Se por um lado há a certeza de que o gap de profissionais de segurança da informação é grande atualmente e tende a crescer. Por outro, a presença feminina pode aumentar em algumas frentes de cybersecurity, dado o movimento da LGPD em áreas que exigirão mais conhecimento em compliance, privacidade, gestão de risco e conscientização. Além disso, a mística de que Segurança da Informação é uma área técnica diminui cada vez mais, embora muitas gestoras e líderes tenham uma formação ainda em Ciência da Computação ou área correlata da Tecnologia da Informação. O fato é que o mundo exige cada vez mais proteção e os dados são cada vez mais valorizados, tanto no cibercrime quanto para nações, empresas e sociedade. Nesse sentido, proteger está no DNA feminino, concluem as participante do painel de Mulheres em Cibersegurança durante o Security Leaders São Paulo, das empresas Oi, TIM, Grupo Boticário, Olé Consignado (Grupo Santander), Bradesco e Womcy Brasil.
Estudos revelam que as mulheres de TI estão num nível executivo ao passo que os homens em uma graduação mais técnica. Sim. Comprovadamente elas estudam mais tempo. Do ponto de vista das principais preocupações em cybersecurity, ambos dividem os mesmos dramas. No entanto, eles são mais temerários. De acordo com as empresas da Fortune (500 maiores organizações do mundo), houve mais de 1000% de presença feminina nos últimos 20 anos. Porém, as mulheres representam apenas 7% dos CEOs, ou seja, ainda são predominantemente masculinos os cargos de presidência nas empresas.
A consultora Andréa Thomé, líder da Womcy no Brasil, acredita que o senso de minoria mobiliza as mulheres. “Percebendo minha trajetória e nos processos seletivos que conduzi muitos colegas estavam em nível executivo, mas ainda não tinham concluído a graduação. Talvez isso aconteça na geração X. Cheguei a um cargo de gestão com cinco anos de carreira e não era comum encontrar nos meus colegas essa velocidade. Em contrapartida, não deixei uma oportunidade na minha frente e me joguei em todas, mesmo as mais desafiadoras”.
Fernanda Vaqueiro, CSO da Oi acredita que o fato de as mulheres serem mais exigentes com certificações talvez seja uma característica própria feminina, que deseja transformar mais rápido as coisas e por isso as mulheres talvez queiram alcançar cargos executivos nas organizações.
Para Maria Tereza Brasil, gestora de Segurança da Informação do Bradesco, do ponto de vista acadêmico em cyber, a mulher tem geneticamente o DNA da proteção e isso é uma vantagem, além de contribuir para alcançar outros patamares. “Pessoalmente tenho percebido que quando se dá um desafio para mulher ela tem que se preparar e o homem não tem aquela coisa de ter previamente um diploma e etc. Isso está mudando e é da coragem para atingir outras posições”.
Márcia Bolesina, Cybersecurity Manager da TIM, acredita que as mulheres estão bem preparadas porque tendem a achar que devem estar 100% prontas. “Por isso temos que ter coragem e acreditar no nosso potencial e isso faz com que tenhamos que estudar cada vez mais”.
Apesar dos estudos revelarem um “raio x” das cyber women, é inegável a oportunidade que a LGPD trará para o universo feminino quando se trata de segurança da informação. A LGPD é uma excelente oportunidade de empoderamento das mulheres.
Elas apostam em novos voos (de CISO para DPO)?
É visível a falta de mulheres no mercado de trabalho em cyber. Prova disso é que as gestoras de segurança da informação apontam para as suas equipes com uma presença masculina maior. No entanto, esse jogo pode virar. Mas, no tabuleiro da transformação das novas regras da LGPD, que tal se tornar uma DPO? Nem sempre a resposta é sim. Talvez porque a maioria das líderes em cybersecurity tenha uma formação mais técnica.
Márcia Bolesina confirma a tese. “No meu time há duas áreas distintas, uma em cyber – com poucas mulheres – e a outra é gestão de risco, com uma presença maior”. Maria Tereza, comenta que sua equipe está equilibrada (50/50) porque faz questão de contar com uma diversidade. “Isso elevou muito o nível de maturidade no Bradesco não só de olhar o todo, mas pedaços”.
“Minha equipe possui oito executivos que respondem para mim e não tive a oportunidade de ter uma mulher nessa vaga. Meu time é composto de 200 pessoas e somente 15% são mulheres”, diz Fernanda Vaqueiro. “Hoje tenho dificuldade de contratar uma mulher porque ela não viu oportunidade na área de tecnologia. Na área de segurança é pouco comentado questões sobre conscientização, governança e etc. quando se trata de contratar uma mulher. Isso tudo é um desenvolvimento do olhar da mulher desde pequena”, reflete Fernanda.
A DPO da Olé Consignado do Grupo Santander, Daniela Hansson, avalia que a mulher terá cada vez mais um papel fundamental para segurança da informação porque ela tem características que diferem do papel do CISO, mas com foco na construção de proteção de dados, uso ético das informações. “Trabalhei na Europa até o ano passado, na Volvo, um setor predominantemente masculino. Iniciei em 2016 na área de proteção de dados, quando a GDPR estava no radar”, ilustra Daniela.
Na Europa, cerca de 70% das mulheres ocupam a cadeira de DPO, inclusive nas autoridades dos países. Esse movimento ocorreu naturalmente no mercado europeu. No Brasil, também está começando e muitas mulheres querendo ocupar ou se preparando para entrar na área de privacidade e proteção de dados, nova área da segurança da informação por conta da LGPD. “É algo para se pensar nas contratações para o próximo ano porque a tendência é se espelhar na Europa”, aponta Daniela.
Totalmente envolvida com a LGPD, Márcia Tosta, líder de SI do Grupo Boticário, diz que não tem intenção de me tornar DPO. Segundo Maria Tereza, seu perfil é mais técnico e, portanto também não enxerga a carreira como algo que a atraia. Andréa Thomé diz que as mulheres que vão para DPO são profissionais que vieram da área de compliance. Fernando Vaqueiro diz que participa do comitê multifuncional e não há interesse em ser DPO, mas não tem dificuldade em assumir caso haja uma oportunidade. Da mesma forma, Márcia Bolesina, diz que a TIM também formou um grupo multidisciplinar para LGPD e o papel do DPO está com compliance.
Márcia Tosta, acredita que o DPO tenha que ser alguém que conheça bem a empresa. “Portanto, não me sinto confortável para sentar nessa cadeira porque minha formação é tecnologia e esperaria um pouco mais de amadurecimento sobre o papel desse profissional”.
Características da Cyber líder
Em relação ao perfil de liderança, temos acompanhado que existem algumas tendências como compliance e governança e o momento da segurança atual é de diálogo com a organização e uma visão multidisciplinar e por isso as mulheres tem maior facilidade de trabalhar em equipe e se relacionar. Portanto, algumas características relevadas pelas líderes em cybersecurity do Grupo Boticário, TIM, Oi, Olé Consignado, Womcy e Bradesco.
Negociação para chegar numa relação de confiança: Márcia Tosta conta que quando foi contratada como CSO, a exigência era trazer um profissional para quebrar a ideia de xerife. “A mulher tem uma habilidade de negociação mais aflorada comparado com os homens”.
Trabalhar em conjunto de forma colaborativa: Essa dica é da Marcia Bolesina quando comenta a necessidade de realizar um trabalho orquestrado com todas as áreas.
Comunicação e visão do todo: Maria Tereza destaca que as habilidades femininas, como comunicação e visão do todo. “Quality Check é um diferencial. Security as Design é fundamental porque segurança é algo que garantirá um diferencial competitivo no futuro”.
Intensidade e resiliência: Fernanda Vaqueiro acredita que o diferencial feminino, além das outras características, que também podem ser masculinas, é a intensidade feminina, bem como a resiliência.
Calma e atenção aos detalhes: Daniela Hansson avalia que, independente de ser mulher ou homem, é necessário ter visão detalhista e de liderança muito forte porque o DPO caso ele seja – digo caso seja porque esse cargo está ainda em desenvolvimento no Brasil – é importante definir se a base de dados pode ou não ser usado pela empresa. Esse profissional não pode agir sem visão 360º de como qualquer decisão afeta o ecossistema.
Intuição: Andréa Thomé acrescenta a intuição como um diferencial no olhar feminino. “Certa vez uma jornalista me perguntou como eu usava minha intuição e de acordo com as perguntas e minhas respostas, ela provou que a capacidade analítica aliada à intuição é algo que faz diferença”.
Impacto LGPD do ponto de vista feminino
Muitos CISOs estão preocupados com o prazo versus time de implementação da LGPD. Quando se trata de impacto, elas dividem a mesma angústia, mas seguem corajosamente.
Márcia Tosta acredita que haverá um grande impacto nas empresas tanto quanto na época da entrada do Código de Defesa do Consumidor, quando muitos aproveitaram e havia muito a ser feito. “Serão muitas as exposições na mídia com impacto de imagem e quebrando empresas despreparadas, além do impacto financeiro no que diz respeito da aplicação de multa”.
Andréa Thomé diz que se preocupa com o pós da LGPD. “Privacidade é um tema que não demos muita atenção porque os frameworks falam disso há décadas. Um dos pontos é a sustentação dessa bateria de controles novos e a sua governança porque os orçamentos são restritos, há um alto índice de skills faltantes no mercado, entre outros aspectos. Tanto é assim que até 2024 serão três milhões de vagas abertas no mundo com gap em cibersegurança”.
“Impactos: reputacional, perda de clientes, perda financeira ou sanções. A empresa deve entender seu apetite de risco, quais as suas matrizes e severidades e não pode ficar somente no papel, mas compreender todos os processos de cibersegurança. Uma coisa é falar muito das leis e outra é todo backgroud para detecção de tudo isso”, diz Maria Tereza.
Privacidade e a LGPD
Por onde começar a olhar para a privacidade nas organizações em conformidade com a LGPD? Qual deve ser o foco? Cliente, colaborador ou terceiros?
“O meu desafio é olhar para todo o ecossistema – colaboradores, revendedores, franqueados e consumidores – do Grupo Boticário com inputs em todas as pontas. Quem não começou ainda está atrasado e o prazo está cada vez mais curto e a maneira como conduzimos foi fazer uma capilaridade muito grande, desde os quiosques, RH, mensurando o risco (alto, médio ou baixo) e desenvolver o plano de ação para mitigação do risco”, comenta Marcia Tosta. Por isso, para ela o impacto será o mesmo se for à saúde de um colaborador ou o vazamento de dados de um cartão de crédito de um consumidor. “Portanto, a política de privacidade não deve começar pelo tipo de público, mas o tipo de dado”.
Fernanda Vaqueiro concorda com a Márcia Tosta, mas para ela o desafio é o ecossistema e o quanto esses dados permeiam numa série de fornecedores, parceiros e etc. que precisam estar compliance com a LGPD. “Segurança deve ser uma preocupação de toda a cadeia e é necessário evoluir junto. Tenho uma intuição que os dados dos consumidores terão um peso maior porque ele vai atacar mais”.
Daniela Hansson diz que sobre a criticidade está de acordo com a Marcia Toste porque deve haver uma preocupação geral. “No entanto, é preciso pensar no tempo de implementação porque depende da estrutura da empresa e governança de dados. Com essa visão, daria prioridade – em termos gerais – em atender o direito dos titulares de dados, até na parte de tecnologia e implementação de sistemas”. Segundo ela, estamos falando de clientes e não cliente e também de colaboradores, esse último é muito importante porque o papel do DPO é desenvolver essa conscientização de privacidade de dados dentro da empresa e com isso eles saberão dos seus direitos e irão querer exercê-los. “Na parte de proteção de dados temos obviamente dados sensíveis, que devem ter um cuidado maior até por questões de privacidade e ética. Mas atender os direitos dos titulares, mapeamento também dos dados não estruturados – falando com visão de SI, o maior pesadelo é fazer uma governança em cima de dados não estruturados”.
Em relação às tecnologias que devem ser implementadas para atender o novo cenário regulatório, na opinião de Daniela Hansson o programa de compliance de LGPD deve começar com a estruturação da área de segurança, oferecendo segurança da informação um nível acima com todas as ferramentas de cyber num primeiro plano. “Obviamente é preciso entender os processos, mas a estrutura deve vir da área de SI e até na escolha da tecnologia que deve ser adotada”.
LGPD e o crescimento de ataques e vulnerabilidades
O desafio cresceu com a LGPD porque há uma pressão. “No caso de dados de varejo devemos olhar como as empresas vão trabalhar com analytics e CRM porque até então isso era usado a bel prazer. Devemos trabalhar na conscientização, trazendo esse pessoal como aliado para dizer como pode ser feito. Em relação a tecnologia, nossa área já tem muita tecnologia tanta na detecção para identificação de dados quanto no controle. O maior desafio é trazer as áreas de negócios que estão bombando com as áreas de negócios para entender como usar”, comenta Márcia Tosta.
Para Márcia Bolesina, a área de segurança já trata os dados há muito tempo. “O maior desafio está em conscientizar realmente as áreas que querem usar os dados e levar o melhor resultado para o negócio. Por isso, o ponto da discussão nem é qual tecnologia. Mas evangelizar os usuários. Como entendemos que tudo isso é complexo, olhamos para esse cenário quase em pânico. O lado positivo é a nossa coragem porque temos consciência do que estamos fazendo para as coisas acontecerem”.
Maria Tereza diz que o Bradesco usa três categorias de ataque: DDOs, invasão parceiro ou terceiro e o risco de vazamento de dados. “O motivador dos ataques no Brasil mudou muito, principalmente do ponto de vista de propriedade intelectual, concorrencial no caso de aquisição de empresas e também a parte de dados. O DDOs estava bem, mas com a IoT devemos revisitar. Mas os ataques estão muito sofisticados com a deep web, vendas de dados, ataques para mobile e cloud e temos que pensar em cenários, fazer compartilhamento de ataques. O malwere agora é sem arquivo, os APTs estão muito sofisticados e agora toda parte de voz que trata e imita, as novas tecnologias com computadores quânticos que quebram a criptografia”.
Andréa Thomé diz que a sua função começa na dos CISOS. “A velocidade e união das comunidades hacker, hoje 70% delas são compostas por milenius e as mulheres milenius são maioria. Os garotos se interessam mais em hacking do que por defesa e isso não é tão maduro em todas as indústrias como o setor financeiro. Diante disso, também há a preocupação com a criação de robôs com códigos de acesso privilegiados de toda base de dados e não necessariamente com técnicas de segurança devidas. E quem está do outro lado, sabe que não estamos preparados. Portanto há um gap de conhecimento e de velocidade”. Ela recomenda que as empresas pensem em análise preditiva, projeção de risco e estudem as tendências do mundo hacker.
Para Fernanda Vaqueiro é fundamental ter um ecossistema preparado. “O banco e a área de Telecom estão bem preparados com treinamentos, como o guardião cibernético. Essas ações são cada vez mais necessárias para evitar um colapso, seja na empresa ou no país”.
Daniela Hansson alerta: “a LGPD dará maior estímulo para certos tipos de ataques. O valor de uma base de dados hoje é uma e após a LGPD esse valor deve mudar. As empresas devem ter essa consciência de que o dado hoje mudou de valor”.
