Ernandes Campagnoli

Sou um executivo sênior com 16 anos de experiência em Tecnologia da Informação e Segurança da Informação, atuando estrategicamente na liderança de Cibersegurança, Governança de TI e Proteção de Dados. Ao longo da minha trajetória, apoiando Boards, Conselhos e C-Level na redução de riscos corporativos, no fortalecimento da governança e na consolidação de estruturas que garantem conformidade regulatória, continuidade e sustentabilidade do negócio.

Minha carreira foi construída em ambientes de alta criticidade nos setores de TI, software, hardware e serviços especializados, liderando iniciativas estratégicas de Cybersecurity, GRC, Compliance, LGPD, Continuidade de Negócio (BCP/DRP) e Resiliência Organizacional. Meu foco sempre esteve na geração de valor mensurável, alinhando segurança à estratégia corporativa e ao crescimento sustentável.

Tenho sólida experiência na estruturação, evolução e gestão de Security Operations Centers, conduzindo times multidisciplinares em operações complexas. Atuo diretamente em detecção e resposta a incidentes, threat hunting, gestão de vulnerabilidades, Cyber Threat Intelligence, forense digital e definição de KPIs executivos — como MTTD, MTTR, aderência a RTO/RPO e eficácia de tabletop exercises — garantindo resiliência e mitigação de riscos financeiros, operacionais, regulatórios e reputacionais.

Conduzo jornadas completas de Zero Trust, integrando identidade como perímetro, MFA/PAM, microsegmentação/ZTNA, políticas de privilégio mínimo, telemetria contínua e verificação explícita. Minha abordagem integra SIEM/SOAR, EDR/XDR, CSPM/CNAPP, DLP/DDR e observabilidade para elevar governança técnica e eficiência operacional em escala.

Também estruturo programas robustos de Continuidade de Negócio e Recuperação de Desastres (ISO 22301), com definição de cenários de risco, arquiteturas resilientes, backups imutáveis, air-gapped e playbooks de crise. Atuo com TPRM para assegurar continuidade e disponibilidade de serviços críticos, mesmo sob pressão ou interrupções severas.

Tenho forte especialização na mitigação de riscos de Inteligência Artificial ofensiva, estabelecendo políticas e padrões de governança de IA segura, ciclos Secure AI/ML, red teaming de modelos, proteção contra prompt injection, data poisoning e abusos de LLMs. Implemento guardrails, segregação de dados, rotulagem de conteúdo e mecanismos de detecção de deepfakes, alinhando inovação ao compliance e ao apetite de risco corporativo.

No domínio técnico, lidero programas estruturados de hardening e redução de attack surface, considerando CIS baselines, AD hardening, cloud IAM de granularidade fina, gestão de segredos, políticas de segurança em containers e Kubernetes, SBOM e supply chain security. Sempre trabalho com priorização baseada em risco + impacto para maximizar ROI em segurança.

Sou reconhecido pela habilidade de traduzir riscos cibernéticos em linguagem executiva clara e orientada à tomada de decisão. Construo roadmaps estratégicos que integram pessoas, processos e tecnologia, sustentando o crescimento seguro, a continuidade e a confiança digital.

Minha liderança equilibra competências técnicas com soft skills essenciais ao contexto executivo: comunicação assertiva e não violenta, influência, negociação, gestão de conflitos, formação de talentos e criação de ambientes colaborativos e de alta performance.

Possuo experiência consolidada em LGPD, GDPR, ISO 27001 e ISO 27701 (incluindo atuação como DPO), além de domínio de frameworks como NIST CSF, CIS Controls, COBIT, ITIL, PMBOK, SCRUM, ISO 22301, ISO 31000, ISO 38505 e ISO 42001. Atuo ainda em ecossistemas corporativos como SAP, TOTVS, Oracle, Sankhya e SQL. Também exerço liderança institucional como Presidente dos Comitês de TI e LGPD de Piracicaba/SP, membro do Business Leaders (grupo restrito de CIOs do Brasil), APDados, Instituto de Defesa Cibernética e govDADOS.

Estou à disposição para contribuir com estratégias corporativas que exijam visão executiva, maturidade técnica, governança sólida e compromisso com a construção de um ambiente seguro, resiliente e orientado a resultados.

ISH TECNOLOGIA/VISION CYBERSECURITY (09/2024 a atual) São Paulo, SP, Empresa Nacional de prestação de serviços especializados de Segurança da Informação, GRC e CyberSegurança

Security Advisor – Reporte: Diretoria Defense Cyber Operations

• Estratégias de Segurança, Gestão de Riscos e Resiliência Organizacional: Desenvolvo e conduzo estratégias corporativas de Segurança da Informação integradas ao planejamento estratégico, ao modelo de governança, à Gestão de Riscos Empresariais (ERM) e aos Programas de Continuidade de Negócio (BCP/DRP). Realizo avaliações estruturadas de riscos cibernéticos, maturidade, exposição e capacidades de resposta, definindo Roadmaps de mitigação e resiliência sustentados por métricas como RTO/RPO, impacto operacional e apetite a risco. Lidero ciclos contínuos de gestão de vulnerabilidades, auditorias de segurança, análises de postura e revisões de arquitetura. Sustento diretrizes modernas como Zero Trust, Hardening baseado em CIS/NIST, segmentação, redução de superfície de ataque e governança de identidades, garantindo uma operação segura, resiliente e alinhada aos objetivos corporativos.
• Advisory Executivo e Consultoria Estratégica em Cibersegurança: Atuo como Trusted Advisor de Board, C-Level e áreas-chave de negócio, traduzindo riscos cibernéticos e tecnológicos em linguagem executiva para orientar decisões sobre investimentos, priorização, trade-offs, resiliência e inovação segura. Ofereço consultoria contínua em segurança, apoiando decisões estratégicas em cenários de expansão digital, IA, cloud, automação e integração de ecossistemas. Antecipando ameaças emergentes, posiciono o negócio com recomendações proativas baseadas em tendências globais, inteligência de ameaças, riscos regulatórios e mitigação de riscos de IA ofensiva, incluindo proteção contra data poisoning, model tampering, prompt injection, engenharia reversa de modelos e fraude sintética.
• Gestão Integrada de Incidentes, Crises e Recuperação Operacional: Estruturo, evoluo e opero programas corporativos de Resposta a Incidentes e Gestão de Crises, coordenando stakeholders técnicos e executivos — TI, negócio, jurídico, comunicação e compliance. Conduzo operações para reduzir impactos financeiros, regulatórios, operacionais e reputacionais, aplicando práticas de análise pós-incidente, investigação forense, CTI, e evolução contínua de controles. Implemento tabletop exercises, simulações avançadas e testes de continuidade, garantindo prontidão organizacional em cenários de ransomware, falhas críticas de fornecedor, interrupções de infraestrutura, ataques de IA adversarial e eventos de indisponibilidade. Meu foco: velocidade de resposta, recuperação confiável e continuidade do negócio sem interrupções críticas.
• Operações de Segurança, Zero Trust, Monitoramento e Hardening de Ecossistemas: Supervisiono operações de segurança e monitoramento em tempo real por meio de SOC, automações, inteligência de ameaças e pipelines avançados de detecção e resposta (SIEM, SOAR, EDR/XDR). Estruturo programas de Zero Trust com ênfase em identidade como perímetro, privilégio mínimo, microsegmentação e validação contínua. Conduzo iniciativas robustas de hardening em ambientes on-premise, cloud, redes, identidades, aplicações e endpoints, reforçando postura defensiva e aderência a frameworks como NIST CSF, CIS Controls e ISO 27001. Além disso, lidero programas de conscientização, governança de comportamento digital e cultura de segurança, fortalecendo a maturidade do usuário final e a resiliência humana — o elemento mais crítico na proteção dos ativos estratégicos.

PRIME COMPLIANCE (03/2010 a atual) São Paulo, SP - Empresa Nacional de prestação de serviços especializados em GRC-Governança/Riscos/Compliance, DPO, transformação digital/inovação, análise forense e inteligência

Gerente de GRC - reporte: Associate

• Implantação Estratégica de Soluções de Segurança e Adequação Arquitetural: Lidero programas estratégicos de implantação e evolução de Security Operations, incluindo a estruturação e maturação de plataformas SIEM/SOC, arquiteturas de defesa e ecossistemas integrados de segurança. Atuo assegurando total alinhamento entre os controles implementados e os objetivos corporativos, políticas de segurança e direcionadores de risco. Conduzo análises avançadas de requisitos, avaliações de vulnerabilidades, testes de invasão e investigações técnicas, garantindo que decisões sejam guiadas por riscos reais e priorização executiva. Com a vigência da LGPD, desempenho também funções de DPO, estruturando governança de privacidade, adequação regulatória e programas personalizados de proteção de dados, alinhados às melhores práticas internacionais.
• Gestão Executiva de Incidentes, Forense e Auditoria de Segurança: Conduzo investigações completas de incidentes cibernéticos, assegurando coleta estruturada de evidências, análises forenses e correlação avançada de eventos. Desenvolvo políticas corporativas de segurança, coordeno auditorias internas e externas, e produzo relatórios executivos com recomendações estratégicas de mitigação. Lidero times multidisciplinares em atividades forenses e auditorias de TI, garantindo integridade, rastreabilidade e conformidade com legislações e padrões como LGPD, ISO 27001 e CIS Controls. Atuo integrando áreas críticas como jurídico, compliance, TI e negócio para fortalecer a resiliência operacional.
• Governança Integrada, Riscos e Compliance (GRC): Fui responsável por garantir a efetividade dos programas de Governança, Risco e Compliance (GRC), com forte foco na aderência regulatória — especialmente às normas e expectativas do Banco Central do Brasil (Bacen) — e na difusão de uma cultura organizacional pautada por ética, responsabilidade digital e gestão consciente de riscos. Estruturei e evoluí frameworks de risco e compliance alinhados aos referenciais regulatórios e às melhores práticas de mercado, assegurando conformidade com normas como LGPD/GDPR, ISO 27001 e 27701, PCI DSS e CIS Controls, bem como com as diretrizes prudenciais e de governança exigidas pelo Bacen. Realizei análises detalhadas das obrigações legais, riscos regulatórios e riscos operacionais, traduzindo requisitos normativos em controles práticos, processos auditáveis e indicadores de risco.

Desenvolvi e executei programas estruturados de capacitação — incluindo trilhas de aprendizagem, palestras executivas e iniciativas com gamificação — com o objetivo de elevar o nível de maturidade em risco, compliance e segurança da informação, promovendo engajamento sustentável das lideranças e das equipes.

Realizei o monitoramento contínuo do ambiente regulatório, avaliando impactos de novas resoluções, circulares e comunicados do Bacen, bem como de normas internacionais, e conduzi a implementação das atualizações de forma planejada, integrada e orientada a risco.

Como resultado, contribuí para o fortalecimento da governança corporativa, ampliei a capacidade de resposta a riscos regulatórios e operacionais, reforcei a proteção de dados e os controles de segurança, além de gerar impactos positivos nos resultados estratégicos do negócio, inclusive apoiando o crescimento de faturamento de forma sustentável e em conformidade regulatória.

• Gestão do Ciclo Completo de Projetos Estratégicos de Segurança e Governança: Lidero a gestão integral do ciclo de vida de projetos complexos, desde a identificação de necessidades de negócio até a entrega, sustentação e monitoramento pós-implementação. Utilizo metodologias como PMBOK, Prince2 e referenciais ISO (9001, 22301, 27001, 31000), garantindo consistência e governança em infraestrutura, segurança digital, privacidade e continuidade. Estruturo planos abrangentes, cronogramas executivos, orçamentos otimizados, recursos críticos e métricas de sucesso, assegurando entregas dentro dos padrões de prazo, orçamento e escopo — sempre alinhadas à estratégia corporativa, compliance e resiliência digital.
• Liderança Executiva, Gestão de Times e Transformação Digital: Lidero equipes multidisciplinares com até 20 profissionais, promovendo uma cultura de confiança, colaboração e alta performance. Minha atuação combina liderança estratégica, comunicação clara e capacidade de adaptação diante de ambientes voláteis, garantindo alinhamento entre áreas e aceleração das entregas. Sob minha liderança, projetos superaram expectativas iniciais, ampliaram retorno sobre investimento (ROI) e impulsionaram avanços significativos em inovação, eficiência operacional e segurança digital. Contribuí diretamente para consolidar a posição de mercado da Prime como referência em inovação, integridade digital e soluções de segurança de alto impacto.

SEMCON (02/2012-03/2022) Piracicaba, SP - Empresa Nacional de serviços especializados na gestão contábil

Gerente de TI - reporte: Diretor Operacional

• Governança de TI, Segurança da Informação e Proteção de Dados: Estruturei e implementei políticas corporativas de Governança de TI e Governança de Dados, definindo critérios, parâmetros de controle e direcionadores essenciais para Segurança da Informação, conformidade e resiliência operacional. Desenvolvi um modelo de governança baseado em normas regulatórias vigentes (como LGPD e ISO 27001), instituindo ciclos periódicos de auditorias, definição clara de papéis e responsabilidades em exercícios de simulação de ataques, classificação de vulnerabilidades e protocolos de capacitação contínua para colaboradores em uso seguro de TICs e proteção de dados pessoais. Essas iniciativas elevaram significativamente a maturidade de segurança, reduziram custos operacionais, fortaleceram a confiança dos stakeholders nos processos contábeis e garantiram zero despesas com recuperação de incidentes, consolidando a Semcon como referência em gestão contábil moderna e segura.
• Automação, Eficiência Operacional e Evolução da Cultura Digital: Liderei a automação de processos críticos ao implementar RPAs estratégicos, transformando operações manuais — com destaque para SPED Fiscal, Contribuições e eSocial — em processos inteligentes, parametrizados e auditáveis. Conduzi a mudança cultural de uma abordagem operacional baseada em inputs para um modelo orientado à análise crítica, auditoria contínua e visão "As Is / To Be". Implementei também soluções avançadas para cruzamentos tributários e previdenciários, permitindo detecção antecipada de inconsistências e riscos. Essa transformação resultou em equipes mais qualificadas, que evoluíram de executores para consultores, e em forte redução de falhas operacionais. Estruturei a base de automações que tornou a Semcon um case de estudo nacional no PQEC e contribuiu diretamente para a implantação da ISO 9001. Além disso, introduzi Gestão de SLAs e Gestão à Vista, definindo critérios no Plano Diretor de Tecnologia e Inovação para assegurar alinhamento estratégico entre investimentos e demandas do negócio. Com dashboards de BI em tempo real, a tomada de decisão tornou-se mais ágil, precisa e orientada a resultados.
• Auditorias Internas, Análise de Riscos e Conformidade em Segurança: Liderei auditorias internas com foco em Segurança da Informação, assegurando conformidade com regulamentações, normas e melhores práticas, além de reforçar controles e identificar vulnerabilidades críticas. Atuei como referência técnica e estratégica para a diretoria, analisando cenários de risco, consolidando relatórios executivos e recomendando medidas de mitigação que fortaleceram a proteção de dados, a segurança do ambiente tecnológico e a governança corporativa. Minha atuação proativa contribuiu de maneira decisiva para embasar decisões estratégicas e reforçar a postura de segurança organizacional.

IBM (10/2008-02/2010) Hortolândia, SP - Multinacional Americana de soluções de TI

Team Leader IAM - reporte: Diretor de IAM/SARM

• Implementação da Metodologia Lean GDF, Upskilling e Eficiência Operacional em IAM/SARM: Atuei como líder na adoção conjunta da metodologia Lean GDF, estruturando com a equipe de IAM/SARM a base de informações que sustentou os Planos de Desenvolvimento Individual (PDIs) de 113 colaboradores. Esse trabalho direcionou metas de upskilling — incluindo aumento de 40% da capacidade técnica por semestre e elevação de 30% da produtividade anual — e demonstrou, com clareza, como os processos de Identity and Access Management (IAM) e Security Access Risk Management (SARM) contribuíam para eficiência operacional e eliminação de desperdícios. Conduzi ações estratégicas para fortalecer a cooperação entre os membros da equipe, garanti comunicação transparente sobre as novas práticas e assegurei alinhamento contínuo com os objetivos corporativos. Como resultado direto, a produtividade subiu 30%, a qualidade dos entregáveis evoluiu 40% e a interdisciplinaridade fortaleceu as competências técnicas e criativas do time.
• Liderança de Equipes de Administração de Servidores e Suporte, Foco em Coesão, SLA e Gestão Colaborativa: Liderei as equipes de Administração de Servidores e Suporte, estruturando e priorizando as demandas dos projetos de IAM com foco na manutenção de uma equipe coesa e orientada à alta performance. Adotei metodologias de liderança inclusiva e colaborativa, o que criou um ambiente favorável à inovação, ao engajamento e à eficiência operacional. Desenvolvi cronogramas detalhados e planos de ação consistentes, elevando significativamente a satisfação do cliente. Monitorei métricas de compliance e SLAs para contas estratégicas da IBM, introduzi práticas avançadas de mitigação de riscos por meio de ferramentas de monitoramento e atuei como facilitador em situações de conflito, promovendo um clima de trabalho cooperativo e saudável — fatores decisivos para consolidar um time altamente engajado e voltado a resultados expressivos.
• Auditorias, Gestão de Riscos e Capacitação Técnica em IAM: Conduzi auditorias e avaliações de risco em múltiplos clientes da IBM, liderando iniciativas que asseguraram a conformidade com normas de segurança da informação e regulamentações específicas de cada ambiente corporativo. Treinei equipes internas sobre melhores práticas de IAM garantindo a aplicação consistente desses padrões nas contas sob nossa gestão. Mantive atuação contínua orientada à melhoria permanente, à proteção dos ativos digitais e ao fortalecimento da postura de segurança das organizações atendidas, contribuindo diretamente para decisões estratégicas, mitigação de riscos e reforço da governança em ambientes críticos.

• Pós-graduação em Comportamento Humano, Centro de Mediadores - 2026
• Pós-graduação em Cibersegurança e Governança de Dados, PUC-Minas - 2025
• Pós-graduação em Direito Digital e LGPD, PUC-RS - 2024
• Graduação em Ciência da Computação, Escola de Engenharia de Piracicaba - 2001