Security Leaders contrata nova líder de Marketing

Com a contratação de Cida Vasconcelos na liderança de Marketing do Congresso Security Leaders São Paulo, que acontece nos dias 16 e 17 de junho, a Conteúdo Editorial, promotora do evento, espera ampliar ainda mais a agenda do Congresso na capital paulista, trazendo speakers internacionais, novos especialistas locais, além de manter os seus consagrados painéis de debates com os mais relevantes CISOS e a tradicionais interatividade com a plateia, representada pela maior comunidade de líderes e profissionais de cibersegurança do País.

Cida Vasconcelos é profissional de marketing e gestão de produtos, especializada nas indústrias de TI, Telecom e Segurança da Informação, em mercados B2B e B2C, com mais de 30 anos de trabalho em âmbito nacional e latino americano em empresas como Check Point, Avaya, HP, AT&T, Capgemini, Neovia e Ciena.

Sua experiência se concentra nas áreas de gestão de estratégica de marketing, gestão de marcas, marketing corporativo, endomarketing, assessoria de imprensa, redes sociais, comunicação interna, marketing cooperado, marketing de canais, field marketing, marketing de produtos, geração de demanda, inteligência de mercado, planejamento de marketing e eventos.

A executiva atuou em diversos países como Estados Unidos, Israel e América Latina e trabalha como voluntária há mais de 20 anos na ONG Lar do Alvorecer Cristão. Formada pela UERJ em Ciências da Computação, tem pós-graduação em Marketing e Administração de empresas pela Fundação Getúlio Vargas de São Paulo.

Hoje, o Congresso Security Leaders é o maior e mais qualificado evento de cibersegurança do Brasil e reúne a maior comunidade de líderes e profissionais de grandes e médias empresas, percorrendo dez cidades brasileiras e contribuindo para a democratização e o amadurecimento do tema segurança da informação e privacidade de dados em todo o território nacional.

Expansão internacional

“Fechamos um ciclo de sucesso ao completar dez anos em 2019 e agora entramos em uma nova fase, expandindo ainda mais nossa atuação, tornando o Security Leaders mais globalizado e pronto para atrair líderes da América Latina e de todo mundo e marcando o início de nossa expansão internacional”, afirma Sérgio Sermoud, diretor comercial.

Cida Vasconcelos teve o privilégio de viver a transformação digital em seus bastidores, sempre evangelizando o mercado através de seu trabalho com marketing, divulgação de marcas, produtos e serviços inovadores ao mercado brasileiro e latino americano. Entende as necessidades do mercado, tecnologia e seus usos e conhece as diversas formas de comunicar e engajar o mercado com as novidades e conceitos que vão sendo lançados.

“Estou me unindo a um time vencedor, trazendo minha experiência no engajamento de pessoas e mercados para alavancar o sucesso já reconhecido do Security Leaders, ajudando a criar novos formatos na entrega da informação e trazendo pessoas e organizações que contribuam com conteúdo inovador e relevante neste momento tão especial do mercado de segurança no Brasil”, declara Cida.

Eventos regionais e verticalizados

“É super bem-vinda a chegada de Cida Vasconcelos à nossa equipe, no momento em que o Security Leaders São Paulo inicia uma nova década. Criamos a maior comunidade de cibersegurança do Brasil e agora vamos em busca dos maiores expoentes internacionais para tornar esse conteúdo cada vez mais globalizado”, declarou Graça Sermoud, diretora de Editorial da Conteúdo.

A jornalista Graça Sermoud também reforçou o momento importante do evento com a inclusão de mais uma cidade em seu calendário anual, Florianópolis. Agora, serão nove capitais regionais: Brasília, Rio de Janeiro, Belo Horizonte, Curitiba, Florianópolis, Porto Alegre, Salvador, Recife e Fortaleza, além do Congresso em São Paulo.

Importante destacar também a nova linha de debates verticalizados que o Security Leaders inicia esse ano, reunindo CISOs e CIOs de diversas indústrias para discutir os desafios específicos dos seus respectivos segmentos, as melhores práticas adotadas, as lições aprendidas, criando uma rica de troca de conhecimento e um networking de alto nível.

Estratégia Nacional de Segurança Cibernética entra em vigor

O governo federal acaba de aprovar o decreto 10.222/20 sobre a Estratégia Nacional de Segurança Cibernética – E-Ciber, que entra em vigor imediatamente. A iniciativa do E-Ciber é uma orientação do governo à sociedade sobre as ações pretendidas para o quadriênio 2020/2023.

 

Essa estratégia faz parte da Política Nacional de Segurança da Informação – PNSIinstitucionalizada em dezembro de 2018, que tem como objetivo implementar uma Política Nacional com foco em Segurança da Informação sob o prisma da governança. A PNSI previa uma estratégia que fosse constituída em módulos, a fim de contemplar várias esferas como a segurança cibernética, a defesa cibernética, a segurança das infraestruturas críticas, a segurança da informação sigilosa e a proteção contra vazamento de dados.

 

De acordo com o decreto divulgado pelo governo federal, a Segurança Cibernética é considerada a área mais crítica e atual a ser abordada, por isso o Gabinete de Segurança Institucional da Presidência da República elegeu o E-Ciber como o primeiro módulo a ser elaborado, que contou com a participação de mais de quarenta órgãos e entidades do governo, além de instituições privadas e setor acadêmico.

 

Principais objetivos do E-Ciber:

1. Tornar o Brasil mais próspero e confiável no ambiente digital;

2. Aumentar a resiliência brasileira às ameaças cibernéticas;

3. Fortalecer a atuação brasileira em segurança cibernética no cenário internacional.

 

Em entrevista exclusiva à Security Report, o General de Brigada Antônio Carlos de Oliveira Freitas, diretor do Departamento de Segurança da Informação do GSI/PR, destaca que a E-Ciber é uma conquista de toda a sociedade brasileira.

 

“Sua elaboração é resultado de intenso trabalho e de exaustivas reuniões, por parte de representantes de mais de 40 instituições públicas e privadas, de integrantes da Academia e de contribuições advindas da consulta pública a que o texto foi submetido. Sua aprovação por decreto, pelo Senhor Presidente da República, demonstra que o Governo considera a segurança cibernética como tema estratégico e essencial para a segurança e o desenvolvimento de nossa sociedade e de nossas instituições.”

 

Questionado em como a E-Ciber vai conversar com a LGPD, o General explica que a Segurança Cibernética é o “principal campo da grande área temática e científica da SI, possuindo papel de destacada relevância para a proteção de dados pessoais, uma vez que essa atividade de proteção de dados já faz, hoje, e ainda fará, com maior intensidade, uso crescente do espaço cibernético para as diversas ações de tratamento de dados. A Segurança Cibernética, portanto, deve ser considerada pelo agente controlador desde o planejamento do tratamento de dados pessoais, passando pela coleta desses dados, até o seu descarte, buscando assegurar o nível adequado de proteção que a LGPD preconiza e exige”.

 

Sobre a condução das ações estratégicas de promoção do ambiente participativo, colaborativo e seguro entre setores público, privado e sociedade, a E-Ciber recomenda que os órgãos públicos e privados estimulem o compartilhamento de informações sobre incidentes e vulnerabilidades cibernéticas, bem como estabeleçam mecanismos que permitam a interação e o compartilhamento de informações em diferentes níveis.

 

Além de incentivar a criação e a atuação de equipe de tratamento e resposta aos incidentes cibernéticos – ETIRs, e emitir alertas e recomendações que possam alcançar o maior número possível de órgãos, em ambiente dedicado e de fácil acesso e compartilhamento.

 

Maturidade brasileira sobre a matéria Segurança Cibernética

 

De acordo com o General Oliveira Freitas, a E-Ciber apresenta estudos dos quais se conclui que a maturidade da sociedade brasileira e, por consequência, das instituições, ainda é baixa, carecendo de esforços para seu adequado fortalecimento. “Nesse sentido, a E-Ciber apresenta diversas iniciativas com vistas a elevar a maturidade em Segurança Cibernética de nossa sociedade, atuando principalmente por meio de processos educacionais., com ênfase na educação básica, para formação de cultura nessa área”, completa.

 

O E-Ciber está sob a coordenação do Gabinete de Segurança Institucional da Presidência da República e teve contribuição de três subgrupos de trabalhos que realizaram trinta e uma reuniões e sete meses de estudos e debates. Os grupos foram divididos como:

 

Subgrupo 1 – governança cibernética, dimensão normativa, pesquisa, desenvolvimento e inovação, educação, dimensão internacional e parcerias estratégicas.;

 

Subgrupo 2 –  confiança digital e prevenção e mitigação de ameaças cibernéticas;

 

Subgrupo 3 –  proteção estratégica – proteção do Governo e proteção às infraestruturas.

 

Entre as ações estratégicas do E-Ciber, o destaque vai para:

– Fortalecer as ações de governança cibernética, o que incluir fóruns de governança, estabelecer requisitos mínimos de governança, combate à pirataria de software, ampliar o uso de certificado digital, padrões de desenvolvimento seguro, entre outros;

– Estabelecer um modelo centralizado de governança no âmbito nacional;

– Promover ambiente participativo, colaborativo, confiável e seguro, entre setor público, setor privado e sociedade;

– Elevar o nível de proteção do governo, que inclui requisitos de segurança cibernética nas contratações; aperfeiçoar e incentivar o uso dos dispositivos de comunicação segura do governo, entre outros;

– Elevar o nível de proteção das Infraestruturas Críticas Nacionais;

– Incentivar a concepção de soluções inovadoras em segurança cibernética;

– Ampliar a cooperação internacional do Brasil em Segurança cibernética;

– Ampliar a parceria, em segurança cibernética, entre setor público, setor privado, academia e sociedade;

– Elevar o nível de maturidade da sociedade em segurança cibernética.

 

A partir desse decreto, os próximos passos, segundo o General, será “acompanhar a implementação dessa Estratégia por parte dos órgãos e entidades da Administração Pública Federal, e buscar o entendimento no sentido de elaborar, com celeridade, propriedade e exatidão, um projeto de lei que institua uma política nacional de segurança cibernética, que congregue toda a sociedade brasileira em um grande pacto em prol da segurança cibernética, para que toda a sociedade, cada vez mais segura, tenha sempre a liberdade de usufruir dos inegáveis e crescentes benefícios proporcionados pelo uso seguro e responsável do espaço cibernético”, conclui o diretor.

 

O que a LGPD tem a ver com o Código de Defesa do Consumidor?

O ano de 2020 promete muitas reviravoltas e grandes repercussões em torno da Lei Geral de Proteção de Dados (LGPD), que entrará em vigor no Brasil em agosto deste ano. Entre as diversas demandas da nova regulação que está movimentando as empresas brasileiras – tanto em questões de processos, quanto em investimentos em pessoas e tecnologias – existe um ponto a ser destacado: o cidadão, o proprietário do dado.

De acordo com o advogado André Peixoto, gestor jurídico do IDTI – Instituto de Direito da Tecnologia da Informação no Ceará e Consultor Jurídico em Proteção de Dados da OAB-CE, a informação pessoal passou a ser um bem jurídico, com relevância econômica que traz um grande valor comercial. Para ele, a tendência é que, com a vigência da LGPD, o cidadão passe a entender melhor o valor que tem sua informação pessoal e certamente buscará seus direitos de privacidade e proteção de dados junto aos órgãos de defesa.

“Esse ponto é fundamental para quem está desenhando a estratégia de implementação da LGPD, pois não só a ANPD vai fiscalizar como as empresas estão cuidando dos dados dos brasileiros, os PROCONs e ajuizados especiais também estarão de olho no tratamento e armazenamento do dado e cobrarão maior segurança das informações pessoais”, alerta o executivo durante o Security Leaders Fortaleza, que aconteceu em dezembro passado.

Para o especialista, a sociedade brasileira enxerga no Código de Defesa do Consumidor um apoio importante para buscar seus direitos e certamente o titular do dado estará em uma posição de protagonista com a LGPD vigente.

“No campo legislativo, o Brasil é um país moderno com ótimas leis. O Código de Defesa do Consumidor e o próprio Marco Civil da Internet são regulações que tiveram uma participação popular muito grande e se tornaram leis democráticas e transparentes. Da mesma forma, a LGPD vai evoluir a ponto de alcançarmos um cenário básico de direitos e deveres, o que impacta empresas e cidadãos”, completa André Peixoto.

Ele acrescenta que, em caso de vazamento de dados, o cidadão provavelmente vai procurar os ajuizados especiais – que são operações que cuidam de processos de até 40 salários mínimos e que podem ser operacionalizadas por pessoa física pela internet. “Sugiro para que os gestores de Segurança considerem esses atores diante da LGPD, pois os titulares irão buscar seus direitos junto a esses órgãos”, finaliza.

Quando o Big Data se depara com a LGPD

Mesmo diante das incertezas de como a LGPD passará a vigorar e quando a Autoridade Nacional de Proteção de Dados entrará em cena, efetivamente, para dar as diretrizes de como empresas e órgãos públicos terão que tratar o dado pessoal, o certo é que o Brasil vive hoje essa jornada de conformidade. De acordo com a IDC, quase 2/3 das empresas estarão em processo de adequação ao longo de 2020 e a previsão é que haverá uma explosão de solicitações de privacidade por parte do titular do dado.

Ou seja, em um cenário de Big Data, haverá uma necessidade de educação sobre as práticas de privacidade em vários níveis: usuários, desenvolvedores, áreas de negócio e um aculturamento do próprio dono do dado. Na visão de Amalia Camara, professora de Direito Digital da Universidade de Pernambuco e Doutora em Ciência Política, os 5 Vs do universo de Big Data nunca fizeram tanto sentido quanto no atual cenário regulatório.

“Volume e variedade do dado, o valor dessa informação que traz um poder riquíssimo para as áreas comerciais, velocidade e veracidade são pontos que repercutem na LGPD quando se manipula informações sensíveis dos titulares. No mesmo sentido em que as empresas exploram o universo do Big Data para personalizar e customizar ações de campanha publicitária, o titular começa a ganhar um empoderamento para confrontar de que maneira seus dados estão sendo manipulados”, reflete Amalia durante o Security Leaders Recife.

Para se ter uma ideia, a IDC projeta que Analytics e Inteligência Artificial são tendências cada vez mais entrelaçadas, com objetivo de simplificar o consumo de um volume crescente de dados que geram insights para os negócios. As soluções de software voltadas para essa sinergia de Analytics e AI crescem 11,5% e, juntas, devem somar US$ 548 milhões no Brasil este ano.

Ou seja, um universo de informações pessoais que tende a crescer a cada dia em que a humanidade gera mais dados, tanto online quanto offline. “Mesmo desconectados da internet, produzimos dados todos os dias, aliás, desde o início da nossa existência, da biometria à documentos pessoais, tudo é baseado em dado”, pontua Amália.

Cultura de proteção

A especialista levou toda a plateia do Security Leaders a refletir nesse mundo dos dados, em que a informação é considerada o novo petróleo de tão valiosa e para o direito, é um cenário típico do conceito de vigilância. Isso também está atrelado ao ciclo de vida do dado, em que nas relações comerciais, por exemplo, ele nasce, cresce, vive e morre.

“Quando olhamos para a LGPD, que coloca uma enorme lista de verbos associados a tratamento de dados, podemos compreender que essa informação tem um ciclo de vida dentro das empresas, que em algum momento, ela perde a utilidade comercial e precisa ser descartada”, explica.

Ela acrescenta que daqui pra frente todos os brasileiros viverão uma nova jornada de aprendizado, pois é um processo cultural. Diferente dos europeus, que têm a cultura pautada em privacidade, os brasileiros não se importam em entregar suas informações pessoais em troca de facilidades. “Por isso é tão complexo para nós lidarmos com uma legislação que foi pautada em uma lei europeia, leva um tempo para se adequar, até mesmo porque cada região interpreta dados pessoais de forma diferente”, completa.

Ela explica que nos Estados Unidos, dado pessoal é interpretado como patrimônio, posse que pode ser negociável. No Brasil, é um direito típico de personalidade, algo que compõe o cidadão e está no mesmo nível de integridade física. Enquanto na Europa, é interpretado como direito fundamental, posto em constituição.

“Percebe-se que cada região tem um nível de interpretação, uns mais cautelosos, outros mais comerciais, tudo isso impacta em como lidamos com esse cenário e como será o tratamento da proteção e privacidade daqui pra frente”, conclui.

Security Leaders São Paulo divulga os finalistas dos melhores cases de sucesso de cibersegurança

Em sua 10ª edição, o prêmio tem como objetivo reconhecer os melhores cases de sucesso e as lições aprendidas pelos líderes.

 

Gerenciar a segurança da informação nas organizações é um grande desafio para os líderes do setor e a cada ano exige mais inteligência, estratégia e outras habilidades para lidar com equipes multidisciplinares. Se por um lado a LGPD está prestes a entrar em vigor, por outro o estudo LATAM Security Threats 2019, realizado pelo F5 Labs a partir de incidentes de segurança mapeados neste ano em toda a América Latina, o Brasil é a principal fonte de ataques na região. Globalmente, os brasileiros ocupam o 11º lugar onde mais se lançam ataques sobre todo o planeta.

 

Diante disso, a 10ª Edição do Security Leaders São Paulo premiará os melhores cases de sucesso de Segurança, liderados pelos profissionais do setor. Divulgamos nesta segunda (28/10) os os dez primeiros mais bem pontuados – independente da vertical ou região – e os três primeiros serão premiados como Ouro, Prata e Bronze.

 

A cerimônia de premiação será realizada durante o Congresso Security Leaders no dia 30 de outubro em São Paulo. Venha fazer parte dessa história e presencie o futuro da Segurança Cibernética e da Privacidade de Dados no #SL10anos.

 

Acompanhe agora os dez destacados:

 

Bruno Macena dos Santos, Business Information Security Officer da Prudential
Fabio Correa Xavier, CIO do Tribunal de Contas do Estado de São Paulo
Fernando Bruno dos Santos, Gerente Segurança da Informação da B3
José Gomes Fernando, diretor do Banco Bradesco S/A
Marco Túlio Oliveira de Moraes, Head Information Security da MUFG Brasil
Pierre Rodrigues, CISO da Weg
Rodrigo Jorge, Head Information Security da Neoway
Vitor Sena, CISO da Gerdau
Waldemar Ruggiero Junior, diretor departamental Banco Bradesco S/A
Yanis Cardoso Stoyannis, Gerente de Consultoria e Inovação de Cyber Security da Embratel/Claro Brasil

Share to Imprimir

Por que elas (as mulheres) ganham espaço na cybersecurity?

Estudo da Forrester prevê que o número de mulheres CISOS nas empresas da Fortune 500 aumentará para 20% em 2019. O índice não é diferente no País e a Security Report entrevistou Andréa Thomé, líder da Woncy – Women in Cibersecurity no Brasil, para entender o crescimento da participação feminina,destaque da 10ª edição do Security Leaders São Paulo.

Em apenas dois anos, a presença feminina como CISO nas organizações aumentou 7%. O índice foi medido pela Forrester, quando em seu estudo prevê que o número de mulheres CISOs nas empresas da Fortune 500 aumentará para 20% em 2019, em comparação com 13% em 2017. Isso é consistente com novas pesquisas da Boardroom Insiders, que afirma que 20% dos diretores globais de informação da Fortune 500 ( CIOs) agora são mulheres – a maior porcentagem de todos os tempos.

A RSA Conference USA 2019, realizada recentemente em São Francisco – que é o maior evento de segurança cibernética do mundo, com mais de 40.000 pessoas e 740 palestrantes – é outro ponto de medição para a representação de mulheres em nosso campo. “Na conferência deste ano, 46% de todos os oradores principais eram mulheres”, de acordo com Sandra Toms, vice-presidente e curadora da RSA Conference, em um blog que ela postou no último dia do evento deste ano. “Enquanto as palestras da RSAC viram quase a paridade de gênero este ano, as mulheres compuseram 32% de nossos oradores”, observou Toms.

Diante desse crescimento real no mundo todo, a 10ª edição do Security Leaders São Paulo, contará com um talk show dedicado exclusivamente para as C-Levels, o Women in Cybersecurity, no dia 30 de outubro. Mas para entender um pouco desse aumento da presença feminina, a Security Report traz uma entrevista exclusiva com Andréa Thomé, líder da Woncy – Women in Cibersecurity no Brasil.

Security Report: Como você avalia o mercado de cybersecurity para a carreira das mulheres?

Andréa Thomé: Ao mesmo tempo em que este mercado está em uma curva crescente, há alguns anos em busca de profissionais em todos os níveis hierárquicos, líderes têm dificuldades para contratar profissionais nesta área, conforme citação de 89% dos participantes do Salary Guide 2020, da Robert Half. Esta busca por capital intelectual é potencializada em grande parte, segundo relatório do World Economic Forum pela alta ocorrência de ataques de Cybersecurity, que é o 5º maior risco para os negócios ao redor do mundo e o 1º na América do Norte. Entretanto, as mulheres são minoria neste mercado, segundo estudo do Cybersecurity Workforce de 2018, que afirma que ocupamos uma em cada três vagas. Ou seja, em meu entendimento temos muitas oportunidades de crescer e ocuparmos um percentual mais significativo neste setor.

Security Report: Estudos comprovam que as mulheres possuem algumas habilidades e, dentre elas, cuidar e a gestão de risco já estão no DNA delas. Como isso impacta na liderança de segurança da informação nas empresas?

Andréa Thomé: A liderança em temas de segurança da informação e até mesmo carreiras STEM (Ciência, Tecnologia, Engenharia e Matemática), requer soft skills muito importantes, independente de gênero. Dentre eles normalmente destaco: adaptabilidade a ambientes, pessoas e desafios; flexibilidade; visão analítica e crítica de negócios e também técnica (o que inclui a visão de riscos); colaboração e trabalho em equipe; comprometimento; aprendizado contínuo; orientação ao cliente interno e externo; liderança e; comunicação verbal e escrita. Lidero equipes há mais de 25 anos e em minha experiência muitas mulheres conseguem se destacar em muitos destes aspectos e isso certamente as leva adiante em suas carreiras.

Security Report: O estudo Women in Cybersecurity releva que comparado aos homens, porcentagens mais altas de mulheres profissionais de cibersegurança estão alcançando posições como diretora de tecnologia (7% das mulheres vs. 2% homens), vice-presidente de TI (9% vs. 5%), diretor de TI (18% vs. 14%) e nível C-level (28% vs.19%). De acordo com sua experiência, quais os fatores para esse crescimento nos últimos anos?

Andréa Thomé: Este fato se dá por conta de altos níveis de educação e mais certificações. Eu acrescentaria a presença nata de intuição no currículo, fator que nos leva a projetar situações e maior previsibilidade para reagir às negativas e potencializar as positivas.

 Security Report: Você acredita que o mercado esteja mais aberto para a liderança feminina na cibersegurança em função da migração de mulheres oriundas de outras áreas de negócios?

Andréa Thomé: Esta migração é hoje mais intensa do que no passado. Temos mulheres mais multidisciplinares e com experiência técnica múltipla em suas carreiras, hoje atuando em Cybersecurity, o que certamente pode facilitar sua chegada a funções de liderança.

Recebemos profissionais de áreas diversas de TI, GRC, Auditoria, Compliance, RH, Segurança Patrimonial, Vendas, Jurídica, Riscos, dentre outras para diversas funções técnicas e de liderança nas organizações. Isso vem acontecendo em função do quão instigantes são os desafios em Cybersecurity.

Security Report: Você acredita que o Shadow IT é mais comum nas lideranças de segurança da informação masculina? Por que?

Andréa Thomé: Em meu entendimento o Shadow IT não tem conexão direta com o gênero que assume a liderança de Cybersecurity. O que em meu entendimento é facilitado na gestão feminina é a negociação para reversão deste movimento e o convencimento das áreas que levam suas iniciativas de TI para fora da vista dos especialistas. Isso se dá porque as mulheres atuam com o mindset de gestão de riscos de uma forma mais natural e autônoma e com as variáveis em mãos, deixam claro os riscos de se manter ambientes de tecnologia longe dos cuidados de quem pode minimizar ameaças.

Do frigorífico ao bolso, proteção de dados é o papel da segurança

Em entrevista exclusiva à Security Report, Ricardo Castro, ex-CISO da BRF e atual gerente de segurança da informação da SumUp, conta sua trajetória e a visão de quem já atuou em diferentes ecossistemas.

 

Sair de uma empresa com modelo de gestão tradicional, como a BRF que atua em  um dos setores mais competitivos do mundo, e partir para uma fintech é um movimento ousado. Mas para Ricardo Castro isso é natural. Afinal, segundo ele, proteção de dados é o que todo CISO deve se preocupar.

Em entrevista à Security Report, o ex-CISO da BRF e atual gerente de segurança da informação da SumUp, Ricardo conta sua trajetória, LGPD, o drama do shadow IT e outros temas recorrentes entre os gestores de segurança.

 

 Security Report:   Ao longo de sua carreira, quais foram os principais desafios e como os superou?

Ricardo Castro: Na realidade, os desafios foram evoluindo junto com a maturidade de mercado. Os desafios a serem contornados são: incluir requisitos e engajamento de Segurança da Informação no início de projetos (principalmente nos ágeis ou DevOps) e a sensibilização executiva de que não existe segmento de mercado que esteja livre de riscos de cybersegurança.

Security Report:   Nos últimos anos, com a transformação digital, uma das questões recorrentes é o shadow IT. Como a área de SI deve atuar nesse cenário?

Ricardo Castro: O shadow IT é um problema recorrente não só pela transformação digital, mas também pela postura, muitas vezes antiquada, da Segurança da Informação na companhia. Segurança quer controle, na maioria das vezes com um custo inadequado para o negócio, e o negócio quer gerar o melhor resultado, assumindo ou ignorando uma série de riscos. Na minha experiência, o caminho ainda é a conciliação de interesses. Para manter-se viva e pertinente, a Segurança da Informação deve propor alternativas para garantir um nível adequado de proteção, dado o risco, sem se tornar uma barreira à evolução nos negócios. Empatia com o negócio e com a experiência do cliente são essenciais para times engajados na proteção das informações.

Security Report:      Você veio da indústria de alimentos tradicional e migrou para uma fintech do setor financeiro. O que muda e quais os desafios?

Ricardo Castro: Muda pouco em termos práticos, uma vez que os desafios continuam sendo a manutenção de uma cultura de Segurança e Proteção de Informações, com uma linguagem adequada e interessante para cada público, fazendo com que o discurso tenha valor para as pessoas dentro e fora da empresa. Se elas não entenderem que segurança tem valor, continuarão com as práticas que expõem as suas vidas e empresas a riscos desnecessários. No final do dia, proteger informação é o mesmo que proteger pessoas.

Security Report:   Como você enxerga a maturidade do mercado diante dos próximos 12 meses, antes de a LGPD entrar em vigor?

Ricardo Castro: As empresas maiores sofrerão mais, principalmente porque muitas iniciativas não foram aprovadas em orçamento para 2019, já que a ANPD ainda não tinha sido instituída. Contudo, deixar para investir em segregação de acessos e funções, mascaramento de dados, inventário de informações, ferramentas de classificação, rastreamento e prevenção a vazamento de informações em apenas oito meses (em 2020) pode causar uma verdadeira disrupção dos negócios.

Security Report: Para o plano de ação da LGPD numa startup, quais os diferenciais comparados com o mercado tradicional?

Ricardo Castro: Não muda muito. A regra do jogo é igual para todos. A palavra de ordem é cultura – todos alinhados com conceitos e práticas adequadas, entendendo o valor de atender a lei e proteger o cliente. Esse será o real diferencial para o negócio.

Security Report: A lei apresenta muitas questões interpretativas. Como você acha que a ANPD deve atuar?

Ricardo Castro: É um assunto que seria melhor descrito pelos meus colegas do jurídico, mas acredito que a ANPD e o mercado aprenderão juntos a medir a maturidade adequada do mercado e o peso das autuações. Jurisprudência já existe há bastante tempo, mas não na amplitude de agora. Por isso, temos um caminho longo de incertezas a serem geridos.

Security Report:  Como você enxerga a indústria de cybersecurity sob o aspecto das ofertas de soluções e o que você avalia como tendência?

Ricardo Castro: A exemplo do que foi a SOX e a Basiléia 2, acredito que haverá r muita ‘propaganda enganosa’ indicando soluções incompatíveis com a lei e o propósito de negócio. Muita solução milagrosa será oferecida, mas a verdade é que o caminho para todos é muito parecido. Algumas empresas ficarão no “patinete” e outras precisarão de uma “frota de Ferraris”, com gente competente para pilotar bem cada uma dessas preciosidades (as soluções).

Security Report: Qual o papel do CISO no processo de implementação da LGPD e quais suas recomendações.

Ricardo Castro: Usando minha experiência na GDPR como base, o CISO é quem fica com 80% de todo o trabalho. Ele é o ponto de contato entre TI e o Jurídico/Compliance e fica encarregado da implementação de boa parte dos controles relacionados a proteção e detecção de um possível vazamento das informações. Muita expectativa é colocada sobre o trabalho do CISO por todas as áreas envolvidas.

Security Report:   Como você enxerga a figura do DPO nesse processo?

Ricardo Castro: Acredito que o perfil do DPO vai mudar com a maturidade da adoção da LGPD e com a atividade fim da empresa. Enquanto alguns terão um perfil muito técnico, outros serão meros porta-vozes frente ao público. De uma forma ou de outra, conhecimento suficiente em Segurança e Direito é essencial para se desempenhar um bom trabalho.

Esses e outros temas serão abordados pelos CISOs que participarão no Security Leaders São Paulo, de 29 a 30 de outubro. Faça sua inscrição.

DPO: os guardiões dos dados entram em cena

A LGPD traz excelentes oportunidades num cenário nacional com poucos Data Protection Officers. Por isso, o Security Leaders São Paulo fechou uma parceria inédita com as advogadas mais renomadas do Direito Digital, Patrícia Peck e Cristina Sleimam, para ministrar um curso de formação de DPOs durante o evento, entre 29 e 30 de outubro

 

O momento sinaliza uma verdadeira corrida contra o relógio. A LGPD entra em vigor em agosto de 2020 e poucas empresas contam com um dos atores fundamentais para fazer a ‘ponte’ entre organizações e a Autoridade Nacional de Proteção de Dados. Esse indicativo abre oportunidades para quem deseja trilhar a “nova” profissão no País. Mesmo assim, poucos têm se arriscado porque há uma longa discussão sobre o papel do DPO no cenário nacional, também pela indefinição de como a ANPD conduzirá os processos exigidos pela lei.

Diante dessa lacuna e dúvidas a respeito de quem é essa figura e as suas atribuições, a 10ª edição do Security Leaders São Paulo traz um curso de DPO, sob medida, de 29 a 30 de outubro, numa parceria inédita entre o Security Leaders e a Peck Sleiman EDU e os detalhes podem ser conferidos no #SL10anos.

Ministrado por duas grandes advogadas do País, a especialista em direito digital, Patrícia Peck; e Cristina Sleiman, sócia e diretora de Negócios da Peck Sleiman EDU, – o curso será dividido em dois módulos e abordará aspectos da LGPD e a atuação do DPO. “O DPO (ou encarregado de dados) deve, em primeiro lugar, ser alguém com autonomia para poder exercer uma função fiscalizatória interna. Mas também possui prerrogativas de interlocutor com a Autoridade Fiscalizadora de Proteção de Dados Pessoais”, explica Patricia Peck.

Além de ser um dos keynote speaker da 10ª edição do Security Leaders São Paulo, Patrícia Peck é sócia Head Direito Digital do escritório PG ADVOGADOS e instrutora de cursos jurídicos pela Peck Sleiman EDU. Formada e doutorada pela Universidade de São Paulo (PhD em Propriedade Intelectual e Direito Internacional), pesquisadora convidada pelo Instituto Max Planck, pela Universidade de Columbia na área de Direito Internacional e Comparado com ênfase em propriedade intelectual.

Cristina Sleiman é sócia e Diretora de Negócios da PECK SLEIMAN EDU. A advogada é mestre em Sistemas Eletrônicos pela Escola Politécnica da Universidade de São Paulo e possui extensão em Direito da Tecnologia pela FGV/RJ.

Meandros da LGPD e o papel do DPO

Sem dúvida, o texto da LGPD é bastante interpretativo e necessita do lastro da ANPD: “o Art. 41 da LGPD reza, de forma direta, que “o controlador deverá indicar encarregado…”. Aqui não há faculdade na indicação. Entretanto, no § 3º do mesmo artigo, A Lei diz que “a autoridade nacional poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados”, explica Arthur Sabbat, Assessor Militar no DSI/GSIPR.

Segundo Sabbat, o texto, agora, menciona que poderão ser estabelecidas, pela ANPD, hipóteses de dispensa da indicação do encarregado, em virtude de três condicionantes da entidade que irá tratar dados pessoais, e que a meu ver devem ser observadas em conjunto: a natureza (jurídico-administrativa), o porte, e o volume de operações do tratamento de dados (depende do negócio e, em consequência, do tamanho da base de dados pessoais da organização).

Em recente artigo de Alex Amorim, CISO e DPO, para a Security Report, uma de suas indagações foi: “Quem é esse profissional, qual o seu perfil, as suas atividades e responsabilidades e, ainda, quais os tipos de DPO? Sim. Uma empresa pode ter basicamente dois perfis e o objetivo deste artigo é esclarecer sobre o assunto”.

Para Amorim, é possível denominar o primeiro tipo de DPO como um profissional “consultivo”. “Este modelo tem como principal objetivo auxiliar as empresas em todo processo de implementação. Neste caso, não há problemas de a organização ter dois ou mais DPOs consultivos, uma vez que os mesmos ajudarão com todos os aspectos práticos do modelo a ser adotado para estar em conformidade com as novas regras”.

O outro perfil, na visão de Amorim, é o “DPO Consultivo Jurídico”. Dessa forma, os profissionais com formação em direito poderão auxiliar em todo modelo de criação, revisão e modificação de contratos novos ou existentes na empresa.

“O DPO Fiscalizador e o seu principal objetivo é atuar internamente com o papel de fiscalizar os controles internos para garantir o cumprimento da LGPD dentro da companhia. A função prioritária dele é olhar para a empresa de forma sistêmica, bem como ter uma visão de todo o ecossistema e monitorar o ambiente de forma preventiva e reativa para eventuais violações de dados entre o controlador e seus possíveis operadores”.

Aproveite e faça já a sua inscrição para a 10ª edição do Security Leaders São Paulo e não perca a oportunidade de discutir o futuro da segurança da informação e os rumos da LGPD com os maiores especialistas do mercado nacional e internacional.