São Paulo e possui extensão em Direito da Tecnologia pela FGV/RJ.

Meandros da LGPD e o papel do DPO

Sem dúvida, o texto da LGPD é bastante interpretativo e necessita do lastro da ANPD: “o Art. 41 da LGPD reza, de forma direta, que “o controlador deverá indicar encarregado…”. Aqui não há faculdade na indicação. Entretanto, no § 3º do mesmo artigo, A Lei diz que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”, explica Arthur Sabbat, Assessor Militar no DSI/GSIPR.

Segundo Sabbat, o texto, agora, menciona que poderão ser estabelecidas, pela ANPD, hipóteses de dispensa da indicação do encarregado, em virtude de três condicionantes da entidade que irá tratar dados pessoais, e que a meu ver devem ser observadas em conjunto: a natureza (jurídico-administrativa), o porte, e o volume de operações do tratamento de dados (depende do negócio e, em consequência, do tamanho da base de dados pessoais da organização).

Em recente artigo de Alex Amorim, CISO e DPO, para a Security Report, uma de suas indagações foi: “Quem é esse profissional, qual o seu perfil, as suas atividades e responsabilidades e, ainda, quais os tipos de DPO? Sim. Uma empresa pode ter basicamente dois perfis e o objetivo deste artigo é esclarecer sobre o assunto”.

Para Amorim, é possível denominar o primeiro tipo de DPO como um profissional “consultivo”. “Este modelo tem como principal objetivo auxiliar as empresas em todo processo de implementação. Neste caso, não há problemas de a organização ter dois ou mais DPOs consultivos, uma vez que os mesmos ajudarão com todos os aspectos práticos do modelo a ser adotado para estar em conformidade com as novas regras”.

O outro perfil, na visão de Amorim, é o “DPO Consultivo Jurídico”. Dessa forma, os profissionais com formação em direito poderão auxiliar em todo modelo de criação, revisão e modificação de contratos novos ou existentes na empresa.

“O DPO Fiscalizador e o seu principal objetivo é atuar internamente com o papel de fiscalizar os controles internos para garantir o cumprimento da LGPD dentro da companhia. A função prioritária dele é olhar para a empresa de forma sistêmica, bem como ter uma visão de todo o ecossistema e monitorar o ambiente de forma preventiva e reativa para eventuais violações de dados entre o controlador e seus possíveis operadores”.

Aproveite e faça já a sua inscrição para a 10ª edição do Security Leaders São Paulo e não perca a oportunidade de discutir o futuro da segurança da informação e os rumos da LGPD com os maiores especialistas do mercado nacional e internacional.