Sergio Ricupero tem mais de 20 anos de experiência em Segurança da Informação, com passagens em grandes empresas de diferentes setores. Hoje, ele é CISO e DPO com trabalhos focados em prevenção a fraudes, além de planejamento e operação estratégica da Segurança.
Em entrevista exclusiva para a Security Report, o executivo fala da paixão em trabalhar nessa área, dos aprendizados que surgem diante das mais diversas situações e como toda sociedade, incluindo governo, indivíduo e empresas, pode trabalhar de forma coesa a fim de minimizar os riscos da vida real/virtual.
Security Report: Como você enxerga a maturidade de Segurança da Informação no Brasil? Estamos prontos para lidar com sabedoria com um cenário crítico de vazamentos de dados e incidentes?
Sergio Ricupero: De modo geral, e excluindo algumas ilhas de excelência no mercado, diria que estamos ainda no início. A SI ainda é tida como área apadrinhada pela TI e leva-se algum tempo para que isso venha a ser modificado em uma organização. Não podemos esquecer que a insegurança das organizações gera um reflexo quase que imediato na segurança da sociedade como um todo. Ainda iremos ver muitos vazamentos e incidentes ocorrendo até que as estruturas estejam mais bem aparelhadas.
Security Report: E como fica o emocional desse gestor em lidar com tantas variáveis que podem colocar o negócio em risco?
Sergio Ricupero: Vazamentos ou incidentes serão sempre de alto nível de stress em todas as organizações e a forma de minimizar esta situação é desenvolver a resposta a este incidente fora da ocorrência do mesmo.
Esclareço um pouco esta abordagem: Se preparar de forma prévia minimiza os níveis de stress e maximiza a eficácia na resposta. É como treinar para apagar um incêndio a fim de ter o melhor de cada um em um momento de elevada pressão emocional.
Security Report: Ou seja, é um trabalho em equipe?
Sergio Ricupero: Sim. Não é incomum termos notícias de profissionais com a síndrome de “burn-out” devido ao elevado stress emocional quando vivenciando um incidente deste porte. Não podemos esquecer que o cotidiano desta pessoa é lidar com ameaças e incidentes de menor impacto aliados a auditorias internas e externas e grande pressão política. Além disso, as áreas de RH, parceiras fundamentais para a área de SI precisam suportar o gestor neste sentido, bem como auxiliar a formação efetiva de uma consciência situacional do nível de risco que as organizações enfrentam.
Security Report: E quais são as lições aprendidas diante desses casos de extrema pressão?
Sergio Ricupero: Todo incidente, não importando se está relacionado a vazamento de dados ou não, é uma grande oportunidade de aprendizado. O que é preciso fazer é realizar de forma consistente uma análise de causa raiz sempre sob o enfoque (Processos, Tecnologia e Pessoas) identificando suas possíveis fontes de ocorrência.
Muito provavelmente será uma somatória de atitudes inseguras e não apenas uma única. O emprego de uma abordagem do tipo diagrama de Ishikawa pode trazer uma visão adicional que dificilmente é empregada.
Um outro item importante neste aprendizado é realizar uma análise sobre os incidentes que ganham mídia. Um incidente em uma empresa de mesmo segmento traz um aprendizado importante e a evidência concreta de que: se ocorreu com meu concorrente, por que não poderia acontecer comigo?
CISO em destaque
Security Report: E como os profissionais de Segurança devem se preparar daqui pra frente?
Sergio Ricupero: Em primeiro lugar, resgatar uma máxima que sempre é mencionada ao longo de todo e qualquer evento relacionado à Segurança (e na minha visão não se restringe a ela). Segurança é apoiada sobre um tripé de controle, ou seja: Tecnologia, Processos e Pessoas. Portanto, o primeiro ponto a ser enfatizado é a preparação nos três eixos entendendo que a organização é regida por processos os quais empregam tecnologias e que são executadas por pessoas.
Security Report: Qual é o tipo de formação acadêmica e como os gestores estão desenhando suas carreiras dentro das empresas?
Sergio Ricupero: Alguns aspectos relacionados à formação acadêmica ainda são dominados pela visão tecnológica do tripé de controle, o que, sem sombra de dúvida, é um tema de extrema importância, porém não podemos negligenciar os demais. Esta carência é atualmente suprida por diversos cursos em nível de pós-graduação os quais buscam dar uma visão mais holística sobre a disciplina.
Security Report: É uma carreira que vem evoluindo? De que maneira?
Sergio Ricupero: Não se pode negar que a evolução do tema é perceptível a qualquer leigo. A carreira está em franca ascensão e ainda não chegou ao seu ápice. O que sempre argumentei ao longo da minha carreira é que da mesma forma que vimos as áreas operacionais saírem deste nível e galgarem conotações estratégicas, tais como RH (evoluindo dos aspectos de um Departamento Pessoal), TI (saindo de um universo dos antigos CPDs), Finanças (evoluindo a partir dos departamentos de contas a pagar e receber) estamos vendo as áreas de controle seguindo a mesma trilha. Os motivadores para tal evolução seguem sempre dois grandes vetores, a saber: A regulamentação e os incidentes.
Security Report: E quais são as qualificações e skills que o profissional de Segurança precisa desenvolver daqui pra frente?
Sergio Ricupero: Existe um balanço nas habilidades que devem compor o profissional de SI para os próximos anos, os quais sem dúvida trarão riscos em uma velocidade exponencial. Soft Skills e Hard Skills devem compor este profissional, bem como ser um gestor de talentos.
Uma área de alta performance é composta por pessoas de alta performance. As áreas de SI precisam, efetivamente, contar com equipes assim e para tal exigirão líderes e não chefes de departamentos. Um líder você segue, ouve seus conselhos e se movimenta na direção proposta.
Security Report: Uma liderança diferenciada?
Sergio Ricupero: Os riscos de Segurança exigem profissionais diferenciados em relação à formação, conhecimento, atitude e éticas profissionais. Não se trata de ter um processo operacional de controle e sim uma área de reinvenção constante, de educação e até mesmo de inovação frente aos desafios. O direcionamento por riscos será uma necessidade, na verdade isto já é uma realidade na vida de todos e possivelmente teremos a evolução de um CISO para uma estrutura de CRO (Chief Risk Officer).
Security Report: E esse profissional ganhará ainda mais relevância nas empresas a ponto de levar a independência da Segurança?
Sergio Ricupero: Já estamos vendo esta independência acontecer e isto é um fato inconteste, porém existe claramente um descompasso entre a velocidade que esta posição ganha e o empowerment dentro das organizações frente à velocidade e diversidade dos riscos. Não é incomum encontrarmos em grandes empresas apenas uma pequena estrutura operacional de Segurança.
Cada dia mais a visão de segurança ganha uma conotação de gestão de riscos, pois sabemos que nunca chegaremos a um patamar de segurança absoluta, logo sempre será uma decisão sobre o apetite de riscos que a empresa está disposta a assumir. As áreas de controle têm por missão balizar as decisões no sentido de terem consciência dos níveis de riscos que estão tomando.
Security Report: Enfim, a Segurança é necessária e é uma meta a ser perseguida?
Sergio Ricupero: Atuo no segmento a mais de 20 anos e vejo a evolução do tema, bem como a evolução dos profissionais que tive o privilégio de conduzir. Pessoas que hoje estão em posições de destaque no segmento auxiliando suas organizações a enfrentar os desafios diários na manutenção da segurança em condições cada dia melhores. Sem dúvida um segmento apaixonante e desafiador além de extremamente necessário para a sociedade como um todo.
Nossa vida corporativa e mesmo a pessoal hoje é digital e será a cada dia mais e mais. Segurança será sempre uma meta a ser perseguida incansavelmente, não apenas pelos profissionais da área, mas também por toda a organização e por toda a sociedade que hoje desconhece fronteiras geopolíticas. Um desafio enorme para os governos, as organizações e os indivíduos. Se trabalharmos de forma coesa, poderemos minimizar os riscos deste novo patamar que é a nossa vida real/virtual.
Sergio Ricupero continua sua atuação no mercado em consultoria e planejamento estratégico em Segurança de Informação.
