O setor varejista e, especialmente o e-commerce, passa por uma grande transformação em seus negócios. Nesse segmento, segurança da informação é uma área crítica, dado o volume de ataques, aumento da mobilidade, o advento do 5G, a proximidade da entrada em vigor da LGPD, entre outros fatores. Assim, algumas empresas do segmento já despertaram para fortalecer a Segurança da Informação. Fundado em 2003, o KaBuM! foi um dos pioneiros no comércio eletrônico brasileiro e hoje é o maior e-commerce do segmento de tecnologia na América Latina. Este ano, a empresa completa 16 anos de histórias e conquistas de um time obcecado por agilidade, qualidade de atendimento, velocidade de entrega e respeito pelo consumidor. Assim, a mais recente incorporação foi Longinus Timochenco, contratado como CISO e Diretor de Governança.
Diante de uma trajetória de incontáveis desafios e lições aprendidas, Timochenco destaca que alguns fatores foram motivadores para ingressar na equipe da KaBuM!: a empresa está em franco crescimento interno e no mercado, além de ter uma cultura tecnológico, jovem, dinâmica, inovadora, com alto nível da gestão/executivos. “Mas o que mais me cativou em assumir este projeto desde o processo seletivo até a contratação e agora no dia-a-dia foi o respeito à pessoa física e profissional, fortíssimo envolvimento, comprometimento e patrocínio ao novo programa da Presidência para a nova governança, alto nível e pouco tempo de casa dos executivos na sua maioria vindo de grandes empresas de mercado e todos com a mesma energia e sede para fazer acontecer e ajudar no crescimento da empresa. Essa energia que estamos vivenciando aqui é simplesmente fantástica. Além disso, é uma empresa que valoriza e respeita pessoas a chance de permanecer, crescer e fazer a diferença no mercado com certeza é maior”.
Como CISO e Diretor de Governança, Timochenco elenca alguns desafios que terá em sua nova jornada, como elevar a maturidade da companhia a curto prazo e aumentar a transparência dos controles para o board e mercado. “Temos como projeto implementar um modelo diferenciado para os nossos controles internos, atuando no formato de um ecossistema integrado de segurança da informação, segurança patrimonial, risco & fraude, compliance, auditoria utilizando técnicas e soluções para Inteligência para atuarmos no comportamento da empresa de forma preditiva e nos antecipando dos possíveis incidentes de segurança e fraudes, uma vez que temos uma base line comportamental”, comenta. Para ele, quem atua somente no incidente significa que está sempre esperando um novo ataque. “Este é o pior cenário para o seu business e infinito”, destaca.
Em sua trajetória, com mais de 25 anos de experiência, Timochenco conta que já almejava ser um grande líder e planejou a sua carreira galgando funções desde passagem de cabos, administração de plataformas de grandes empresas como: Unix, Redes, Segurança de TI, Consultor, Auditor, Comercial. Então, o caminho apontava para a Segurança da Informação, quando busco uma especialização em gestão estratégica de Segurança da Informação, passando por auditoria, compliance, risco & fraude, controles internos e governança corporativa nas funções CSO e CISO, atuando no mercado nacional e internacional.
A Security Report entrevistou o atual CISO & Diretor de Governança da KaBum!, Longinus Timochenco, com exclusividade, abordando questões sobre LGPD, automação de infraestrutura de segurança da informação, liderança, riscos e gestão.
Security Report: Você acumula mais de 25 anos de experiência. Quais foram os maiores desafios e as lições aprendidas?
Longinus Timochenco: Somos eternos aprendizes, mas tive grandes projetos em minha vida profissional, como a Implementação de Governança de TI em empresas de grande porte; Desenvolvimento e construção responsável por infraestrutura de redes para construção de uma big sala cofre/data center empresa do mercado de energia em tempo recorde; Implementação de infraestrutura de PKI para certificação digital numa fase e época em que o mercado pouco se falava desse tema; Projeto Global de migração de firewall Check Point para uma nova estrutura do fornecedor da Inglaterra, o qual eu atuava para assumirmos toda administração e monitoramento e era responsável pela equipe América Latina e o projeto global dividido em 04 regiões; Implementação de Governança de Segurança da Informação Corporativa algumas vezes atuando em grandes empresas, sendo o maior desafio desenvolver a “cultura, quebra de paradigma, resistências e o real patrocínio da alta gestão”. Além da Implementação e institucionalização de áreas como: Risco & Fraude, Controles Internos, Auditoria, Compliance e agora a tratativa da Lei Geral de Proteção de Dados.
Security Report: Quais os requisitos para ser um líder em segurança da informação diante de um cenário de múltiplos ataques?
Longinus Timochenco: Nós, profissionais de segurança da informação, temos que entender, compreender e estar cada dia mais preparados para o combate real da guerra cibernética, sendo praticamente mutantes e simultaneamente, atentos às tendências do mercado. Além disso, devemos atuar de forma preditiva, uma vez que o nível dos crimes cibernético hoje em dia representa uma indústria rentável e não cabe mais atuarmos com pró-atividade.
Security Report: Quais são hoje as maiores dificuldades de um CISO para estar em conformidade com a LGPD?
Longinus Timochenco: O maior desafio é que a questão LGPD ainda é muito nova para todos. Nós, os CISOS, temos a missão de buscar a maior aderência da lei em conformidade com o negócio das nossas empresas. A meu ver, o maior desafio é que muitos CSO e CISOs ainda estão debaixo de TI numa linguagem e versão técnica, onde o tema deveria ser tratado na esfera estratégica de qualquer empresa, problemas de segurança da informação não se resolvem somente com TI, uma vez que o papel e missão da TI é cuidar de infraestrutura de Segurança de TI também. Neste momento, a Segurança da Informação é e deverá ser cada vez mais daqui para frente “corporativa”, com envolvimento e responsabilidade diretamente da alta gestão que é quem responde legalmente pela empresa e autoriza o pagamento das contas. Sempre digo e reforço que a alta gestão não deve transferir a sua responsabilidade e devem empoderar mais as áreas de controles para que elas sejam seus olhos e não tenho distorção de visão dos assuntos reportados.
Security Report: Como o CISO deve atuar com o atraso da implementação da ANPD e a possibilidade de a LGPD ser postergada?
Longinus Timochenco: O atraso da constituição da Autoridade Nacional de Proteção de Dados (ANPD) certamente impacta na fiscalização da implementação do LGPD nas empresas, pois infelizmente o Brasil ainda tem a cultura de só atender as regras regulatórias e legislativas quando há uma real obrigação com penalização severa. Mas recomendo que as empresas implementem as boas práticas independentemente dos prazos. A lei já existe e vai acontecer, quem não aderir inicialmente estará fora do mercado internacional e, em breve, no cenário nacional e o risco de fazer na correria é o alto custo financeiro e operacional. Transformem essa boa prática em novo estilo de negócio e marketing para sua empresa, toda pessoa física gosta de obter o sentimento de realizar suas transações e compras de forma mais segura e transparência. Segurança é sentimento, sensação e não somente ferramenta.
Security Report: Qual o papel do CISO diante das demandas da transformação digital e a garantia de assegurar a segurança dos dados?
Longinus Timochenco: O papel do CISO é governar os controles e segurança da informação corporativa para o report direto ao board das empresas, assegurando que todos os controles e regras estabelecidas estão aderentes às diretrizes do board e compliance com as boas práticas do mercado.
Security Report: Como você avalia a indústria de segurança atualmente? Você acredita que a segurança com Inteligência Artificial se tornou mais simples?
Longinus Timochenco: Eu vejo a indústria global de segurança atualmente muito forte e inovadora, não vejo problemas na busca de soluções e ferramentas de segurança porque estamos muito bem servidos até para guerra cibernética. A questão não é essa. Nós, profissionais, devemos operacionalizar de acordo com a necessidade. Além disso, ainda temos uma linguagem e roupagem muito técnica. Por isso, se realmente queremos e desejamos ser vistos e considerados como elo estratégico para o negócio, a nossa abordagem e report para corporação deve ser muito mais com visão de negócio e risco. Essa é a linguagem que o board entende e se sensibilizará. Quando eu mudei para esse formato comecei a ter muito mais sucesso no mercado em meus projetos. Linguagem técnica com sopa de letrinhas deve ser deixada para Segurança de TI e transforme essas informações em KPIs (indicadores) de riscos. Garanto que irão ouvi-los mais.
A questão da segurança com Inteligência Artificial não diria que ficou mais simples. Mas a fundação para conquistar esse nível de segurança é construir uma base muito sólida para que os inputs para essa base de inteligência seja robusta e verdadeira. Caso contrário, esse ambiente de inteligência irá gerar muito falso positivo. Recomendo muita chegarem nesse nível, garantindo o melhor dos mundos para agilidade no combate cibernético, mas façam antes o dever de casa e trabalhe iniciando pelo básico: treine, capacite com responsabilização e pênaltis seguindo está ordem: Pessoas, Processos, Tecnologia, Governança.
Security Report: Quais os desafios para o ambiente na nuvem (cloud pública x cloud privada)?
Longinus Timochenco: A questão nuvem é uma opção sem volta. O ponto não é em não fazer e sim como garantir a segurança de suas informações. Temos inúmeros desafios para planejarmos antes de migrarmos para nuvem, como:
- Bom contrato, onde prever atualização do parque tecnológico;
- Entenda o modelo de responsabilidade compartilhada,
- Estabeleça e aplique políticas de segurança na nuvem
- Monitoramento,
- Controle de acessos,
- Proteja seus endpoints,
- Criptografar dados em movimento e em repouso
- Tráfego das informações com segurança,
- Use a tecnologia de detecção e prevenção de intrusão
- Backup/restore efetivos e evidenciados,
- Gestão de incidentes,
- Gestão mudança com book para o cliente
- Garantia de insource ou move de provedor que nenhum dado será perdido ou ficarão na base antiga;
- Verifique novamente seus requisitos de conformidade
- Realizar auditorias e testes de penetração
- Certificações de segurança da infraestrutura, como ISO27001, PCI, SOX e etc.
- Treine a sua equipe para gestão de fornecedores/provedores.
Geralmente, as organizações têm menos problemas de segurança com suas cargas de trabalho baseadas em nuvem do que com aquelas executadas em seus data centers tradicionais. E seguindo as melhores práticas de segurança na nuvem, eles podem reduzir ainda mais o risco, enquanto aproveitam os benefícios oferecidos pela computação em nuvem.