|
Acompanhe nossa entrevista com Paulo Pagliusi, um dos consultores mais renomados em gestão estratégica de riscos cibernéticos. Pagliusi foi referência para o governo brasileiro como especialista no caso Snowden, durante as audiências públicas da Comissão Parlamentar de Inquérito do Senado Federal criada para investigar a espionagem norte-americana.
Pagliusi é vice-presidente da ISACA – Information Systems Audit and Control Association (capítulo Rio de Janeiro). A ISACA dá seu apoio institucional ao seminário Diálogos 2015 – conduzindo mudanças organizacionais (saiba mais sobre o evento aqui).
Com a palavra, Paulo Pagliusi.
Conte-nos um pouco sobre sua carreira profissional.
Atualmente sou CEO da MPSafe Cibersecurity, Vice-Presidente da CSABR (Cloud Security Alliance Brasil) e Vice-Presidente da ISACA (Information Systems Audit and Control Association), Rio de Janeiro, onde obtive a certificação internacional CISM (Certified Information Security Manager). Também sou um dos mentores do Cyber Manifesto, que tem o objetivo de estimular o apoio e a criação de uma visão compartilhada para proteger o Brasil de ataques cibernéticos. Há mais de 20 anos atuo com segurança da informação, como coordenador e consultor em projetos, cursos e eventos, em organizações como: ITI e GSI – Presidência da República, Ministério da Defesa, Marinha, Petrobras, FINEP, AGU, Receita Federal, SERPRO, IRB-Brasil Resseguros, Fundação Atech e Ezute, nos temas de: governança de segurança da informação, gestão de riscos e auditoria de TI, estratégia e gestão de riscos cibernéticos, privacidade & proteção de dados, consciência situacional cibernética para Conselhos, resiliência de sistemas de informação, cloud computing e fraudes na Internet.
Fale sobre a importância do trabalho da ISACA-RJ e as principais ações que tem realizado.
O capitulo Rio nasceu em 2006 e foi formalizado em 2009. Somos um dos 200 capítulos estabelecidos em todo o mundo. Fornecemos foco em educação e compartilhamento de recursos. Fazemos em média cerca de quatro eventos gratuitos por ano, tendo como público alvo executivos decisores e formadores de opinião.
A ISACA cobre quatro áreas: governança de TI (área carro-chefe), gestão de segurança da informação, controle de sistemas de formação e risco, auditoria de sistemas. Temos 150 associados no Rio de Janeiro. Produzimos uma newsletter local no Rio e distribuímos entre os associados. Recentemente foi lançado o primeiro curso presencial do COBIT5 Foundation. Em 14 de setembro teremos, em São Paulo, a visita de Ron Haler durante o encontro Cybersecurity Nexus (CSX), que é uma nova plataforma de certificação e treinamento da ISACA, que permite fornecer uma forma mais inteligente de manter as empresas seguras.
Também iniciamos parcerias com outras empresas como a Solution, para treinamentos presenciais, e a Clavis, consultoria de treinamento que oferece curso à distância. Para obter a certificação da ISACA, entre outros requisitos, o profissional precisa ter cinco anos de experiência na área. Mas para ser associado pode ser qualquer pessoa, pois nossa principal meta é a educação e a produção de conhecimento, que ajude seus membros a garantir a confiança e o valor dos Sistemas de Informação.
Descreva o que é segurança da informação: para que serve, onde e quando deve ser aplicada.
Segundo a ABNT ISO/IEC 27001, segurança da informação consiste na preservação da confidencialidade, integridade e disponibilidade da informação; adicionalmente, outras propriedades, tais como autenticidade, responsabilidade, não repudio e confiabilidade, podem também estar envolvidas. Essa é a definição formal. É importante as empresas acordarem para entenderem a importância da segurança e ver que isso é um investimento, não uma despesa. A gente pensa que, hoje, a Tecnologia da Informação alinha tudo aos negócios. Por exemplo, cyber segurança não envolve apenas a TI, mas sim toda a corporação. Tem que focar simultaneamente nas pessoas, nos processos e na tecnologia. A ISACA procura fazer uma abordagem mais holística da segurança da informação e desenvolve todo um trabalho voltado para o ponto de convergência entre a informação, a tecnologia e os negócios por traz de todos os seus processos.
Você é especializado em Cyber Segurança. Explique melhor a importância disso.
Cyber Segurança não é restrita ao escopo da Tecnologia da Informação. Pode ser usada a favor da corporação em diversas outras áreas. Envolve também o setor de marketing, jurídico, financeiro, C-level e até mesmo os Conselhos. Participei de um evento apoiado pelo IBGC cujo tema era a importância da segurança da informação para os Conselhos de governança corporativa das empresas de capital aberto. Percebemos que faltam pessoas especializadas nessas áreas, especialmente no C-level e nos Conselhos de Administração das organizações. Uma pessoa com conhecimento de cyber security num nível mais alto da empresa pode oferecer valiosa ajuda na toma de decisões importantes. Uma batalha cibernética decisiva para o futuro de uma organização pode durar apenas quatro horas, e decisões tomadas em alguns minutos podem definir seu destino na década seguinte. O risco envolvido é, deste modo, muito alto. Os executivos acham que é um problema só da tecnologia, enquanto que na verdade não é restrito à TI. É importante que as empresas façam todas as simulações possíveis de cyber attacks, treinando a reação adequada de vários de seus setores diante de uma crise cibernética. Ninguém está imune, pois não é uma questão de “se”, mas de “quando” tal crise irá chegar em cada corporação. O ideal é não ser pego desprevenido. É importante todo mundo saber o seu papel e construir, cada vez mais, um maior grau de maturidade na gestão do risco cibernético. Você tem que ser muito mais proativo do que reativo neste cenário. Se sua informação importante está toda na nuvem e a nuvem for invadida, você está imensamente exposto. Para você ter ideia da importância desse mercado, segundo o Gartner, mundialmente a cyber segurança movimenta um mercado de US$ 71 bilhões (dados de 2014) e a estimativa é que em 2019 chegue a US$ 155 bilhões. Sobre os incidentes, a Computerworld americana divulgou que, no período de um ano, uma empresa cuja receita está entre US$ 100 milhões a US$ 1 bilhão a perda por um cyber incidente pode chegar a US$ 1 milhão. Para organizações ainda maiores, o déficit pode atingir até US$ 5 milhões. São números bem relevantes.
Tendo em vista sua ampla experiência com segurança da informação, explique a importância de aplicar Gestão da Mudança Organizacional em segurança.
Governança, qualidade e segurança andam de mãos dadas. Se a empresa estiver de acordo com a famosa ISO 9001 da qualidade, 60% dos controles da norma de segurança já estão em conformidade (compliance). Além disto, é fundamental a aplicação da Gestão de Mudança Organizacional nas empresas quando é realizada a implementação de um programa de Governança e Segurança de TI. Quando a empresa dá início a um programa de gestão de segurança da informação, é necessário primeiro estabelecer o desejo de mudança em seus colaboradores. A organização como um todo tem que sentir e querer a mudança. O CEO tem que encabeçar isso, sob orientação do Conselho, pois hoje a TI é o negócio, não fica mais na retaguarda como no passado. Então, a governança e a segurança da TI passa a ter um impacto enorme nos negócios das empresas. De início, é precisa estabelecer logo o desejo de mudança na cultura corporativa para ter maior chance de sucesso. No fundo, quando se aprimora a gestão do risco cibernético, mais do que envolver tecnologia, é preciso realizar uma grande gestão de mudança porque, sem mexer na cultura corporativa, não há como implementar inovações. Essa proximidade da ISACA com a Dynamica Consultoria é fundamental, pois todas as nossas áreas precisam entender que tudo começa no desejo de mudar. Tem todo o trabalho de identificar os novos papeis, estabelecer o road map da mudança, encontrar os problemas e o que precisa ser mudado para se atingir as metas e o sucesso na gestão dos riscos cibernéticos.
Conheça todos os depoimentos de “Com a palavra…”
Envie seus comentários para: dynamica@dynamicaconsultoria.com.br
|