KaBuM! traz Longinus Timochenco como CISO e Diretor de Governança

Recém-chegado, o executivo promete: “KaBuM! será um case de sucesso no mercado em Segurança da Informação, aumentando a segurança e a transparência para nossos clientes, parceiros e fornecedores. O compliance será consequência para quem faz bem o dever de casa”.

Compartilhar:

O setor varejista e, especialmente o e-commerce, passa por uma grande transformação em seus negócios. Nesse segmento, segurança da informação é uma área crítica, dado o volume de ataques, aumento da mobilidade, o advento do 5G, a proximidade da entrada em vigor da LGPD, entre outros fatores. Assim, algumas empresas do segmento já despertaram para fortalecer a Segurança da Informação. Fundado em 2003, o KaBuM! foi um dos pioneiros no comércio eletrônico brasileiro e hoje é o maior e-commerce do segmento de tecnologia na América Latina. Este ano, a empresa completa 16 anos de histórias e conquistas de um time obcecado por agilidade, qualidade de atendimento, velocidade de entrega e respeito pelo consumidor. Assim, a mais recente incorporação foi Longinus Timochenco, contratado como CISO e Diretor de Governança.

 

Diante de uma trajetória de incontáveis desafios e lições aprendidas, Timochenco destaca que alguns fatores foram motivadores para ingressar na equipe da KaBuM!: a empresa está em franco crescimento interno e no mercado, além de ter uma cultura tecnológico, jovem, dinâmica, inovadora, com alto nível da gestão/executivos. “Mas o que mais me cativou em assumir este projeto desde o processo seletivo até a contratação e agora no dia-a-dia foi o respeito à pessoa física e profissional, fortíssimo envolvimento, comprometimento e patrocínio ao novo programa da Presidência para a nova governança, alto nível e pouco tempo de casa dos executivos na sua maioria vindo de grandes empresas de mercado e todos com a mesma energia e sede para fazer acontecer e ajudar no crescimento da empresa. Essa energia que estamos vivenciando aqui é simplesmente fantástica. Além disso, é uma empresa que valoriza e respeita pessoas a chance de permanecer, crescer e fazer a diferença no mercado com certeza é maior”.

Como CISO e Diretor de Governança, Timochenco elenca alguns desafios que terá em sua nova jornada, como elevar a maturidade da companhia a curto prazo e aumentar a transparência dos controles para o board e mercado. “Temos como projeto implementar um modelo diferenciado para os nossos controles internos, atuando no formato de um ecossistema integrado de segurança da informação, segurança patrimonial, risco & fraude, compliance, auditoria utilizando técnicas e soluções para Inteligência para atuarmos no comportamento da empresa de forma preditiva e nos antecipando dos possíveis incidentes de segurança e fraudes, uma vez que temos uma base line comportamental”, comenta. Para ele, quem atua somente no incidente significa que está sempre esperando um novo ataque. “Este é o pior cenário para o seu business e infinito”, destaca.

 

Em sua trajetória, com mais de 25 anos de experiência, Timochenco conta que já almejava ser um grande líder e planejou a sua carreira galgando funções desde passagem de cabos, administração de plataformas de grandes empresas como: Unix, Redes, Segurança de TI, Consultor, Auditor, Comercial. Então, o caminho apontava para a Segurança da Informação, quando busco uma especialização em gestão estratégica de Segurança da Informação, passando por auditoria, compliance, risco & fraude, controles internos e governança corporativa nas funções CSO e CISO, atuando no mercado nacional e internacional.

 

A Security Report entrevistou o atual CISO & Diretor de Governança da KaBum!, Longinus Timochenco, com exclusividade, abordando questões sobre LGPD, automação de infraestrutura de segurança da informação, liderança, riscos e gestão.

 

Security Report: Você acumula mais de 25 anos de experiência. Quais foram os maiores desafios e as lições aprendidas?

Longinus Timochenco: Somos eternos aprendizes, mas tive grandes projetos em minha vida profissional, como a Implementação de Governança de TI em empresas de grande porte; Desenvolvimento e construção responsável por infraestrutura de redes para construção de uma big sala cofre/data center empresa do mercado de energia em tempo recorde; Implementação de infraestrutura de PKI para certificação digital numa fase e época em que o mercado pouco se falava desse tema; Projeto Global de migração de firewall Check Point para uma nova estrutura do fornecedor da Inglaterra, o qual eu atuava para assumirmos toda administração e monitoramento e era responsável pela equipe América Latina e o projeto global dividido em 04 regiões; Implementação de Governança de Segurança da Informação Corporativa algumas vezes atuando em grandes empresas, sendo o maior desafio desenvolver a “cultura, quebra de paradigma, resistências e o real patrocínio da alta gestão”. Além da Implementação e institucionalização de áreas como: Risco & Fraude, Controles Internos, Auditoria, Compliance e agora a tratativa da Lei Geral de Proteção de Dados.

 

Security Report: Quais os requisitos para ser um líder em segurança da informação diante de um cenário de múltiplos ataques?

Longinus Timochenco: Nós, profissionais de segurança da informação, temos que entender, compreender e estar cada dia mais preparados para o combate real da guerra cibernética, sendo praticamente mutantes e simultaneamente, atentos às tendências do mercado. Além disso, devemos atuar de forma preditiva, uma vez que o nível dos crimes cibernético hoje em dia representa uma indústria rentável e não cabe mais atuarmos com pró-atividade.

 

Security Report: Quais são hoje as maiores dificuldades de um CISO para estar em conformidade com a LGPD?

Longinus Timochenco: O maior desafio é que a questão LGPD ainda é muito nova para todos. Nós, os CISOS, temos a missão de buscar a maior aderência da lei em conformidade com o negócio das  nossas empresas. A meu ver, o maior desafio é que muitos CSO e CISOs ainda estão debaixo de TI numa linguagem e versão técnica, onde o tema deveria ser tratado na esfera estratégica de qualquer empresa, problemas de segurança da informação não se resolvem somente com TI, uma vez que o papel e missão da TI é cuidar de infraestrutura de Segurança de TI também. Neste momento, a Segurança da Informação é e deverá ser cada vez mais daqui para frente “corporativa”, com envolvimento e responsabilidade diretamente da alta gestão que é quem responde legalmente pela empresa e autoriza o pagamento das contas. Sempre digo e reforço que a alta gestão não deve transferir a sua responsabilidade e devem empoderar mais as áreas de controles para que elas sejam seus olhos e não tenho distorção de visão dos assuntos reportados.

 

Security Report: Como o CISO deve atuar com o atraso da implementação da ANPD e a possibilidade de a LGPD ser postergada?

Longinus Timochenco: O atraso da constituição da Autoridade Nacional de Proteção de Dados (ANPD) certamente impacta na fiscalização da implementação do LGPD nas empresas, pois infelizmente o Brasil ainda tem a cultura de só atender as regras regulatórias e legislativas quando há uma real obrigação com penalização severa. Mas recomendo que as empresas implementem as boas práticas independentemente dos prazos. A lei já existe e vai acontecer, quem não aderir inicialmente estará fora do mercado internacional e, em breve, no cenário nacional e o risco de fazer na correria é o alto custo financeiro e operacional. Transformem essa boa prática em novo estilo de negócio e marketing para sua empresa, toda pessoa física gosta de obter o sentimento de realizar suas transações e compras de forma mais segura e transparência. Segurança é sentimento, sensação e não somente ferramenta.

 

Security Report: Qual o papel do CISO diante das demandas da transformação digital e a garantia de assegurar a segurança dos dados?

Longinus Timochenco: O papel do CISO é governar os controles e segurança da informação corporativa para o report direto ao board das empresas, assegurando que todos os controles e regras estabelecidas estão aderentes às diretrizes do board e compliance com as boas práticas do mercado.

 

Security Report: Como você avalia a indústria de segurança atualmente? Você acredita que a segurança com Inteligência Artificial se tornou mais simples?

Longinus Timochenco: Eu vejo a indústria global de segurança atualmente muito forte e inovadora, não vejo problemas na busca de soluções e ferramentas de segurança porque estamos muito bem servidos até para guerra cibernética. A questão não é essa. Nós, profissionais, devemos operacionalizar de acordo com a necessidade. Além disso, ainda temos uma linguagem e roupagem muito técnica. Por isso, se realmente queremos e desejamos ser vistos e considerados como elo estratégico para o negócio, a nossa abordagem e report para corporação deve ser muito mais com visão de negócio e risco. Essa é a linguagem que o board entende e se sensibilizará. Quando eu mudei para esse formato comecei a ter muito mais sucesso no mercado em meus projetos. Linguagem técnica com sopa de letrinhas deve ser deixada para Segurança de TI e transforme essas informações em KPIs (indicadores) de riscos. Garanto que irão ouvi-los mais.

 

A questão da segurança com Inteligência Artificial não diria que ficou mais simples. Mas a fundação para conquistar esse nível de segurança é construir uma base muito sólida para que os inputs para essa base de inteligência seja robusta e verdadeira. Caso contrário, esse ambiente de inteligência irá gerar muito falso positivo. Recomendo muita chegarem nesse nível, garantindo o melhor dos mundos para agilidade no combate cibernético, mas façam antes o dever de casa e trabalhe iniciando pelo básico: treine, capacite com responsabilização e pênaltis seguindo está ordem: Pessoas, Processos, Tecnologia, Governança.

 

Security Report: Quais os desafios para o ambiente na nuvem (cloud pública x cloud privada)?

Longinus Timochenco: A questão nuvem é uma opção sem volta. O ponto não é em não fazer e sim como garantir a segurança de suas informações. Temos inúmeros desafios para planejarmos antes de migrarmos para nuvem, como:

  • Bom contrato, onde prever atualização do parque tecnológico;
  • Entenda o modelo de responsabilidade compartilhada,
  • Estabeleça e aplique políticas de segurança na nuvem
  • Monitoramento,
  • Controle de acessos,
  • Proteja seus endpoints,
  • Criptografar dados em movimento e em repouso
  • Tráfego das informações com segurança,
  • Use a tecnologia de detecção e prevenção de intrusão
  • Backup/restore efetivos e evidenciados,
  • Gestão de incidentes,
  • Gestão mudança com book para o cliente
  • Garantia de insource ou move de provedor que nenhum dado será perdido ou ficarão na base antiga;
  • Verifique novamente seus requisitos de conformidade
  • Realizar auditorias e testes de penetração
  • Certificações de segurança da infraestrutura, como ISO27001, PCI, SOX e etc.
  • Treine a sua equipe para gestão de fornecedores/provedores.

 

Geralmente, as organizações têm menos problemas de segurança com suas cargas de trabalho baseadas em nuvem do que com aquelas executadas em seus data centers tradicionais. E seguindo as melhores práticas de segurança na nuvem, eles podem reduzir ainda mais o risco, enquanto aproveitam os benefícios oferecidos pela computação em nuvem.

Conteúdos Relacionados

Security Report | Destaques

Programa de SI busca elevar maturidade cibernética nos órgãos do governo federal

Devido às novas responsabilidades que o Brasil assumiu com a Segurança Cibernética, a Secretaria de Governo Digital estabeleceu um programa...
Security Report | Destaques

Ameaça ou copiloto: Qual o papel da IA no futuro da Cibersegurança?

Tanto empresas de consultoria quanto a indústria de Segurança da Informação têm buscado entender como alcançar o equilíbrio entre usos...
Security Report | Destaques

Incidente cibernético gera instabilidade na cobrança do Bilhete Único

Ocorrência teria atingido uma das concessionárias da rede municipal de transportes, impactando na validação do Bilhete Único na zona Sul...
Security Report | Destaques

Cosan ganha visibilidade de segurança em nuvem com IA

Ferramenta de Inteligência Artificial AI Cloud Security trouxe novas configurações de Segurança para o projeto de nuvem em expansão da...