Blog

14/12/202214/12/2022 By bruno

“É preciso parar de conviver com uma pseudo-segurança”

“O CISO está distraído porque está sobrecarregado com o alto volume de ataques e incidentes. Com isso, ele não consegue parar pra refletir sobre erros estruturantes da Segurança. Erros que são cometidos não só por eles, mas pelos líderes de negócio também. Isso afeta o desempenho da Segurança”, diz Marcos Sêmola, Sócio de Cybersecurity da EY.

Ele abriu o segundo dia do Security Leaders na manhã desta quinta-feira (27) e provocou a plateia sobre um ponto instigante de debate: diante de tantos ataques cibernéticos, onde é que os profissionais de SI estão errando? Ele insiste que as demais áreas precisam inserir o CISO desde o início dos projetos e evitar um trabalho de apagar incêndio.

“É preciso parar de conviver com uma pseudosegurança. Não é normal olhar para as mais diversas pesquisas e se deparar com tantos ataques, devemos refletir e corrigir os erros e identificar aquilo que afeta o desempenho da Segurança”, diz o executivo.

Para Sêmola, enquanto os CISOs estiverem inseridos em um círculo vicioso como entendimento equivocado dos riscos, definição inadequada da função de infosec e gestão de risco sacrificada por baixo orçamento, por exemplo, o efeito será o “voo de galinha”, com uma proteção pouca eficaz e planos de Segurança ineficientes.

“É preciso virar esse jogo e ter um voo de águia, mais eficiente, robusto e seguro”, completa o executivo, que tem 30 anos de experiência em Tecnologia, sendo 23 em cibersegurança e 8 livros publicados sobre infosec.

Todas as palestras da 13ª edição do Congresso Security Leaders Nacional estarão disponíveis no canal da TVSecurity no Youtube.

14/12/202214/12/2022 By bruno

ESPECIAL SECURITY LEADERS – CISO 5.0: O futuro da posição de Líder de SI como protagonista nos negócios

O CISO 5.0 nada mais é do que o CISO do futuro. Aquele líder de Segurança que faz parte do corpo diretivo da organização, que inspira e engaja as equipes a buscarem soluções seguras para o desenvolvimento dos negócios, que busca o equilíbrio entre controles, gestão de risco e inovações. É hoje considerada uma posição estratégica e crucial para a continuidade do business.

É uma profissão como novo status, exigindo uma transformação por parte dos profissionais. Muitos estão buscando posturas diferenciadas, olhando não só a parte técnica da tecnologia, mas também o lado empreendedor, executivo e estratégico. Na visão da Comunidade de CISOs do Congresso Security Leaders Nacional, O CISO 5.0 terá que se adequar a muito mais áreas do conhecimento, inclusive criando outras habilidades, como oratória e comunicação.

E o que mais tem aberto espaço para os CISOs no Brasil e no mundo é a nova realidade em que está a economia internacional, considerando um cenário pós-pandemia e outros eventos globais que forçaram uma alteração intensa da realidade do trabalho. Um exemplo desse novo momento é o trabalho remoto, aumentando a complexidade dos sistemas digitais e, junto disso, os riscos de exposição a invasões.

“Acompanhamos o nascimento de uma nova geração de CISOs. Empresas criaram áreas específicas, vimos toda uma conscientização desse cenário. Mas a questão talvez seja saber como essa nova geração está se preparando para se relacionar com as áreas de negócio e com a alta direção”, comentou Rodrigo Godoi, head de Cybersecurity, na abertura do debate.

“Essa geração emergente de CISOs é muito mais acelerada que nós, com uma ansiedade quase nativa, exigindo tudo muito rapidamente, inclusive resultados imediatos. Percebo também uma deficiência na comunicação, o que exigirá um redesenho de atitudes, principalmente para falar com a alta direção”, acrescenta Ianno Santos, CISO da AeC, alertando sobre a dificuldade de adaptação em um processo evolutivo da carreira.

“Há algum tempo, tínhamos que escolher o que era factível de ser feito, o que era mais trivial e conveniente. Hoje, temos um orçamento que nos obriga a acompanhar a velocidade do negócio, com métodos como o Security by Design. Ocorre que essa nova geração também é exigida de comunicar-se e negociar com os demais times a fim de gerar as mudanças necessárias, sempre com atenção máxima aos acessos privilegiados. Penso que o desafio da execução é enorme para conseguir fazer o estado da arte da Segurança”, comentou Gabriel Borges, CISO do BTG Pactual.

Repensando a função do CISO

Na visão de Cleber Brandão, head de cybersecurity e red team do C6 Bank, o CISO está se destacando e provando seu valor junto ao corpo diretivo graças à atuação da Segurança nas organizações. “É importante citar que os próprios executivos têm aberto a mesa para o líder de SI se sentar e juntos tomarem decisões em conjunto. Isso fortalece toda a categoria”, diz.

“Anos atrás”, lembra Luiz Barbosa, Diretor Regional de Vendas da Fortinet, “a demanda era muito maior por alguém mais conhecedor tecnicamente de todas as soluções, mas hoje há um processo de transformação pelo fato de a Segurança se tornar parte do negócio, em que o mais importante acaba sendo o soft skill, a forma como você se comunica com o board da companhia”.

Para Barbosa, a comunicação, no fim das contas, se tornou a principal habilidade que um CISO precisa trabalhar e desenvolver ao longo da sua carreira. O painel está disponível na íntegra no canal da TVSecurity no Youtube.

O tema sobre o futuro dos líderes de Segurança da Informação também foi a temática que pautou a apresentação do Keynote Marcos Sêmola, Sócio de Cybersegurança da EY, no segundo dia do Security Leaders. Ele insiste que as demais áreas precisam inserir o CISO desde o início dos projetos e evitar um trabalho de apagar incêndio. “É preciso parar de conviver com uma pseudo-segurança. Não é normal olhar para as mais diversas pesquisas e se deparar com tantos ataques, devemos refletir e corrigir os erros e identificar aquilo que afeta o desempenho da Segurança”, disse o executivo.

Além de Sêmola, Glauco Sampaio, Superintendente Executivo de Segurança e Privacidade na Cielo, também tratou do tema em sua palestra “O CISO no papel do Google Translator”. Para ele, o CISO conquistou grande espaço dentro das organizações, traduzindo diálogos mais técnicos para uma linguagem business junto aos executivos da empresa. “Temos a missão de ser interlocutores entre as áreas, mostrando os objetivos de negócios aos times de Segurança e vice-versa. Com isso, ganhamos espaço em uma conversa mais sênior”, comenta o executivo em entrevista à Diretora Executiva do Security Leaders, Graça Sermoud.

14/12/2022 By bruno

Eficácia da equipe depende da motivação criada para ela

Na visão de Luiz Humberto Sucupira, Gerente Executivo de Segurança da Informação e Cibernética no Banco do Nordeste do Brasil, um dos grandes problemas do mercado de Segurança da Informação é entender sua importância para a expansão de valor do negócio. E isso está profundamente ligado à gestão de pessoas.

Com isso, se torna essencial aos CISOs 5.0, em parceria com a empresa, que se crie as condições para as equipes se tornarem cada vez mais eficazes através do cuidado com esses profissionais. Isso implica gerar motivadores para gerar equipes mais estáveis; criem perspectivas; participem dos processos; e não sejam apenas mais um elemento dentro da cadeia.

“O que faz a diferença são os membros das nossas equipes. São equipes que pensam diferente. Todo o dia temos incidentes, mas qual é a perspectiva? O que o seu negócio tem oferecido à essas equipes para se inspirarem, se motivarem, mudarem, e não pensarem em trocar a sua empresa pela outra? Nem tudo se resume à dinheiro, portanto valorize o capital humano, treine e forme pessoas, remunere bem”, disse Sucupira, em palestra durante o Security Leaders Fortaleza.

“É nesse ponto que eu, gestor de Segurança, tenho que me preocupar com as estratégias traçadas, e com a forma como me comunico com meus superiores. Essas estratégias vão dar à minha equipe visão de futuro e capacidade de planejar e atuar conforme esses direcionamentos. Todos os dias temos problemas, incidentes, alguém cobrando alguma coisa. Vale a pena deixar a minha equipe apenas nesse ritmo? É justo? Que ser humano vive sem perspectiva? Sem saber o que virá no planejamento futuro?” continuou.

Para ilustrar também o risco à saúde dos funcionários das equipes de SI como uma questão de mercado, Sucupira relembrou de outra palestra apresentada no Security Leaders Nacional pelo Gerente de Segurança da Informação do Hospital Sírio Libanês, Leandro Ribeiro. Ali foi apresentado que 36% dos profissionais de SI disseram ao menos conhecer alguém que tenha se afastado da atividade devido a enorme carga de trabalho e efeitos de síndrome de Burnout.

“Esse assunto é muito complicado, mas fundamental. É muito feliz trazer o assunto de saúde para a discussão, pois é uma preocupação que temos com todos os profissionais da área de SI. Podemos trabalhar 24 horas por dia, 7 dias por semana. Mas hoje durmo tranquilo porque aprendemos como instituição e como profissionais a implementar cada um daqueles pontos para gerar motivação. Também aprendemos a acreditar em cada um dos membros da nossa equipe”.

O líder de SI acrescentou sobre a necessidade de personalizar a forma como cada um dos membros da equipe atua em favor dos objetivos da companhia, sem considerar padrões uniformizados. Isso é importante pois, segundo ele, quando se nivela a todos igualmente, alguém acaba desprivilegiado, transformando essa pessoa num problema ou até num ponto vulnerável.

Com isso, ele ressaltou o trabalho feito no Banco do Nordeste de ampliar a capacitação de funcionários jovens, de forma a prepará-los ao mercado de Cibersegurança e transformar a companhia em uma referência para aqueles que começam na atividade.

“Podemos trabalhar essas pessoas de forma que eu consiga gerar profissionais de excelência no mercado, cujas referências são ‘trabalhei, aprendi e me desenvolvi no Banco do Nordeste, e hoje devo minha profissionalização ao que aprendi lá. Desse primeiro, virá outro, e mais outro, até você virar a referência para treinar e se capacitar”, conclui Sucupira.

14/12/2022 By bruno

Pague Menos aposta em tecnologia para suportar expansão de serviços digitais

A Pague Menos é a segunda maior rede de farmácias do Brasil, possuindo 25.000 funcionários em 300 municípios. Com forte atuação em todos os estados brasileiros, especialmente na região Nordeste, a companhia se encontrou com algumas demandas de negócios, como a necessidade de uma nova rede que suportasse a expansão de seus serviços digitais, que integrasse as unidades e garantisse mais Segurança no ambiente. Além disso, uma outra prioridade era conectar de forma eficiente toda a rede de lojas.

Após procurar vários fornecedores, a Pague Menos escolheu a Fortinet para ajudá-la nesta jornada e iniciou a implantação de seu projeto de SD-WAN Segura. Segundo Afro Vasconcelos, Diretor de Tecnologia na Pague Menos, a escolha se deu pela capacidade técnica e a possibilidade de entregar tudo que era necessário naquele momento, além do comprometimento e forte parceria nos últimos anos, tanto da Fortinet quanto da Network Secure.

“Ambas disponibilizaram o suporte necessário e nos acompanharam durante todo o processo até tirar totalmente a companhia do problema enfrentado. A postura dos parceiros é o que fará diferença, comecei com eles pela capacidade técnica e contínuo pela firme e leal parceria que temos”, explica Vasconcelos durante apresentação de case na edição regional do Security Leaders em Fortaleza.

Marcelo Luz, Gerente de Engenharia de Sistemas na Fortinet, comenta que a ideia era implementar uma arquitetura eficiente e que fosse capaz de pavimentar o caminho para que a varejista estivesse preparada ao processo de expansão. “Nesse planejamento, a arquitetura SD-WAN era a que fazia mais sentido para a varejista, pois reduz o tempo de ativação de um link, além de otimizar a aplicação. Garantimos dois, três ou até mais links dentro de uma farmácia a fim de assegurar a disponibilidade sem impactos para as vendas”, explica Luz durante apresentação do case de sucesso na edição nacional do Congresso Security Leaders.

O executivo explica que a tecnologia escolhida ajudou positivamente a solucionar os problemas do cliente. A iniciativa proporcionou redução do tempo de abertura de filiais e permitiu otimização do acesso a apps, aumentando a resiliência e disponibilidade dos aplicativos da companhia.

“Ainda sobre os desafios, a Segurança sempre foi aquele departamento visto como o ‘não’, que pode engessar o negócio, de alguma forma restringir ou dificultar a operação. Vemos que hoje temos ferramentas mais inteligentes que conseguem proteger o ambiente e torná-lo mais eficiente e leve para estar alinhado ao negócio. O objetivo é sempre permitir que a empresa continue crescendo sem comprometer a Segurança”, pontua o executivo.

Com a ajuda da Network Secure, parceiro local da Fortinet, a Pague Menos convergiu sua Segurança de rede e comunicações em todos os seus escritórios corporativos e lojas distribuídas em todas as unidades da federação. Com isso, a varejista garantiu eficiência, disponibilidade e a confidencialidade de dados.

A seguir, veja os conteúdos na íntegra.

14/12/202214/12/2022 By bruno

Segurança cibernética como um investimento empresarial

A pesquisa Global Digital Trust Insights Survey 2022 apontou que a segurança cibernética nunca esteve tão em destaque nas organizações como na atualidade. 83% das empresas brasileiras preveem um crescimento nos gastos nessa área neste ano. O percentual é maior do que a expectativa mundial, em que 69% das companhias esperam esse aumento. O estudo revelou ainda que 36% das empresas no Brasil buscam ter um crescimento no orçamento cibernético entre 6% e 10%, enquanto 33% preveem uma alta de 15% ou mais.

Na visão de Clayton Soares, Gerente Executivo de Governança de TI e SI no Grupo Pague Menos, desde o início da pandemia diversos processos foram acelerados e amadurecidos nas organizações, no caso da Segurança, empresas mais robustas criaram um conselho de administração para tratar assuntos de auditoria, privacidade e proteção de dados. O executivo destaca que, na Pague Menos, existe um comitê para gerenciar essas questões.

“Esse comitê existe justamente para tratar de temas importantes como auditoria, segurança, privacidade e proteção. Reportamos diretamente ao board da empresa, conselheiros e representantes dos acionistas. As empresas precisam pensar em Segurança de uma forma transversal e estratégica dentro da organização”, pontua executivo durante a edição regional do Congresso Security Leaders em Recife.

Para ele, o comportamento do mercado vem fazendo com que as empresas se posicionem diferente, colocando em prática a necessidade dos investimentos, mas principalmente o tamanho da relevância do assunto, necessitando cada vez mais de atenção.

Para Bartolomeu Lins, IT Manager na Disnove Veículos, não adianta ter um investimento considerável para a Segurança, já que as empresas precisam lidar com o elo mais fraco da corrente: pessoas. “Existem vários exemplos de falhas e vulnerabilidades que são causadas pelo próprio colaborador, e hoje, por conta da LGPD, ter o viés de fazer as devidas correções, treinamentos, capacitações ajuda muito e a Disnove Veículos está muito preocupada nesse sentido em sempre fazer melhorias”, comenta Lins.

De acordo com Paulo Pacheco, Gerente de Segurança da Informação e Privacidade na SEFAZ-PE, a LGPD trouxe uma importante mudança ao mercado. Ele explica que o decreto instituiu o programa de conformidade e agora há obrigações semestrais de estar prestando os resultados que o programa exige do órgão.

“Além disso, o próprio secretário da SEFAZ-PE avalia constante o atual cenário de incidentes e adota algumas ações, estamos fazendo muitos investimentos nessa área em contratação de monitoramento de SOC, investimentos em cima de governança. Fizemos uma reforma da política de segurança e de uso aceitável”, completa Pacheco.

A seguir, veja o painel de debates completo apresentado no Security Leaders em Recife.

14/12/2022 By bruno

Continuidade é a maior contribuição da Segurança para o negócio

A Segurança da Informação é uma área cheia de demandas. Entre as prioridades, a detecção e a resposta a incidentes são pontos de extrema importância. E com a alta dos ataques cibernéticos, não basta só detectar e responder, é preciso que essas ações sejam coordenadas, ágeis e foquem especialmente na continuidade dos negócios.

Com um tom de urgência, Romero Guimarães, Diretor de TI e Transformação Digital da ATI Pernambuco, destacou durante o Security Leaders que a confiança do consumidor e de acionistas depende dessa continuidade. “A maior contribuição da Segurança para o negócio é a continuidade dele. É um processo que leva tempo para ser construído e precisa ser uma luta diária dos profissionais de TI e Segurança”, diz o executivo na edição Norte e Nordeste do Congresso, realizado ontem (25) no formato híbrido, presencial em Recife e transmitido pela internet.

Guimarães chama atenção para essa luta que, em muitos casos, é ingrata para os líderes de Segurança. “A performance do CISO nos trabalhos de proteção de empresas, de plataformas digitais e de dados sensíveis precisa ser excelente. É uma luta que não se pode perder, assim como o médico ou um piloto de avião. Um erro pode ser fatal”, acrescenta.

O executivo encerrou a programação do Congresso refletindo sobre como a Segurança Cibernética pode ser um fator preponderante para a confiança dos clientes nas plataformas digitais e para a reputação das marcas. À medida em que a sociedade continua a migrar para um universo cada vez mais conectado, incluindo o trabalho remoto e o avanço de tecnologias com ação conjunta, ampliam as superfícies de ataques cibernéticos que podem ser uma ameaça para os negócios.

“A tecnologia trouxe uma grande evolução para as plataformas digitais e marketplaces. Esses modelos rentáveis para as empresas são sinais de inovação e benefícios para os clientes, sendo assim, um bem importante a ser protegido. Garantir a confiança nesses ambientes é trazer valor para o negócio, não podemos abrir espaço para ataques cibernéticos”, completa.

O Congresso Security Leaders aconteceu nas regiões Norte e Nordeste do Brasil em formato híbrido e todo conteúdo estará disponível no canal da TVD no Youtube.

14/12/2022 By bruno

Dosimetria está a caminho, mas maturidade em privacidade e SI não depende só dessa norma

Neste mês, as sanções da Lei Geral de Proteção de Dados (LGPD) completaram um ano desde que entraram em vigor. Mas existe ainda um ponto pendente: a dosimetria, que tem como objetivo a aplicação de multas em casos de infrações. Na semana passada, a ANPD abriu consulta pública para ouvir a sociedade sobre o assunto, que ficará disponível até o dia 15 de setembro de 2022.

Esse foi um dos temas em destaque durante o painel de debates no Security Leaders Belo Horizonte. Para Leon Rodrigues, Engenheiro de Soluções na OneTrust, mesmo com essa indefinição em relação à dosimetria, a adequação à lei deve ser seguida, mas o processo de conformidade depende também da maturidade das empresas em proteção de dados e Segurança.

“Não adianta ficar ligado apenas na questão da sanção. É preciso caminhar com todo o processo. Na nossa experiência, temos contato com empresas em diferentes níveis de maturidade”, explica Rodrigues.

Por conta da corrida para adequação em diversas empresas do Brasil, muitos executivos tiveram que se envolver na liderança dos processos e adequações à privacidade. Raphael Hagi, Coordenador de Segurança da Informação na Neon, explica que na organização em que atua, existe uma equipe voltada ao risco e enfatiza que é algo muito importante em meio ao processo, já que envolve dados e uma série de aspectos que vão contribuir com que a empresa consiga avançar integrando também o tema de privacidade.

“Além disso, temos um DPO bem próximo, nos auxiliando na proteção dos dados e no cumprimento da lei. Mas falar só de dosimetria não adianta, é preciso envolver o tema de privacidade em todos os aspectos da Segurança”, completa.

Já Carlos Travagini, CISO na FIEMG, compartilha que está em um processo de adequação de mais de dois anos na empresa. “Temos várias linhas de negócios e, para nós, é importante estar em conformidade pois, além de ser uma obrigatoriedade, é também um diferencial competitivo”, acrescenta.

Fabio Xavier, CIO no Tribunal de Contas do Estado de São Paulo, explica que o setor público é muito visado pelo cibercrime, pois atua com muitas informações pessoais que são valiosas no mercado negro. Para ele, além da conformidade, é necessário ter uma avaliação de risco e ser ágil na mitigação dos incidentes.

“Como líderes de TI e Segurança, precisamos passar de forma adequada a informação do risco e da proteção de dados para a alta direção. Com essa informação clara, o board poderá embarcar junto com a SI na jornada de Segurança e privacidade”, conclui.

O painel completo apresentado durante o Congresso Security Leaders Belo Horizonte está disponível no canal na TVD no YouTube. Veja outros insights compartilhados pelos executivos presentes sobre o tema.

14/12/2022 By bruno

Ministério Público do Mato Grosso aposta em tecnologia para elevar a Segurança de aplicações

O Ministério Público do Estado de Mato Grosso (MPMT) estava diante de alguns desafios: melhorar o ambiente de Segurança, especialmente para usuários remotos, além de aumentar o nível de proteção das aplicações. Para ajudar nessas demandas, o órgão contou com a parceira da Network Secure, que implementou tecnologia Fortinet.

Pedro Henrique, Gerente de Conectividade de Redes e Segurança da Informação do MPMT, explica que era necessário melhorar os serviços para seus 2.000 colaboradores, já que alguns sistemas estavam apenas em redes corporativas. Segundo ele, era fundamental disponibilizar aplicações para os usuários que pudessem trabalhar no formato home office.

“A Network Secure nos ajudou bastante durante todo o processo, principalmente em 2020, período de pandemia em todo o mundo. Além disso, colocamos as aplicações no ar e temos um firewall que faz nossa proteção”, destaca Henrique durante case apresentado na edição regional do Congresso Security Leaders, em Belo Horizonte.

O executivo ressalta que no início do projeto, foi realizado um estudo de firewall de aplicação, posteriormente, a tecnologia Fortiweb da Fortinet foi implementada. Com a iniciativa, a ferramenta conseguiu entregar mais segurança nas aplicações do órgão para todo o time, inclusive o de desenvolvimento.

“Foi um grande desafio, ainda mais porque havia uma certa resistência interna, mas no final, todos entenderam que o objetivo envolvia um bem maior. Desde então, a experiência com a nova tecnologia tem sido muito boa e satisfatória”, acrescenta Pedro Henrique. Para ele, o sucesso de qualquer projeto necessita de planejamento e um cronograma pré-definido.

“Seja algo pequeno ou grande, é preciso ter esse processo bem estruturado para não sair atirando para todos os lados ou fazendo as coisas de qualquer jeito. Na implementação do Firewall, a jornada foi muito bem orquestrada e colhemos muitos benefícios”, finaliza o executivo.

Além disso, Henrique comenta que o projeto contou com três meses de implementação. O case completo apresentado durante o Security Leaders Belo Horizonte está disponível no canal da TVD no YouTube.

14/12/2022 By bruno

Projeto de Segurança na CEDAE garante conformidade e conscientização

A CEDAE, Companhia Estadual de Águas e Esgotos do estado do Rio de Janeiro, está empenhada no desenvolvimento de novas estratégias de transformação digital e tem na Segurança da Informação um caminho para avançar nos projetos de conformidade. Recentemente, a companhia lançou um laboratório de inovação tecnológica, a fim de garantir a proteção do ambiente e os processos de adequação à Lei Geral de Proteção de Dados.

Paulo Pompei, Coordenador de Segurança da Informação da CEDAE, explica que a companhia encontrou na Network Secure um bom relacionamento de parceria para auxiliar em demandas como análise de vulnerabilidade de pentest. Ele acrescenta que a sinergia entre as equipes envolvidas nos projetos de SI e conformidade foi essencial para o sucesso do negócio.

“Estamos investindo pesado em Tecnologia da Informação, buscando adequação às boas práticas de mercado e frameworks que nos auxiliem na adequação da LGPD”, diz. O projeto interno “CEDAETEC” tem como objetivo capacitar os colaboradores e mostrar a toda organização os serviços desenvolvidos pelo próprio time de Segurança e TI. Com isso, todos têm a possibilidade de acompanhar os planos de proteção.

“Além da parceria nessa jornada de conformidade e Segurança, o projeto também proporcionou benefícios como a conscientização dos usuários internos em quesitos de proteção. Não podemos esquecer do nosso principal ativo: o fator humano”, pontua o Pompei durante o Congresso Security Leaders Rio de Janeiro.

A parceria com a Network Secure proporcionou à CEDAE melhores níveis de compartilhamento de informações e experiências para um avanço consciente rumo à maturidade em cyber. Inclusive, os próximos passos incluem novos desdobramentos de projetos de proteção com participação de colaboradores dentro da célula de Segurança. “Trata-se de um processo de melhoria contínua e o nosso parceiro tem nos apoiado nessa jornada”, finaliza Paulo Pompei.

O case completo apresentado durante o Security Leaders Rio de Janeiro está disponível no canal da TVD no YouTube. Veja também o caso envolvendo o FitBank, a necessidade que o negócio exigia, desafios enfrentados e os benefícios gerados com a implantação da tecnologia.

14/12/2022 By bruno

Trust by Design cria um elo entre Segurança e negócios

O Trust by Design é um conceito novo que está sendo trabalhado por líderes de Segurança da Informação em todo mundo, inclusive no Brasil. Ele significa a convergência de várias iniciativas ligadas ao tema central da SI, como Governança de Dados e Privacidade, Segurança Cibernética e GRC (Governança, Riscos e Compliance). Mas também é um assunto mais abrangente, abraçando inclusive as iniciativas de negócio com temas ligados às áreas como Ética e Conformidade, Sustentabilidade e ESG – Environmental, Social and Corporate Governance (Governança Ambiental, Social e Corporativa, na tradução ao português).

“É um conceito que está cada vez mais inserido na realidade dos gestores de Segurança. Ele traz a proposta de redução de silos e atuação fragmentada dessas áreas, para uma proposta de visibilidade única envolvendo processos, pessoas e tecnologia”, pontua Leon Rodrigues, engenheiro de Soluções da OneTrust durante o Security Leaders Rio de Janeiro.

A convergência das áreas corporativas pode contribuir nesse processo de Trust by Design, um conceito que vai muito além do Privacy by Design, na opinião de Rui Borges, gestor de Segurança da Informação da Vale. “Felizmente, o processo de conformidade com a LGPD nos forçou a rever uma série de aspectos de Segurança. Com isso, estamos caminhando para maior maturidade, item fundamental para colocar em prática o conceito do Trust”, pontua o executivo.

Nos últimos anos, com o avanço dos ataques cibernéticos e a importância da gestão de risco cibernético, o tema da confiança está se tornando um dos pilares mais estratégicos. É um assunto global envolvendo outras áreas e exigindo uma mudança de mindset dos líderes corporativos, inclusive as lideranças de Cyber, Privacy e Security.

“É difícil imaginar algum tipo de maturidade em privacidade sem uma prévia maturidade em Segurança da Informação. São temas convergentes que vão muito além da proteção, mas sim um envolvimento maior de outras áreas com objetivo comum: implementar a confiança em todos os processos”, diz Daniel Beltran Motta, DPO da Eletrobras.

Se a Segurança foi ganhando confiança ao longo dos últimos anos, até mesmo pela necessidade de falar a língua do negócio e conseguir abrir frentes junto aos times mais estratégicos a fim de ganhar voz e fazer parte das tomadas de decisão, certamente seria a área mais indicada para liderar a construção e implementação do conceito Trust by Desing dentro das organizações. Esse projeto de unir os departamentos elevando a maturidade da empresa e redesenhando toda uma estratégia de confiança tende a ser de responsabilidade do CISO e dos gestores de SI.

Mas, é evidente que o CISO não irá pilotar sozinho esse projeto, pois o conceito envolve uma junção de departamentos e iniciativas envolvendo inclusive sustentabilidade e ética. “É um olhar 360 para o negócio, para o desenvolvimento de serviços e produtos, para os parceiros, colaboradores e clientes. É criar, de fato, uma relação de confiança em todas as frentes”, explica Leon Rodrigues.

Não se trata apenas de proteger a privacidade, de se preocupar com a governança, de cumprir as regras de conformidade ou de proteger o ambiente corporativo, mas sim, fazer com que todas as iniciativas da organização e os processos de negócio estejam trabalhando com uma visão única, convergente e sem silos.

“O Trust by Design precisa fazer parte da cultura organizacional. Precisamos fomentar esse conceito nos processos e nas atitudes das pessoas, mudando o mindset a fim de alinhar essa iniciativa aos objetivos de negócio”, conclui Guilherme Neves Lopes, gerente de Cibersegurança e de TI da SNEF Brasil.

O painel de debates durante o Security Leaders Rio de Janeiro está disponível na íntegra no canal da TVD do Youtube.

Patrocínio