Em entrevista com Crypto ID, Fernando Engelmann, Diretor de Tecnologia da SoftExpert, explica como E-Ciber impacta a cibersegurança e o compliance trabalhista, e o papel da tecnologia na adaptação empresarial
O Decreto nº 12.573/2025 instituiu a Estratégia Nacional de Cibersegurança (E-Ciber), consolidando a proteção digital como política de Estado. A nova diretriz representa um avanço em relação ao decreto anterior, ampliando a participação social, fortalecendo a indústria nacional e exigindo das empresas uma revisão profunda de seus programas de compliance, especialmente no que diz respeito à proteção de dados sensíveis no ambiente trabalhista.
Para entender como as organizações podem se adaptar a esse novo cenário, conversamos com Fernando Engelmann, Diretor de Tecnologia da SoftExpert, multinacional referência em soluções para conformidade, governança e excelência na gestão empresarial.
Leia entrevista completa!
Crypto ID: O E-Ciber marca uma mudança estrutural na forma como o Brasil encara a cibersegurança. Na sua visão, quais são os principais desafios que as empresas enfrentam para se adaptar a esse novo marco regulatório?
Fernando Engelmann: Ao longo dos anos, a segurança de informação se tornou fundamental para alguns segmentos de empresas e a nova proposta trará esta pauta para todos os segmentos. A adaptação ao E-Ciber exigirá das empresas uma jornada de transformação que vai muito além da tecnologia. As empresas deverão implementar governança e gestão de riscos, bem como controles para garantir a segurança.
Para grandes empresas que já estão aderentes aos padrões internacionais como ISO 27001, o impacto será pequeno, mas para as pequenas e médias empresas, o maior desafio é implementar a governança de forma eficiente, sem burocratizar demais o seu negócio ou inviabilizar o projeto pelo custo do projeto.
Crypto ID: Considerando que o compliance trabalhista passa a depender diretamente da proteção digital, como as empresas podem promover essa integração entre departamentos de TI, jurídico e RH de forma eficaz?
Fernando Engelmann: O primeiro passo é alinhar os departamentos no nível estratégico, antes que as crises aconteçam. Por meio de governança corporativa, deve-se identificar todos os processos e riscos relacionados aos diversos controles de segurança existentes e com um comitê multidisciplinar, discutir as ações para garantir o correto atendimento a cada requisito.
Num exemplo bem simples, para elaboração de uma política de segurança da informação (documento fundamental para governança) a TI define os requisitos técnicos que os equipamentos deverão conter, procedimentos de backup e disaster recovery, controles para aplicação de atualizações do sistema operacional, etc.
Já o time jurídico define os termos de responsabilidade dos colaboradores e mecanismos de notificação com os órgãos competentes. Por fim, a área de gestão de pessoas (RH) avalia quais os treinamentos são necessários e garante o repasse de conhecimento para todos os colaboradores.
A partir disso, a integração eficaz entre TI, Jurídico e RH transforma estes departamentos de centros de custo e controle em um centro de resiliência corporativa. O objetivo é sair de um modelo reativo, no qual o Jurídico conserta o que a TI não protegeu e o RH gerencia a crise de pessoal, para um modelo proativo e preditivo, onde os três departamentos, juntos, constroem uma organização digitalmente segura, legalmente sólida e humanamente sustentável.
Crypto ID: A digitalização de processos como controle de jornada e folha de pagamento expõe dados sensíveis dos trabalhadores. Como a SoftExpert tem ajudado empresas a fortalecer a governança desses dados?
Fernando Engelmann: A solução da SoftExpert permite que empresas implementem todo o processo de governança integrada em uma única solução de forma simples e rápida. Temos aceleradores que permitem entender todos os requisitos necessários para atender as compliances de segurança mundiais e aplicar no contexto da empresa, identificando gaps, elaborando planos de ações para eliminar os gaps identificados e acima de tudo, rodar o processo de governança de forma eficiente, sem trazer altos custos e burocracia desnecessária.
Crypto ID: O decreto prevê selos nacionais de certificação em segurança cibernética. Você acredita que essa certificação pode se tornar um diferencial competitivo ou até um requisito contratual para fornecedores?
Fernando Engelmann: Na prática, certificações internacionais já são exigidas para vários segmentos que reconhecem que a segurança não é negociável. Com este novo marco regulatório nacional, este movimento irá se intensificar ainda mais e entendo que a segurança será algo obrigatório em todas as relações com fornecedores.
Crypto ID: Em termos práticos, quais protocolos de resposta a incidentes envolvendo dados trabalhistas devem ser incorporados aos programas de integridade das empresas?
Fernando Engelmann: Assim como outras normas de segurança, deverão ser definidos os papéis e responsabilidades durante o evento de um incidente, bem como canais de comunicação, etapas de investigação, preservação de evidências e recuperação do desastre. Todo este ciclo deve ser bem documentado e os registros devidamente salvos de forma estruturada, com análise de causa raiz, planejamento de ações e reavaliação de riscos.
Crypto ID: A capacitação contínua em cibersegurança foi destacada no E-Ciber. Como as empresas podem estruturar treinamentos que envolvam não apenas áreas técnicas, mas também gestores e colaboradores?
Fernando Engelmann: O fundamental de uma boa estratégia de treinamento é buscar uma abordagem segmentada e baseada em personas. Evitar que treinamentos longos e muito técnicos sejam direcionados a todos os colaboradores e deixar apenas para as áreas mais técnicas. A ideia é que cada grupo receba o conhecimento necessário para o seu nível de responsabilidade e de acesso à informação.
Todos os colaboradores devem ter conhecimento para evitar cair em ataques do tipo phishing, mas protocolos de disaster recovery ou resposta a incidentes devem ser aplicáveis apenas ao time técnico e gestão da empresa. O uso de uma plataforma eletrônica de treinamentos integrado ao sistema de gestão e governança auxilia nesta etapa, de forma que somente os conteúdos relevantes sejam aplicados aos departamentos / cargos para cada tipo de conteúdo.
Crypto ID: Vazamentos de dados ou falhas em sistemas podem gerar repercussões trabalhistas e até indenizatórias. Como as empresas podem se blindar juridicamente diante desses riscos?
Fernando Engelmann: As empresas não estão isentas de processos ou penalidades, mas uma governança corporativa, gerando evidências de que a empresa age com diligência e responsabilidade, seguindo as melhores práticas de segurança do mercado, trazem respaldo que a empresa não foi negligente, omissa ou imprudente.
O atendimento às compliances de segurança mais conhecidas (ISO 27001) trazem garantia, uma vez que todo o sistema de gestão e seus controles são auditados anualmente. Algumas empresas podem buscar um seguro de risco cibernético como um item adicional, mas hoje para conseguir tal seguro, todas as seguradoras já exigem os mesmos controles que uma compliance global possui.
Crypto ID: Por fim, como você enxerga o papel da tecnologia — especialmente soluções de gestão integrada como as da SoftExpert — na construção de um compliance trabalhista mais robusto e alinhado às exigências do E-Ciber?
Fernando Engelmann: O uso de soluções como a SoftExpert são fundamentais para estar em compliance de forma eficiente. Não é impossível implementar os controles de forma manual, por meio de planilhas, documentos e sistemas não integrados, mas tal prática traz uma complexidade e risco muito alto se comparado a uma solução 100% integrada.
Para médias e grandes empresas, a implementação de uma solução é mais simples, dado a estrutura da empresa que comumente já conta com uma TI, RH e jurídico estruturados, para as empresas pequenas este desafio é maior, e por isso, uma solução que já tenha aceleradores para auxiliar nesta jornada é um diferencial.
Conclusão
A entrevista com Fernando Engelmann evidencia que o Decreto nº 12.573/2025 não apenas redefine os parâmetros da segurança cibernética no Brasil, mas também inaugura uma nova era para o compliance trabalhista. A integração entre proteção digital e gestão de pessoas deixou de ser uma tendência para se tornar uma exigência normativa. Nesse cenário, tecnologia, capacitação e governança de dados são os pilares que sustentam a resiliência empresarial.
ID Talk com André Salem: Blockchain e sustentabilidade
Heitor Pires no ID Talk: A Visão do Grupo Certifica & Co. no Cenário da Identificação Digital
Criptografia Pós-Quântica e os desafios da América Latina. Entrevista com Abílio Branco da Thales
ID Talk são entrevistas que geram insights poderosos e soluções práticas para você tomar decisões estratégicas e liderar o futuro. Assistindo ou lendo você descobre o que há de mais inovador em tecnologia. Você vai gostar muito!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
