Trabalho regrado é receita de Marcelo Carreras em SI

Não é de hoje que segurança da informação recebe atenção especial das companhias. Em algumas, dependendo da natureza da empresa e o quão vulnerável está às ameaças, essa área costuma ser até um departamento independente da TI. Quando a corporação tem capital aberto e segue diretrizes de governança baseados em Sox (Sarbanes-Oxley), o tempo dedicado à SI passa a ser ainda maior e essa é a realidade vivenciada por Marcelo Carreras, CIO da CPFL, que iniciou um trabalho forte por lá há cerca de três anos.
Na companhia desde 2009, Carreras é o CIO que mais se destacou na categoria Segurança da Informação do prêmio Executivo de TI do Ano. Com uma política de segurança bem elaborada e apoio da alta direção, o profissional parece viver um ambiente ideal no que diz respeito ao tratamento de SI.

Claro que vários fatores contribuíram para que a companhia chegasse a esse grau de maturidade e o executivo, por sua vez, pudesse implantar um sistema de trabalho bacana. Em 2004, a CPFL abriu capital e listou seus papéis na Bovespa e na bolsa de Nova York, o que trouxe a necessidade de estar em dia com padrões globais de governança.

?Nos últimos três anos investimos forte em infraestrutura, política de segurança, sites de contingência seguros, construídos em 2010?, comenta. ?Temos um data center Tier3 certificado em ISO 27001, completamente seguro.? E o trabalho não estagnou após atingir certo grau de maturidade, Carreras lembra que, neste momento, trabalha para ter um site de contingência próprio com o mesmo nível de qualidade. Atualmente, redundância e contingência estão nas mãos de parceiros.

Carreras conta ainda com dois pontos fortes para tocar sua política de segurança da informação: uma área de compliance e gestão de risco, que está bastante alinhada com a TI, e um comitê de segurança onde, além do departamento de tecnologia, RH e jurídico, entre outras áreas, participam de encontros mensais. ?Tudo está alinhado com a alta administração?, ressalta, pontuando, também, que o alinhamento com a área de gestão de risco permite que a política de SI fique permeada por toda a empresa.

O comitê discute questões de segurança de forma geral, pontos da política e vulnerabilidades. Como explica Carreras, há um projeto interno de transformação e esse grupo debate, por exemplo, a inclusão de rede social e colaboração nesse processo.

Também existe um trabalho constante na divulgação e propagação da política de SI, até por uma obrigatoriedade para certificados pela ISO 27001. Em 2010, eles realizaram workshops para difundir questões sobre acesso e política que norteia a distribuição de senha. Em 2011, aconteceu uma rodada de reciclagem.

O trabalho liderado por Carreras conta, além da colaboração do time interno, com uma rede de parceiros especializados no tema. ?Eles fazem gestão da segurança da informação, temos monitoramento 24×7, controle de vulnerabilidades, gestão de ataques. Todo incidente é reportado e discutido no comitê?, explica.

Diante das crescentes ameaças que partem não apenas de cibercriminosos tradicionais, mas, também, do movimento batizado de hackerativismo, Carreras conta que eles possuem controles e mecanismos de ataque que funcionam como um antídoto contra esse tipo de vulnerabilidade. Mas alerta que, ?com nuvem, aumenta a preocupação porque (a ameaça) se dissemina muito rápido?. Entretanto, nada que tire a confiança do executivo nos fundamentos do trabalho que, como ele mesmo lembrou no início da conversa, acontece há três anos.

Como ficou a categoria:
1º Marcelo Carreras, CPFL
2º Lisias Lauretti, Serasa Experian
3º Cibele Fonseca, Construtora Andrade Gutierrez