O documento descreve a 5a edição do evento "A Nata dos Profissionais de Segurança da Informação", que homenageia os 50 profissionais mais influentes em segurança da informação no Brasil. Detalha os principais segmentos representados, o aumento na participação feminina e as realizações dos profissionais eleitos.
Artigo: Segurança de Dispositivos Móveis. By Paulo Pagliusi
Eleição "A Nata dos Profissionais de Segurança da Informação"
1. SÃO PAULO
12 E 13 DE SETEMBRO DE 2007
Apoio:
O Alinhamento da Segurança da Informação ao Negócio
Governança e Gestão de Riscos em Segurança da Informação.
V A Nata dos Profissionais de
Segurança da Informação
São Paulo - 10 e 11 de setembro de 2008
2. A NATA DOS
PROFISSIONAIS
DE SEGURANÇA
DA INFORMAÇÃO
2008
Afonso Felício Kalil Filho,
Gerente de Segurança da Infor-
mação
Fiat América Latina.
André Horácio Guimarães dos Santos
Consultor de SI, Auditor Líder NBR
ISO 27001 e Administrador
Auditoria Interna
PETROBRAS SA
Agostinho Hermenegildo T. de Gouveia
Superintendente Executivo de
Riscos de TI
Banco Real
Alvaro Teófilo
Superintendente de Segurança da
Informação
Produban - Grupo Santander
Implantação do Sistema Gerencial
de Segurança da Informação,
Aperfeiçoamento das políticas e
procedimentos, criação da rede de
“Security Officers” departamentais
e fundamentação dos processos
de Avaliação de Riscos, Gestão de
Crises e Continuidade de Negócios.
Com 44 anos de experiência em
TI e 34 como professor de pós
graduação fui o primeiro Auditor
de Sistemas da IBM e o primeiro
brasileiro a obter a certificação
CISA da ISACA.
Acredito que esta indicação é
resultado das ações de mudança de
cultura e conscientização com foco
em Gestão de Processos e Segurança
da Informação. No último ano
destaco: o Projeto DO Eletrônico do
Governo do Estado do Rio de Janei-
ro, a auditoria de normas e políticas
/ classificação da informação /
divulgação de SI na Agência Nacional
do Petróleo e, atualmente, mais um
grande desafio, na Auditoria Interna
da Petrobras.
Liderou, com outros executivos do
mercado de TI do Brasil, impor-
tantes ações de comunicação e
conscientização da sociedade em
relação à necessidade de aprova-
ção da Lei que tipifica os crimes
eletrônicos no Brasil. Fomentou,
no mercado, o desenvolvimento
de soluções de combate à fraude
digital, sendo um dos líderes
responsáveis pela estratégia de
combate à fraude no Santander
no Brasil. Também no Santander,
consolidou no Brasil o primeiro
Centro de Competência Global
de Segurança da Informação, que
hoje é referência e modelo para
o Grupo financeiro. É atualmente
o responsável pela implantação
do primeiro Centro de Operações
de Segurança Regional do Grupo
Santander.
Conheça aqui os nomes e
as realizações dos 50 eleitos que se
destacaram em 2008 como os profis-
sionais mais influentes em segurança
da informação na eleição A Nata dos
Profissionais de Segurança da Informa-
ção. Quem são e o que fizeram para
serem indicados pela comunidade de SI
como os grandes eleitos em 2008.
O papel e o foco que dão a
direção da segurança da informação aos
gestores de SI nas corporações sofreram
diversas mudanças nestas 24 edições em
que Dados a Salvo de Tragédias (agora
com a palavra “Negócios” em seu título)
e nos 5 anos que A Nata dos Profis-
sionais de Segurança da Informação foi
criado para homenagear estes profissio-
nais que trabalham para manter a se-
gurança dos dados de suas corporações
íntegras. Mas, apesar das mudanças,
a proteção dos dados continua tendo
importância vital para os negócios das
nossas corporações.
A NATA DOS PROFISSIONAIS DE
SEGURANÇA DA INFORMAÇÃO, em sua
edição de 2008, organizada pela TI
Brasil Intelligence – Dados e Negócios
a Salvo de Tragédias, homenageia mais
uma vez e apresenta os eleitos pela
comunidade de segurança da informa-
ção, de TI, de Governança, de Risco, de
Contingência, de executivos de negócio,
e de empresas fornecedoras de soluções.
Uma premiação, uma homenagem que
busca apontar para o mercado quem é
quem em SI, e divulga suas realizações
na entrevista aos 11.000 leitores na
newsletter SecurityInfos Dados e Negó-
cios a Salvo de Tragédias.
Participaram 4.034 eleitores.
Entre os 50 eleitos neste ano a indús-
tria financeira, apesar de todo ano ter
uma presença maciça, teve sua maior
participação com 28% dos profissio-
nais eleitos, Em seguida, o segmento
com maior representatividade foi o de
Telecom com 12% dos profissionais, uma
pequena queda em relação ao ano pas-
sado quando foi o segmento que teve
maior representatividade. O segmento de
Varejo empatado com Telecom apresen-
tou um crescimento impressionante em
relação ao ano passado quando teve
2% dos profissionais eleitos para 12%
em 2008. O restante dos segmentos,
como indústria, governo, serviços, agro-
busines, estão pulverizado de maneira
uniforme.
A participação das mulheres
este ano com 14% dos eleitos teve a
maior representação que a A Nata dos
Profissionais de Segurança da Infor-
mação já apresentou, empatando com
edição de 2005 em que acreditávamos
que a diferença quanto ao sexo deixaria
de ser tão grande e indicaria uma
tendência de crescimento. Mas que nas
edições seguintes não se confirmou,
caindo em 2006 e 2007 para 2%. Pela
segunda vez temos um militar da ativa
entre os eleitos.
Apesar da SI estar cada vez
mais envolvida com gestão de risco,
com governança e conformidade, a
gestão da segurança dos dados digitais
continua em sua grande maioria nas
mãos dos CSOs, que vão ter que se
manter atentos para que lado sopra
o vento e ampliar o seu universo e
conhecimentos nesta direção. Uma coisa
no entanto todos tem muito claro: sua
função é proteger os dados digitais de
sua empresa para proteger os negócios
de sua corporação, independentemente
da mudança de rota de gestão ou tec-
nologia que se apresentar no horizonte.
Dediquei estes últimos dois anos a
alinhar a Área de segurança da
informação com as Áreas de ne-
gócio do banco, buscando agregar
valor nas soluções de produtos e
serviços. Para tanto passamos a
integrar o comitê de produtos do
banco, em conjunto com as áreas
de desenvolvimento de sistemas,
desde o início dos novos produtos
e serviços, gerando soluçõesseguras
e faceis de usar pelos nossos
clientes.
3. Alfredo Luiz dos Santos Junior -
Coordenador de IDM
TIM
Alexandre Guindani
Gerente de Continuidade dos
Negócios
Caixa Econômica Federal
Álvaro Leis
Gerente de Divisão – Gestão da
Continuidade de Negócios
Banco Nossa Caixa
André Luis Mendes de Azevedo
GI da Área de Segurança Lógica
DPCD
Banco Bradesco
Andre Pitkowski
Consultor de Gestão de Riscos
Grupo Pão de Açúcar
Antônio Everardo Nunes da Silva
Gerente de Segurança da
Informação
BICBANCO
César Augusto Kadota
Gerente Segurança da Informação
Net Serviços
Cesar Castello Branco Orlando
Coordenador de Planejamento de
Segurança de Informações
DATAPREV
Autor de livros de Segurança e
Desenvolvimento, artigos de se-
gurança, evangelista de IAM, além
de Coordenador de IT Security na
Tim, focado em controle de acesso
e gestão de identidades para os
sistemas corporativos.
Participo do desenvolvimento do
Programa de Continuidade dos
Negócios da CAIXA há quatro anos
e acredito que fazer parte deste
seleto grupo de profissionais indica
que estamos no caminho certo.
Gerir Continuidade dos Negócios
no Brasil não é tarefa fácil, ainda
mais num banco com o porte da
CAIXA.O reconhecimento de nosso
trabalho pelos profissionais do mer-
cado brasileiro é muito gratificante,
ao mesmo tempo que nos torna
um dos responsáveis por manter a
GCN em constante evolução.
Atuamos a 17 anos no Banco
Nossa Caixa, sendo 10 anos em
Segurança da Informação, com
ênfase no processo de Gestão de
Continuidade de Negócios. Como
fato relevante, podemos destacar
que em 18/02/2008 finalizamos
o gerenciamento do projeto de
Certificação da norma BS25999,
para os processos de negócios que
se utilizam da baixa plataforma
de TI do SPB, sendo a primeira
instituição financeira do mundo a
conseguir este feito.
Leia a entrevista com André
Azevedo nas próximas edições da
Newsletter SecurityInfos Dados e
Negócios a Salvo de Tragédias em
www.ti-intelligence.com.br
Depois de trabalhar 10 anos com
antivírus, sendo sete deles como o
dono da McAfee no Brasil, redi-
recionei minha área de atuação,
obtendo a certificação BS7799 LA
em Londres, no ano de 2001. A
experiência acumulada ao longo
dos anos que se seguiram inclui
consultorias em diversas empresas
com a implantação de Sistemas de
Gestão de Segurança de Informa-
ção, a criação do cargo de CSO
com a formação do respectivo
profissional, desenvolvimento de
produtos, serviços e treinamentos
de SI, e o convite para lecionar a
matéria de ISO17799 nas cadeiras
de POS e MBA. Atualmente, ba-
seado na estrutura do COSO e do
CobiT, coordeno, como consultor,
a Gestão de Riscos (corporativos
e de TI) para o Grupo Pão de
Açúcar.
A prioridade de nossas ações tem
sido focar nas pessoas. Atuamos
com campanhas de conscientização,
divulgação de artigos e notícias,
criação do Banner da Segurança,
divulgação de apresentações
específicas, Manual das Políticas
de Segurança da Informação.
Acreditamos que a segurança da
informação somente será alcan-
çada, quando cada colaborador
estiver comprometido em zelar
pelas informações da empresa, é
difícil, mas não impossível.
Venho participando das ações da
DATAPREV no aprimoramento dos
processos de SI, em especial na
execução do Plano de Segurança
da Informação da Prev. Social,
na certificação do Centro de
Processamento da DATAPREV do
RJ na Norma NBR ISO/IEC 27001,
na emissão de certificados digitais
para seus 3400 empregados no
Brasil, além da reformulação das
Portarias ministeriais que tratam
da Segurança da Informação e do
Controle de Acesso na Previdência
Social.
Leia a entrevista com César Augus-
to Kadota nas próximas edições da
Newsletter SecurityInfos Dados e
Negócios a Salvo de Tragédias em
www.ti-intelligence.com.br
Alexandre Gaspar
Gerente Corporativo de Segurança
da Informação
Telefônica Brasil
Aloysio Régis Gouveia Filho
Security Officer
Banco Pine
Em 2008 o foco de atuação foi
o gerenciamento de “identidades”,
com destaque para a segregação
de funções na estrutura de perfis
de acesso e no tratamento da
informação dependendo do seu
grau de confidencialidade.
A reavaliação dos processos
internos junto com a área de
Compliance possibilitou melhorias
no controle de acessos, na revisão
de perfis e no gerenciamento de
vulnerabilidades.
Nosso próximo passo será a
implementação de controles por
meio do framework COBIT para
atendimento à Basiléia e da
metodologia de análise de riscos
para redesenho do Plano de
Continuidade de Negócios.
Leia a entrevista com Alexandre
Gaspar nas próximas edições da
Newsletter SecurityInfos Dados e
Negócios a Salvo de Tragédias em
www.ti-intelligence.com.br
4. a nata dos
profissionais
de segurança
da informação
2007
Realização:
Fábio de Jesus Gomes
Assessor para a Desburocratização
e Racionalização de Processos.
Prefeitura Municipal de São Caetano
do Sul
Elias Nogueira
Supervisor de Sistemas
Ford Motor Company
Fernando Daher Marques
Coordenador de Infra-Estrutura
Tecban
Os principais projetos conduzidos:
- Desenhou e implantou o
Projeto Atende Fácil, um novo
modelo de atendimento baseado
na Automação de Processos e
Assinatura Eletrônica para mais
de 800 serviços municipais.
- Implementação de ações para
a melhoria da confiabilidade dos
dados de faturamento da Saúde
Pública Municipal.
Implantamos recentemente os
projetos IPS, substituição de anti-
spam e criptografia de dispositivos
móveis, entre outros. Recebemos
em 2008 um prêmio da InfoCor-
porate pelo projeto “Rede Segura
e virtualização de firewalls”.
Estamos no momento avaliando
ferramentas de Gestão de Iden-
tidades, gerenciamento de infra-
estrutura, correlação de eventos e
DLP, previstos para 2009.
A implementação robusta e con-
sistente de ações de proteção à
informação de forma sustentável e
a custos acessíveis foram a tônica
em 2008. Além de todo cuidado
“dentro de casa” asseguramos que
nossos parceiros e fornecedores
mantivessem o mesmo nível de
segurança ao longo da “cadeia
produtiva da informação”.
Estruturou duas importantes
áreas na empresa: (1) Security
Office Corporativo; (2) unidade
de negócios de Consultoria em
Segurança da Informação. Teve a
qualidade, eficiência e eficácia dos
trabalhos realizados, devidamente
comprovados, com a obtenção da
principal certificação de Segurança
da Informação, a NBR ISO/IEC
27001:2006. Também é o sponsor
do portal FERNANDOFERRERIA.
COM (www.fernandoferreira.com).
Autor, ao lado de Márcio Araújo, do
livro POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO - Guia prático para
elaboração e implementação.
Um dos 5 eleitos como Profissional
do Ano em Solução de SI pela sua
contribuição ao desenvolvimento do
mercado de SI.
Fernando Nicolau F. Ferreira
Gerente de Segurança da
Informação
CONSOFT
César Lourenço Ribeiro Júnior
Gestor de Segurança da
Informação
Alcoa Alumínio S.A
Garantir o cumprimento da Polí-
tica de Segurança da empresa é
crucial. Tivemos um grande desafio
neste sentido e certos de que o
resultado foi alcançado. Alinhar a
área de SI da Alcoa Alumínio S.A.
às diretrizes globais da Cia foi
outro desafio importante.
Sinto-me honrado com esta pre-
miação, especialmente por repre-
sentar o resultado de 15 anos
de atuação em Segurança da
Informação. Em 2008 pudemos
inaugurar, no CASNAV, o Centro
de Criptologia da Marinha. Além
disto, treinamos em Segurança
da Informação 2.300 dirigentes,
gestores de alto nível e gerentes
de TI da Administração Pública
Federal.
Creio que este prêmio seja
reconhecimento ao trabalho da
equipe do CERT.br, que têm se
dedicado a auxiliar redes brasi-
leiras envolvidas em incidentes e
a treinar os profissionais da área.
Também tem sido enfoque do
nosso trabalho produzir métricas
sobre ameaças e abusos às
nossas redes, de forma a auxiliar
os profissionais a focarem seus
esforços.
Um dos 5 eleitos como Profissio-
nal do Ano em Solução de SI pela
sua contribuição ao desenvolvi-
mento do mercado de SI.
Dentre as várias ações que
estamos promovendo, destaco o
processo de conscientização dos
usuários em Segurança da Infor-
mação. Entendemos que segurança
é muito mais que implantação
de controles de tecnologia, é
atitude pessoal. Isto é reforçado
em nossas campanhas anuais, que
além de outras iniciativas, conta
com uma semana inteira dedicada
ao tema.
Denise Comerlati Menoncello
Gerente de Segurança de Sistemas
e Informações
SERASA
Cmte. Paulo Sérgio Pagliusi
Chefe do Departamento de
Engenharia de Sistemas - CASNAV
Marinha do Brasil
Cristine Hoepers
Gerente do Centro de Estudos,
Resposta e Tratamento de
incidentes de Segurança no Brasil
CERT.br / NIC.br
2008
5. Ed Wilson Menezes
CSO Redecard até agosto 2008.
Atualmente PCI - Business
Development Manager
IBM Brasil
Edilton de Souza Pereira
Gerente de Continuidade de
Negócios
Casas Pernambucanas
Edmilson M. Ito
Gerente de Segurança da
Informação
Banco Votorantin
José Inácio Fritsch
Gerente de TI
Grupo Gerdau
Francimara Teixeira Garcia Viotti
Gerente Executiva- Diretoria de
Gestão da Segurança
Banco do Brasil
Júlio Kim
Coordenador de Segurança da
Informação
Carrefour
Júlio Cezar de Resende Moreira
Coordenador de Segurança da
Informação
Porto Seguro Seguros
Leia a entrevista completa com Ed
Wilson, publicada na Newsletter Se-
curityInfos Dados e Negócios a Salvo
de Tragédias, PCI na Redecard.
Dedica-se ao tema segurança da
infromação desde 1989. É colu-
nista do site ITWEB e autor de
três livros: Praticando a segurança
da informação, Editora Brasport,
2008; Segurança da Informação:
o usuário faz a diferença!, Edi-
tora Saraiva, 2006 e Vivendo a
Segurança da Informação, Editora
Sicurezza. É professor de MBA
da FIAP. Certificado CISM e CISA
é consultor independente. Foi
coordenador do Banco Banorte,
Gerente do Produto Business
Continuity Plan da PwC, Security
Officer da GTECH Brasil.
Um dos 5 eleitos como Profissio-
nal do Ano em Solução de SI pela
sua contribuição ao desenvolvi-
mento do mercado de SI.
Leia a entrevista com Francimara
Viotti nas próximas edições da
Newsletter SecurityInfos Dados e
Negócios a Salvo de Tragédias em
www.ti-intelligence.com.br
O grande desafio de gerenciar
riscos à segurança da informação
em um negócio competitivo e
dinâmico como o varejista requer
ações precisas e objetivas. A
principal estratégia neste ano foi
a reestruturação dos processos de
segurança de forma totalmente
integrada aos de Governança de
TI, garantindo sua efetividade e
sustentabilidade.
O foco foi direcionado para
prover a Organização Gerdau de
um ambiente computacional de
alta disponibilidade e confiabilida-
de, garantindo o crescimento e a
expansão global da Organização,
com a implementação de um
novo Data Center, seguro e de
alta disponibilidade, aderente
aos requerimentos do negócio e
certificação SOX.
Formado em Tecnologia de
Processamento de Dados pelo
Instituto Presbiteriano Mackenzie
em 1996 e pós-graduado em
Gestão Empresarial pela FEI em
2006, é responsável pela área de
Segurança da Informação da Porto
Seguro Cia de Seguros Gerais
desde 2005, onde trabalha desde
1997. Suas principais atribuições
são: garantir a gestão adequada
do risco tecnológico da Corpo-
ração; criar, aprovar e implantar
normas e processos que sustentem
a Segurança dos Dados corpo-
rativos; pesquisar e implementar
soluções de proteção de dados
e perímetro, entre outras. Possui
certificações CISSP, ISO 27001 Lead
Auditor e MCSO.
Leia a entrevista com Edilton de
Souza Pereira nas próximas edições
da Newsletter SecurityInfos Dados e
Negócios a Salvo de Tragédias em
www.ti-intelligence.com.br
Edison Fontes
Gerente Sênior
CPM Braxis.
Uma das grandes realizações foi
a instituição de uma metodologia
de risco de TI a qual mapeia o
nível de maturidade dos processos
de segurança da informação que
permeiam a organização. Também,
foi concretizada a maioria das
ações mitigatórias propostas para
a diminuição de perdas inespera-
das oriundas da aferição do risco
operacional. Atualmente, está sendo
definida a estratégia para a aceita-
ção de um novo patamar de risco
que contemplará o aperfeiçoamento
dos atuais controles.
Na segurança de rede do SERPRO,
desde 1998, coordenei a primeira
implantação de sistema de segu-
rança da companhia. Participei do
grupo de definição de política da
organização e colaborei para que o
serviço de infra-estrutura de chaves
públicas PKI da ICP Brasil pudesse
ser utilizado e conhecido na âmbito
do SERPRO e clientes de governo.
Em 1999 participei da criação do
GRA (Grupo de Resposta à ataques)
que é o CSIRT (Computer Security
Incident Response Team) do SERPRO
e desde a época atuo em atividades
de tratamento de incidentes em
conjunto com os demais grupos
e comunidades de tratamento de
incidentes com o foco em segurança
para o ambiente Internet no Brasil.
Em conjunto com a equipe de
trabalho do CGSI, participei da ela-
boração de documentação que deu
origem ao CTIR.GOV, atual centro
de coordenação de tratamento de
incidentes para os órgãos da APF.
Conduzindo desde 2003 a
Governança de Segurança e
Tecnologia da Informação através
da coordenação de comitês,
desenvolveu durante este período,
o Plano de Continuidade de
Negócios da Rodobens Consórcio,
já em operação e está iniciando o
PCN da Rodobens
Banco e Rodobens Negócios Imobi-
liários. Conduz processo de gestão
de riscos em TI, e desenvolveu
projeto de Segurança Empresarial,
visando padronizar a segurança
patrimonial em localidades da
Rodobens por todo o território
brasileiro, com metodologia
própria com foco em processos,
pessoas e tecnologia.
Indiana K. Medeiros
Coord. de Segurança de Rede
SERPRO/SUPRE/RESEG
Edison Chiedde
Gerente de Segurança da
Informação
Empresas Rodobens
6. a nata dos
profissionais
de segurança
da informação
2008
Realização:
Luciano Alves dos Santos
Supervisor de Segurança da
Informação
Ericsson Telecomunicações S/A
Luiz Fernando Novaes
Gerente de Informática
CET - Cia. de Engenharia de Tráfego
de São Paulo
Kleber Melo
Senior Executive HTS Security
Banco HSBC
Renan Dias Baptista
Superintendente de Segurança da
Informação (CSO)
Sul América Seguros
Paulo Roberto Gomes
Gerente do Departamento de
Programação de Auditoria.
Furnas
Neste ano, focamos na realização do
Security Sally, um treinamento intera-
tivo de segurança, via intranet, para
todos os colaboradores da empresa.
Neste treinamento, abordamos segu-
rança da informação, segurança física,
segurança durante viagens, e como se
reportar em caso de incidentes. Con-
seguimos manter o nível de 100% de
pessoas treinadas e esta porcentagem
está sendo mantida com a obrigato-
riedade do treinamento para os novos
colaboradores contratados. Um outro
desafio para nós foi a implantação
do Information Security Management
System (ISMS) — desenvolvimento
de instruções locais para atender as
diretivas e políticas de segurança defi-
nidas pela sede da Ericsson na Suécia
e a garantia de que estas instruções
estão sendo adotadas nas atividades
diárias da Ericsson Brasil — além
do início das atividades para o
alinhamento à norma ISO 27001.
Durante o período 2007 / 2008
atuei na direção do grupo do HSBC
Technology Services (HTS) Security
onde obtive resultados positivos em
vários indicadores operacionais e
de projetos, ao mesmo tempo que
dei suporte à Região Latin Ame-
rica e atuei na direção de grupo
mundial de Security para definição
de de ferramenta standard de
segurança para o HSBC mundial. No
mercado nacional sou membro da
ISSA Brasil, mantendo contato com
diversos profissionais da área e
colaborando com o desenvolvimento
e qualificação da área. Defendo a
posição de que o profissional e
gestor de segurança deve trabalhar
para “humanizar” as áreas de IT,
colocando o ser humano a frente
das decisões estratégicas, sejam elas
a vista de novas funcionalidades
sistemicas ou na motivação e
liderança de pessoas.
Entre nossas metas de 2008
tivemos:
Nova estrutura de segurança física
para nossos servidores de banco de
dados, aplicações, internet e e-mail
com a aquisição de Sala-Cofre de
altíssima segurança.
Implementação de novas tecnologias
de segurança com aquisição de
novos equipamentos com tolerância
a falhas.
Reestruturação da área de TI com
foco na segurança dos dados contra
ataques externos e internos com
acompanhamento de consultoria
externa.
Centralizamos a Gestão de
identidade de Acesso, onde toda
concessão de acesso é feita após
conclusão de um fluxo de aprova-
ção, formalizado via intranet por
um sistema de Workflow. Associado
à isso definimos controles e perfis
para manter as bases de usuários
consistentes. Mantemos o ambiente
de rede da SulAmérica monitorado
por uma consultoria externa.
Este controle também é feito
por uma ferramenta de workflow
que gera relatórios gerenciais.
Para conscientizarmos os usuários
(funcionários e terceiros) da impor-
tância da Segurança da Informação
investimos em campanhas através
de ferramentas como treinamento
E-learning Segurança da Infor-
mação, Revista de Segurança da
Informação, Palestras, Pesquisa e
Campanha de Conscientização na
intranet. Implementamos o Comite
Estratégico de Segurança.
Dentre os vários trabalhos
realizados em 2007/2008,
especial destaque mereceram
os projetos de implantação do
Portal Transparência Pública,
onde recursos de tecnologia da
informação foram empregados em
prol da transparência corporativa
requerida por órgãos de Controle
Externo, projeto de adequação dos
controles internos a Lei Sarbanes-
Oxley, onde foram mapeados,
testados e certificados o ambiente
de controle de negócios e de TI.
Karen Higashi
Coordenadora de Segurança de TI
e Contingência
Banco Safra
O nosso trabalho nesses últi-
mos anos foi na implantação
e manutenção do Plano de
Continuidade de TI, que sempre
contou com o apoio executivo
e com o comprometimento dos
envolvidos, sem os quais não seria
possível essa realização que com
o o tempo torna-se ainda mais
desafiadora devido a manutenção
da conscientização corporativa.
Além disso, realizamos importantes
projetos em gerenciamento de
identidades e na revisão constante
da arquitetura de segurança de TI
do ambiente.
Bacharel em Ciência da Compu-
tação, Pós-Graduado em Redes
de Computadores pela UFRGS e
certificado pelo British Standard
Institute como BS 7799 Lead
Auditor. Atualmente é Gerente de
Segurança da Informação da BASF
para a América do Sul, cargo que
ocupa desde 2005. Tem passagens
pelo Grupo Telemar, onde atuou
como Coordenador de Segurança
da Informação, e pela Modulo
Security, onde foi Gerente Regional.
Entre as realizações destaca-se
a implementação do projeto
de Compliance dos processos e
controles da BASF na América do
Sul aos padrões globais estabe-
lecidos pela matriz na Alemanha,
a definição e o acompanhamento
de indicadores de maturidade
em Segurança da Informação, e
também o projeto de Gestão de
Identidades, incluindo controles
para a segregação de funções
no ERP.
Nos últimos 3 anos temos focado
na seguranca da informação, com a
iniciativa de implementação de 2
novos datacenters (US e Cingapura),
para onde estão sendo migrados
os principais sistemas corporativos
da empresa, processo este que
deverá estar concluído no final
de Q1 de 2009, com redundância
de informação entre aqueles DC’s.
Localmente, foi mudada a infraes-
trutura de rede metropolitana, com
utilização de circuitos redundantes,
todos em tecnologia MPLS, também
com o objetivo de manter todos os
facilities com acesso aos bancos de
dados e aplicações. Forte desenvol-
vimento de soluções wireless, seja
no chão de fabrica ou nas áreas
de escritório, com emprego de
equipamentos padronizados em
54mpbs.
Ricardo Dastis
Gerente de Segurança da
Informação da
BASF
Rubens Ferro
Gerente de TI e Telecomunicações
Cummins Brasil
7. Marcelo Andrade Figueiredo
Coordenador de Segurança da
Informação
Lojas Marisa
Márcia Ferreira Martins Tosta
Especialista em Segurança da
Informação
CSO
Márcio Tadeu de Araújo
Gerente de Governança de TI
Vivo
Marcos Luciano Ribeiro Gomes
Security Officer Supervisor & Brazil
IP Lead
Cargil Agrícola
Sérgio Antonio Cloves
Gerente de Segurança da
Informação
Redecard
Sérgio Augusto C. Dias
CSO - Gerente de Segurança da
Informação
Grupo Schincariol
Sidney Modenesi, CBCC, MBCI
General Manager
Strohl Systems do Brasil
Representante exclusivo no Brasil
BCI – Business Continuity Institute
Vagner D’Angelo
Gerente de Segurança Empresarial
Centro de Soluções Compartilhadas
Grupo Camargo Corrêa
Sérgio Roberto Ricupero
CSO Grupo Vivo até junho de 2008.
Atualmente Gerente de Segurança
de Informações
Grupo Abril
Dra. Patrícia Peck Pinheiro
Advogada especialista em Direito
Digital, sócia fundadora do
escritório
Patrícia Peck Pinheiro Advogados.Estruturamos a área de Segurança
da Informação na Marisa há cinco
anos, sempre dedicando muito
esforço e atenção aos programas
de conscientização de todos
os envolvidos nos processos de
negócio da empresa incluindo,
além de nossos funcionários, os
fornecedores e terceiros. Hoje a
cultura de segurança na empresa
já está mais consolidada, facilitan-
do a condução de novos projetos
da área. Compartilho o resultado
da eleição com minha equipe, e
entendo que este reconhecimento
seja o resultado do trabalho
incessante conduzido por todos
nestes últimos anos.
Gestão dos projetos para certifi-
cação SOX e gerência de riscos do
ambiente em TI, envolvendo os 4
domínios Cobit, incluindo diversos
objetivos de controle voltados para
segurança da informação. Autor,
ao lado de Fernando Ferreira, do
livro POLÍTICA DE SEGURANÇA DA
INFORMAÇÃO - Guia prático para
elaboração e implementação.
No último ano continuamos
focando nossos esforços em
conscientizações de usuários e se-
gregação de funções nos sistemas.
A segregação nos sistemas é muito
importante para reduzir riscos na
empresa onde os usuários somente
tem acesso ao que necessitam
para desempenhar suas atividades.
Sedimentação da Cultura de Ges-
tão de Riscos em Segurança da
Informação. Desenvolvimento do
BIA – Business Impact Analysis na
organização
. Implementação do PCN nos
Processos Críticos de Negócio
. Continuidade do projeto de
Gestão Integrada de Identidades
. Compliance com os requerimentos
do PCI – Payment Card Industry
em andamento.
Acredito que a indicação tenha
vindo em função de um conjunto
de ações contidas em nosso
Programa de Segurança da Infor-
mação que vai desde a revisão de
nossa Política de Segurança em
função da profissionalização que
estamos vivenciando até a imple-
mentação de controles, processos e
aculturação de toda a organização
em Gestão de Riscos e Segurança
da Informação. Estas ações são
feitas com a partipação de uma
equipe altamente preparada, e
esse prêmio pertence a cada um
dos membros desta equipe.
Admitido no Grupo Camargo Corrêa
em 2004, tive a incumbência de
implantar uma área de segurança
corporativa no Centro de Soluções
Compartilhadas, que presta apoio
às empresas do grupo, que in-
cluem: Alpargatas, Cauê Cimentos,
Construtora Camargo Corrêa, CAVO,
Santista, Tavex (Espanha), Loma
Negra (Argentina). entre outras. Além
de implantar a área de serviços
em segurança da informação foram
implantadas as áreas de serviços
em segurança patrimonial e pessoal.
Em SI o departamento viabilizou,
dentre outras, as seguintes melhorias:
• Estrutura de área de serviços
especializada com profissionais de
SI. • Desenho de fluxo de serviços
de SI em processos e subprocessos.
• Implantação junto com o CIO do
GCC da nova Política de Segurança
da Informação. • Evalidação das 25
Normas de Segurança da Informação
existentes – NBR ISO/IEC 17799.
Atualização das normas de segurança
do GCC base NBR ISO/IEC 27002.
Com 20 anos de comprovada
experiência em BCM – Business
Continuity Management, Sidney
Modenesi é hoje um forte repre-
sentante do crescimento e do alto
nível de profissionalismo que há no
Brasil quando o assunto é BCM –
Business Continuity Management. É
membro da ABSEG, da ACP - Asso-
ciation of Contingency Planners; da
ISACA - Information Systems Audit
and Control Association; e Chairman
do DAG – Distributor Advisory
Group, com o objetivo de compilar
as necessidades do mercado não
americano para a Strohl Systems /
SunGard Availability Services.
Um dos 5 eleitos como Profissional
do Ano em Solução de SI pela sua
contribuição ao desenvolvimento do
mercado de SI.
Implementação de filtro de
conteúdo com controle de nave-
gação na internet resultando em
diminuição de 40,2% de utilização
de link internet, e redução de in-
cidentes de segurança em acessos
a internet; Fortalecimento do am-
biente computacional da empresa
com a revisão de configuração de
ativos da cia; Definição e reali-
zação de Campanha de Segurança
da Informação com a realização
de palestras presenciais e treina-
mento on-line disponibilizado para
10.000 usuários; Divulgação da
Política Corporativa de Segurança
da Informação e seus regulamen-
tos; Definição e implementação
de processos de tratamento de
incidentes de segurança.
Nosso trabalho tem sido orientado em
integrar a parte técnica com a blinda-
gem jurídica, visando Prevenção (prepa-
rar o ambiente da empresa de modo
a que consiga evitar o incidente e
fazer Campanha de conscientização com
Palestras, Cartilhas uso de Treinamento
via Web, material em Vídeo para novas
equipes, elaboração de Código de Ética
da TI), contenção (apoiar na melhor
forma de minimizar os riscos e impac-
tos) e Reação (garantir a capacidade
de resposta em situação de incidente,
especialmente no tocante a coleta das
provas eletrônicas adequadamente).
Um dos 5 eleitos como Profissional
do Ano em Solução de SI pela sua
contribuição ao desenvolvimento do
mercado de SI.
Um sacerdócio. Este talvez seja
uma palavra que pode resumir a
função de CSO das organizações e
a qual me dedico a cerca de 10
anos. O convencimento constante,
o trabalho técnico, as preocupa-
ções com os níveis crescentes de
compliance. Estes são os grandes
desafios que todos da área de
Segurança estão submetidos.
Talvez o grande segredo seja a
busca pela sinergia em todos os
níveis. Os parceiros internos e
externos são o diferencial que nos
permite alcançar o sucesso. Este
é o fator determinante. A busca
e a manutenção de uma rede de
parceiros que possam nos auxiliar
neste trabalho hercúleo.