Sair de uma empresa com modelo de gestão tradicional, como a BRF que atua em um dos setores mais competitivos do mundo, e partir para uma fintech é um movimento ousado. Mas para Ricardo Castro isso é natural. Afinal, segundo ele, proteção de dados é o que todo CISO deve se preocupar.
Em entrevista à Security Report, o ex-CISO da BRF e atual gerente de segurança da informação da SumUp, Ricardo conta sua trajetória, LGPD, o drama do shadow IT e outros temas recorrentes entre os gestores de segurança.
Security Report: Ao longo de sua carreira, quais foram os principais desafios e como os superou?
Ricardo Castro: Na realidade, os desafios foram evoluindo junto com a maturidade de mercado. Os desafios a serem contornados são: incluir requisitos e engajamento de Segurança da Informação no início de projetos (principalmente nos ágeis ou DevOps) e a sensibilização executiva de que não existe segmento de mercado que esteja livre de riscos de cybersegurança.
Security Report: Nos últimos anos, com a transformação digital, uma das questões recorrentes é o shadow IT. Como a área de SI deve atuar nesse cenário?
Ricardo Castro: O shadow IT é um problema recorrente não só pela transformação digital, mas também pela postura, muitas vezes antiquada, da Segurança da Informação na companhia. Segurança quer controle, na maioria das vezes com um custo inadequado para o negócio, e o negócio quer gerar o melhor resultado, assumindo ou ignorando uma série de riscos. Na minha experiência, o caminho ainda é a conciliação de interesses. Para manter-se viva e pertinente, a Segurança da Informação deve propor alternativas para garantir um nível adequado de proteção, dado o risco, sem se tornar uma barreira à evolução nos negócios. Empatia com o negócio e com a experiência do cliente são essenciais para times engajados na proteção das informações.
Security Report: Você veio da indústria de alimentos tradicional e migrou para uma fintech do setor financeiro. O que muda e quais os desafios?
Ricardo Castro: Muda pouco em termos práticos, uma vez que os desafios continuam sendo a manutenção de uma cultura de Segurança e Proteção de Informações, com uma linguagem adequada e interessante para cada público, fazendo com que o discurso tenha valor para as pessoas dentro e fora da empresa. Se elas não entenderem que segurança tem valor, continuarão com as práticas que expõem as suas vidas e empresas a riscos desnecessários. No final do dia, proteger informação é o mesmo que proteger pessoas.
Security Report: Como você enxerga a maturidade do mercado diante dos próximos 12 meses, antes de a LGPD entrar em vigor?
Ricardo Castro: As empresas maiores sofrerão mais, principalmente porque muitas iniciativas não foram aprovadas em orçamento para 2019, já que a ANPD ainda não tinha sido instituída. Contudo, deixar para investir em segregação de acessos e funções, mascaramento de dados, inventário de informações, ferramentas de classificação, rastreamento e prevenção a vazamento de informações em apenas oito meses (em 2020) pode causar uma verdadeira disrupção dos negócios.
Security Report: Para o plano de ação da LGPD numa startup, quais os diferenciais comparados com o mercado tradicional?
Ricardo Castro: Não muda muito. A regra do jogo é igual para todos. A palavra de ordem é cultura – todos alinhados com conceitos e práticas adequadas, entendendo o valor de atender a lei e proteger o cliente. Esse será o real diferencial para o negócio.
Security Report: A lei apresenta muitas questões interpretativas. Como você acha que a ANPD deve atuar?
Ricardo Castro: É um assunto que seria melhor descrito pelos meus colegas do jurídico, mas acredito que a ANPD e o mercado aprenderão juntos a medir a maturidade adequada do mercado e o peso das autuações. Jurisprudência já existe há bastante tempo, mas não na amplitude de agora. Por isso, temos um caminho longo de incertezas a serem geridos.
Security Report: Como você enxerga a indústria de cybersecurity sob o aspecto das ofertas de soluções e o que você avalia como tendência?
Ricardo Castro: A exemplo do que foi a SOX e a Basiléia 2, acredito que haverá r muita ‘propaganda enganosa’ indicando soluções incompatíveis com a lei e o propósito de negócio. Muita solução milagrosa será oferecida, mas a verdade é que o caminho para todos é muito parecido. Algumas empresas ficarão no “patinete” e outras precisarão de uma “frota de Ferraris”, com gente competente para pilotar bem cada uma dessas preciosidades (as soluções).
Security Report: Qual o papel do CISO no processo de implementação da LGPD e quais suas recomendações.
Ricardo Castro: Usando minha experiência na GDPR como base, o CISO é quem fica com 80% de todo o trabalho. Ele é o ponto de contato entre TI e o Jurídico/Compliance e fica encarregado da implementação de boa parte dos controles relacionados a proteção e detecção de um possível vazamento das informações. Muita expectativa é colocada sobre o trabalho do CISO por todas as áreas envolvidas.
Security Report: Como você enxerga a figura do DPO nesse processo?
Ricardo Castro: Acredito que o perfil do DPO vai mudar com a maturidade da adoção da LGPD e com a atividade fim da empresa. Enquanto alguns terão um perfil muito técnico, outros serão meros porta-vozes frente ao público. De uma forma ou de outra, conhecimento suficiente em Segurança e Direito é essencial para se desempenhar um bom trabalho.
Esses e outros temas serão abordados pelos CISOs que participarão no Security Leaders São Paulo, de 29 a 30 de outubro. Faça sua inscrição.
