O brasileiro Luiz Firmino acaba de assumir a posição de CISO Global da FEMSA. A promoção representa o reconhecimento de uma trajetória construída ao longo de seis anos dentro da companhia e marca um novo capítulo para o executivo, que agora lidera a estratégia global de Cibersegurança de um dos maiores conglomerados de varejo e consumo do mundo.
“Serei responsável pelo fortalecimento da resiliência cibernética da empresa, além de garantir a continuidade operacional, impulsionar o crescimento dos negócios e liderar a estratégia de SI de todo o grupo”, diz o executivo em entrevista à Security Report.
A FEMSA tem 380 mil colaboradores, atuação em 18 países e reúne operações de grande escala em setores como varejo, bebidas, fintech e saúde. Entre os negócios estão marcas como OXXO, Coca-Cola FEMSA, Valora, FEMSA Saúde e Spin, além de outras frentes de conveniência, serviços financeiros e mobilidade.
Trajetória do CISO com visão de negócio
A nova posição representa também um marco pessoal. Firmino está há seis anos no México e, nesse período, acumulou quatro promoções dentro da FEMSA. Antes de assumir a liderança global da área, passou pela unidade de negócios estratégicos da companhia e, posteriormente, pela Spin, a fintech do grupo que reúne milhões de usuários ativos em soluções de carteira digital e pagamentos.
A trajetória de Firmino começou muito antes do setor de varejo global. Ao longo de mais de três décadas de carreira, o executivo acumulou experiências em diferentes indústrias e contextos tecnológicos. Passou por organizações como Serpro, HSBC, empresas do setor de bens de consumo e instituições financeiras, além de ter liderado a estruturação de áreas de Segurança da Informação em diferentes momentos da transformação digital dessas companhias.
Essa diversidade de experiências moldou um princípio que hoje orienta sua forma de trabalhar: o que ele chama de “estratégia do triângulo invertido”. Segundo ele, a ideia parte da premissa de que o CISO precisa primeiro compreender profundamente o negócio para depois mergulhar nos controles técnicos de segurança.
“Essa visão permite identificar quais processos realmente sustentam a operação de uma empresa — desde cadeias de distribuição até sistemas de transação financeira — e, a partir daí, direcionar investimentos de SI de forma mais eficaz. Quando você entende o negócio, consegue proteger aquilo que realmente não pode parar”, acrescenta.
Segurança no mundo real
À frente de um ecossistema complexo de operações, Firmino defende que a Cibersegurança precisa ser tratada com pragmatismo.
Para ele, ataques são inevitáveis. O sucesso deles, porém, não precisa ser.
Por isso, parte de sua estratégia está baseada em três pilares: contexto de negócio, segurança ofensiva e resiliência operacional. Em vez de concentrar esforços apenas em compliance ou controles administrativos, o executivo defende que as organizações precisam entender como os atacantes operam para estruturar defesas mais eficazes.
Essa abordagem inclui práticas de segurança ofensiva, análise contínua de vulnerabilidades e maximização do uso das ferramentas já disponíveis nos ambientes corporativos. Na sua visão, muitas organizações falham não por falta de tecnologia, mas por não explorar todo o potencial das soluções que já possuem.
Outro conceito central na sua gestão é o “ROM — Return on Mitigation”. Para Firmino, investimentos em Cibersegurança não devem ser defendidos apenas pela lógica tradicional de retorno financeiro. Em vez disso, ele propõe medir o quanto cada iniciativa contribui para reduzir riscos relevantes para o negócio.
“Ao demonstrar para o board quais ameaças estão sendo efetivamente mitigadas e os impactos na operação, o CISO consegue direcionar melhor os investimentos e priorizar as iniciativas que realmente protegem a continuidade das operações. Esse é nosso desafio como líder de SI, garantir que empresas cada vez mais digitais possam continuar operando com segurança, resiliência e confiança”, completa.
Inspiração para a nova geração de CISO
Apesar da dimensão global da função que assume agora, Firmino costuma lembrar que sua história começou longe dos centros corporativos.
Nascido e criado na periferia de Osasco, na Grande São Paulo, ele descreve sua origem como marcada por limitações financeiras e uma estrutura familiar simples. Foi justamente esse contexto que, segundo ele, moldou sua disciplina e determinação.
Hoje, após 37 anos de carreira, o executivo diz enxergar sua trajetória como uma oportunidade de inspirar novos profissionais da área de Segurança da Informação, especialmente aqueles que vêm de realidades semelhantes à sua.
Para ele, conhecimento, esforço e consistência continuam sendo os principais motores de ascensão profissional. Essa visão também se conecta a um conceito que Firmino incorporou recentemente à sua forma de liderança: o dharma, entendido como propósito. E essa convicção explica a tranquilidade com que o executivo fala sobre a responsabilidade de proteger operações tão complexas, com grande número de usuários, sistemas e ferramentas.
“Enquanto o karma está associado à lógica de ação e consequência, o dharma representa algo mais profundo, o sentido maior que orienta o trabalho e as escolhas de cada pessoa ao longo da trajetória profissional. E é com essa leveza e propósito que quero mostrar aos novos líderes de Cibersegurança que é possível chegar longe, ser reconhecido pelo trabalho e ser feliz com a profissão”, conclui.
