Nos últimos 10 anos, o cenário de cybersecurity mudou muito e, consequentemente, o perfil do profissional da área, que hoje é um dos mais valorizados, principalmente por tudo que tem conquistado dentro das companhias. Diante desse cenário, os gestores de segurança apresentam dois distintos perfis: o CSO que trabalha numa corporação baseado em regulamentações e precisa cumprir leis e aquele que trabalha mais porque não assimilou as melhores práticas, o que tornará a vida dele mais complicada com a chegada da LGPD. Sem dúvida que a Lei Geral de Proteção de Dados sobe não só uma régua na escala de destaque desses profissionais, mas garante uma somatória de habilidades para lidar com diferentes cenários e atores.
Para traçar essa (r)evolução no perfil dos profissionais de segurança da informação, é preciso fazer uma remontagem do que aconteceu nos últimos 10 anos sobre o que era ameaça em 2009 comparado com 2019. Nesse sentido, o Congresso Security Leaders São Paulo reconstruiu as peças do quebra-cabeça com um painel composto por CISOs de distintos setores do mercado, reunindo profissionais da Natura, Agibank, Banco Votorantim, Eurofarma, B. Grob do Brasil e B3.
Ticiano Benetti, CSO da Natura, diz que o atual momento que o CISO está vivendo é muito interessante do ponto de vista de carreira, uma vez que há um âmbito de atuação de segurança da informação cada vez maior que começou nos pequenos parâmetros do que hoje está evoluindo para ser um ponto de influência muito grande e, consequentemente, a razão da posição de segurança ganhar cada vez mais importância e um raio de atuação maior. Ele aponta alguns marcos históricos da segurança da informação: “o primeiro incidente que mobilizou a empresa inteira e todos têm um desse na sua trajetória e a preocupação de segurança cibernética pelos CEOs – há menos de um ano”.
Marcos Donner, CSO do Agibank, concorda com Benetti e acrescenta: ”tudo começa antes de iniciar as discussões sobre cibersegurança no Brasil, mas do ponto de vista da segurança da informação muito orientada por marcos regulatórios de alguns mercados como o sistema financeiro, onde há uma exigência em relação à proteção de dados, uma vez que aspectos como fraudes e – principalmente nos últimos 15 anos com as fraudes eletrônicas com um volume muito representativo – fazem parte do apetite de riscos do ecossistema no setor financeiro”.
Benetti destaca, ainda, os mais recentes marcos como as exigências de regulação de normativos; camadas de proteção em relação a canais eletrônicos, o que vem mudando muito a forma de pensarmos, atuarmos e agirmos em segurança da informação está orientado em inovação e transformação digital. “Isso não é algo que deixa de estar na pauta e na prática da profissão, seja de qual setor, onde todos têm que se reinventar em relação a processos cada vez mais otimizados e orientados à nuvem e outras plataformas porque inovação está relacionada à agilidade”.
Leonardo Muroya, CSO do Banco Votorantim, compartilha duas visões principais. “Há dois fatores que eu acho que são fundamentais. Em primeiro lugar, hoje um analista de segurança é um executivo e não é tão simples assim. Foram anos de aprendizado e todos tiveram duas décadas de segurança e aprendemos. Tanto que hoje, quando vou numa reunião de Conselho não falo de Segurança, mas trato de negócio onde meu papel é viabilizar o business e o outro é proteger e defender a empresa, que é do nosso DNA. Por outro lado, os conselheiros administrativos das empresas estão super conscientizados sobre o tema segurança da informação, tanto que um estudo recente do Gartner revela que já há uma conscientização por parte do board da empresa, onde os diretores são responsáveis pela segurança e não mais somente o profissional de segurança”. Portanto, na visão de Muroya, a atual posição como CISO, que no passado não existia, é uma mudança cultural e de mind set, tanto do profissional de segurança quanto da corporação.
Fernando Bruno, gerente de SI da B3, lembra que antigamente os profissionais de base eram promovidos para a área de segurança da informação e hoje já há formação para esse profissional. “Essa base mudou muito, mas mesmo assim ainda faltam profissionais”. Ele aponta também os ataques massivos e é recorrente para toda a sociedade, onde todo mundo já sofreu algum tipo de invasão em seu celular. “Hoje, a segurança é uma competência de outros profissionais”, reflete Bruno.
Para Fernando Galdino, Information Security Officer da Eurofarma, o que mudou nos últimos dez anos do ponto de vista do papel do CISO, ao longo dos anos as pessoas passaram a olhar o responsável pela segurança com outros olhos. “Um bom termômetro é como nosso interlocutor nos olham. No passado éramos o autor do não e agora o nosso papel é de como podemos ajudar. Na indústria farmacêutica, que traz vários fármacos de outros países, e a LGPD sempre bate nesses acordos internacionais e vimos como é importante construir a base de segurança para fomentar a inovação na indústria farmacêutica. Portanto, essa turma inclui o CISO para a mesa de discussão de negócios. Obviamente temos uma agenda desafiadora para conciliar transformação digital versus privacidade de dados”.
“Hoje, tratamos vertentes regulatórias, jurídica, psicologia, engenharia, matemática, financeira, ou seja, qual o limite do CSO? E por querer perpetuar nossa posição, sempre vamos além do que os outros C-Levels. Apenas 24% de profissionais de segurança estão bem posicionados no board da companhia, segundo estudos. Isso não é um bom indicador, uma vez que ou eles são absorvidos para outros países ou vão para outras organizações. Assim, o Brasil não tem capacidade para formar esses profissionais, embora já existam cursos sobre as disciplinas de segurança da informação”, finaliza Gutierrez.
Embora já exista a conscientização do board, o CISO tenha ganhado uma posição de liderança e de facilitador no processo de transformação digital e as áreas de negócios já percebam isso, ainda há uma grande barreira para transpor: aumentar o budget em Segurança da Informação. Muroya conta que recentemente palestrou num evento de CFOs para falar sobre o papel do CISO e a sua relevância na corporação. “Se fui chamado para palestrar é porque ainda não há essa consciência de que segurança não é custo. Mas isso tem sido facilitado e minha dica para o CISO que precisa defender seu orçamento é falar de riscos e não falar de tecnologia e segurança. Mostre que eles entendam quais os riscos do negócio, imagem, reputação, etc. Hoje o aproach está mais facilitado e temos cadeira de tomar decisão e poder de veto em algumas empresas”, recomenda lembrando que, apesar de tudo, ainda é questionado sobre custos. “Para tanto, é fundamental ter KRIs e KPIs para mostrar quanto está evoluindo para reduzir os riscos do negócio. De forma prática, nos últimos anos é essa a fórmula que tenho usado para convencer o conselho”.
Transformação digital e a inovação na segurança
Desde 2018, o Agibank se posiciona como banco digital deixando de ser uma instituição tradicional para migrar num perfil de fintech. “Temos que nos adaptar a modelos mais acelerados, ágeis e complexos. Portanto, a área de segurança enxergou como uma oportunidade de se aproximar numa estrutura mais horizontal do que vertical de desenvolvimento de produtos e tecnologia com arquitetos de segurança trafegando nas diversas tribos de negócios, num modelo focado no ecossistema”, comenta Donner quando ressalta como uma das maiores vantagens essa proximidade dos arquitetos de segurança com os times de negócios. Para ele, sobre métodos de segurança já existem várias bibliografias e quando se trata de processo já é algo mais complexo porque a agilidade é um fator fundamental.
Fernando Bruno comenta que gosta muito de fazer gamificação para criar a conscientização entre os colaboradores da organização sobre a importância da privacidade e proteção de dados, uma vez que – segundo a visão dele – a segurança informação não deve estar dentro de uma área, mas é uma competência. Por isso, devemos enxergar todas as áreas de negócios como parte do processo da cultura de segurança. “Temos que ter muitos processos na questão da colaboração porque há uma cultura do brasileiro de sabotar o jogo. Fizemos um jogo de realidade virtual de mesa de jogo com mais de 400 pessoas participando. O melhor colocado ganharia um iPhone e as pessoas davam dicas para que o outro grupo ganhasse e o grupo vencedor venderia o aparelho para fazer um churrasco”, comenta.
LGPD: CISO DPO ou DPO e CISOs?
Incidente, vazamento, risco, vulnerabilidade. Todas essas terminologias são habituais num processo de transformação digital, uma vez que quanto mais conectados, maiores serão os riscos. Nesse sentido, qual o papel do CISO? Seja ele, DPO ou não. Uma pesquisa da Forbes Insight revela que 84% dos CISOs acreditam que os riscos de cyberataques aumentarão, mas diante desse cenário os riscos também crescerão.
Igor Gutierrez, CSO da B. Grob do Brasil, acredita que o CSO deve absorver as regras da LGPD e não acontecerá nada de inovador do que os CISOs já estejam habituados. “Acredito que a lei e o negócio auxiliarão os profissionais de segurança caminhem juntos para a proteção de dados”.
Ticiano, da Natura, enxerga a LGPD com três pilares práticos:
1. Proteção de dados – por mais que a empresa tenha controles, se a informação não estiver compliance com a lei, o controlador será prejudicado.
2. Tecnológico – a lei estabelece uma série de direitos ao dono do dado e como promover, por exemplo, o esquecimento numa das bases de dados. Ou seja, prover a base tecnológica para prover os direitos do titular.
3. DPO – documentar a base legal e a missão dele é garantir que a prática do dia a dia das empresas seja refletida no que está documentado.
“São três missões distintas. Ao DPO cabe o compliance e a proteção de dados está ligada ao CISO. Haverá de tudo nesse Brasil, empresas menores onde o analista que vai virar DPO, outras que terá DPO só para cuidar do que é feito na prática e quem manterá a complexa base tecnológica. Para cada uma dessas missões já é um prato cheio para serem gerenciadas”, finaliza Ticiano.
Galdino concorda que dependerá do porte da organização. “Haverá uma tendência do CISO de absorver a responsabilidade no projeto da LGPD. Ele é a figura mais próxima do perfil que se exige do DPO. Assim, o CISO acumulará novas competências para tratar com diferentes atores. Montamos na Eurofarma um grupo de trabalho porque no final do dia vai cair na área de segurança, ou seja, o acabará absorvendo as responsabilidades do DPO”.
Gutierrez concorda com Galdino porque quando o tema iniciou na organização, todos buscaram o apoio e entendimento pela área de segurança da informação. “Portanto, cada vez mais o CISO acumulará mais conhecimento e habilidades para tratar de diferentes temas e todos relacionados à proteção de dados. Obviamente deve haver um DPO dedicado em função da grande demanda que surgirá no cenário a LGPD”.
Para Muroya, a LGPD é hoje um programa de toda a corporação. “Mas é importante ressaltar que o papel do DPO não é o mesmo do CISO, mas é uma função paralela porque o volume de atividades de dados é tão grande que nesse caso menos é mais, ou seja, se trouxéssemos o DPO para debaixo do CISO fatalmente um ou outro não seriam bem atendidos. Dependendo do porte, volume de informação e da quantidade de dados, maneira como a empresa está posicionada ou que tem de serviço e informação crítica, é benéfico separar os papeis”. Muroya também aponta que pode haver um conflito de interesses entre uma posição e outra e por isso é salutar separar as figuras.
Bruno comenta que a escolha ainda está baseada em competência em proteção de dados, mas há muita gente do jurídico falando do assunto. “Uma das coisas que vai mudar esse cenário quando descobrirmos que a barata voa, ou seja, quando houver a necessidade e pressão para resolver incidente e vazamento de dados, saberemos que a saúde da empresa será medida pela capacidade de resposta ao mercado e como será reportado”.
Bala de prata? Inteligência Artificial
Há uma crença no mercado que a Inteligência Artificial associada ao machine learning será a tábua de salvação para minimizar os ataques e automatizar a segurança da informação. Seria essa a bala de prata?
Isso dependerá do profissional da empresa para desenvolver algoritmos matemáticos para estar em conformidade com a LGPD.
No futuro, a IA será mais uma aliada. Na verdade, ela resolve alguns problemas e serão criados outros. Atenção: é só mais uma forma de contribuir.
O CSO da Natura alerta: “Por mais que sejam desenvolvido projetos de IA, sempre haverá alguém para pensar como a máquina irá pensar. Portanto, a questão de recursos humanos sempre será um déficit porque a demanda de segurança da informação aumenta sem parar. O que acontecerá é que o perfil desse profissional ficará cada vez mais complexo”.