September 10, 2025 • 52 mins
A era quântica deixou de ser ficção científica e já começa a mexer com a segurança digital de empresas no mundo todo. No novo episódio, recebemos Leonardo Carissimi, líder de Cibersegurança e Privacidade da Capgemini Brasil, para falar sobre criptografia pós-quântica e criptoagilidade, trazendo dados e insights do estudo global “Futuro Criptografado”. Conversamos sobre como organizações brasileiras e globais estão se preparando para o “Dia Q”, quando computadores quânticos poderão quebrar a criptografia atual, e quais tendências devem moldar a cibersegurança em 2025 e além. Descubra por que 70% das empresas já planejam adotar soluções de segurança quântica, como diretrizes regulatórias estão guiando essa transição e o que você precisa saber para enfrentar os próximos desafios digitais.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:00):
e
Olá, pessoal.
Sejam muito bem-vindos a mais um episódio de ABC Cop's Podcast.
Eu sou Cássio Pereira.
Como vocês podem ver, hoje só não é um episódio solo, porque temos um convidado muitobacana aqui hoje que vai bater papo com a gente.
Já, já vou apresentar e falar sobre ele, falar sobre o tema de hoje também.
Mas quase seria episódio solo, porque os dois cidadões, Cidadãos, Marcos e Ben Hur, maisuma vez não vêm trabalhar.
(00:24):
O salário está dia, está tudo pago, mas os caras vão fazer reunião de trapalho.
como se o trabalho fosse mais importante do que gravar o podcast aqui com a gente.
Mas enfim, é tanto que eu estou de camisa nova, o Deve Ser Cosmo Podcast, porque só adiretoria tem esse tipo de camisa, os integrantes vagabundos, esse é o nome que lhe dá
para esses integrantes, não vieram participar aqui hoje que temos um convidado superespecial.
(00:46):
Antes de falar do nosso convidado, lembrar que o Deve Ser Cosmo Podcast tem o suporte daNova 8 e da SNIC, que a Nova 8 é distribuidora da SNIC oficial no Brasil, você vai
encontrar o link da Nova 8 e da SNIC lá no nosso site, devesercosmopodcast.com.
e também na descrição do vídeo do YouTube.
Lembrar que a gente tem também parceria com a Purple Bird Security, então se você temalgum incidente segurança, não sabe o que fazer, cabelo pé, bate papo com pessoal da
(01:10):
Purple Bird que eles vão te ajudar com certeza.
E também não se esqueça da DigitalWall, que tem portfólio completo de soluções deApplication Security, e a Goal Security vai te ajudar com os serviços de Application
Security.
Bom...
falar dos nossos parceiros, nossos colegas e suporters, vamos falar pouquinho hoje sobre otema de hoje.
O tema de hoje é tema bem interessante, eu gosto desses temas que eu não sei nada, porqueaí eu vou ter que perguntar mais ainda para o convidar.
(01:35):
Então eu acho que algo bem bacana.
E hoje a vai falar com o Leonardo Carissimi, que se dispôs a bater papo aqui com a gentehoje.
Leonardo, primeiro de tudo, obrigado pelo teu tempo, obrigado pela disponibilidade.
Acho que ninguém melhor do que você mesmo para se apresentar para as pessoas.
Então se apresente aí, fique à vontade.
E assim que você falar pouquinho sobre você, o que você é, de onde você vem, para ondevocê vai, aquela coisa toda, a mergulha de cabeça no tema computação quântica e
(02:03):
pós-quântica.
Olha que loucura, cara.
Já vamos falar sobre isso hoje.
Mais uma vez, Leonardo, bem-vindo ao Deve Ser Cosmo Podcast.
o maravilha, Cassio.
Bom demais estar aqui.
Bom dia, boa tarde, boa noite.
Acho que esse é o caminho.
Então, eu sou Leonardo Carissimi e atualmente eu sou diretor da prática de Cyber Securityda Capgemini no Brasil.
Há seis anos eu estou nessa posição.
(02:26):
termos de mercado, já estou naquele momento que começa a ser constrangedor de dizer quantotempo de mercado que a gente tem.
Eu estou com 30 anos, feito agora agosto.
Desde ali do inicinho da internet comercial já...
já falando de segurança cibernética, com todos os nomes diferentes que teve ao longo docaminho, desde essa época.
E sempre aprendendo bastante.
O que é fascinante na nossa área é que sempre tem desafio novo, alguma coisa nova paraaprender.
(02:49):
E a bola da vez, agora passado, o tema de AI, dizer, passado, a gente continua trabalhandobastante com projetos na parte de segurança AI, nas diferentes vertentes, mas digamos que
termos de novidade, talvez agora a bola da vez é...
Pós-quanto criptógrafo, A criptografia é da computação pós-quante.
(03:11):
Boa Leonardo, cara, prazer ter você aqui e eu antes de trabalhar com SEC eu fuidesenvolvedor por uma década também já tenho meus 20 anos aí na área e eu quase pus
pezinho na Capgemini na época, faz muito tempo, acabou não dando certo, pra acabarescolhendo outro caminho, mas enfim, a Capgemini bem bem conhecida no mercado como todo né
(03:31):
e legal ter alguém de suma importância pra falar com a gente sobre o tema porque esse denovo esse é tema que pouca gente fala sobre isso, quântico e pós-quântico
Talvez eu que estou bem envolvido na parte técnica, eu só ouço falar disso ou eventosmuito específicos de SEC ou na área acadêmica.
Eu dou aula algumas universidades, na área acadêmica a vê pouco mais disso, porque tempesquisa, tem umas coisas muito avançadas, isso talvez não seja algo tão acessível para o
(03:57):
público.
Mas vamos lá, eu queria começar então perguntando o que é essa computação pós-quântica, oque talvez seja computação quântica e pós-quântica?
Por que a gente está falando sobre isso agora?
Por que esse tema é relevante?
Por você falou a bola da vez?
Eu ainda estou fazendo o desenvolvedor rodar scan no código ainda, Ainda estou lá atrás,assim, né?
Então, fala pouquinho pra gente, seta aí pouquinho as expectativas do pessoal.
(04:20):
Não, Ito, sabe, Casca, assim, acho que esse talvez seja o grande desafio, né?
A gente olhar para o que está para vir daqui a cinco, dez anos, enfim, vamos falar maissobre isso, mas obviamente ninguém sabe o prazo.
Olhar para isso ao mesmo tempo que tem que continuar fazendo o básico bem feito, né?
Não adianta eu querer falar de como é que eu vou ter, estar utilizando um algoritmo dequantum safe, etc.
(04:45):
tal, se eu não faço uma gestão de vulnerabilidade adequada.
Ontem mesmo,
Só comentando um assunto similar, mas não exatamente cima de quantum computing, clienteprocurou a gente para falar de SOC, operação 24,7, etc.
Mas a empresa tinha certo nível de maturidade que a gente sentiu no momento da conversaque não fazia sentido estar falando disso, que tinha coisas mais básicas.
(05:09):
Então, a gente direcionou a conversa e acabou que no final das contas acho que fez sentidopara eles.
Gestão de vulnerabilidade bem feita, gestão de credenciais bem feita.
Depois disso, gente fala de soco e no segundo tempo, então construiu uma jornada.
Então, sem dúvida, o desafio que você falou continua sendo super válido.
O que está acontecendo hoje, o que a gente come no café da manhã, no almoço, no jantar,são as questões básicas, vamos dizer assim, muito focadas em gestão de vulnerabilidade,
(05:37):
resposta incidente, muita coisa que em outras sessões aqui do podcast já foi bastantediscutido.
Mas também acho que a provocação importante aqui é a seguinte.
Vamos começar a olhar para frente, porque nós no mercado de segurança, tem um históricoimportante do tempo que leva para fazer a substituição de algoritmo de criptografia.
(06:00):
Tem cliente nosso hoje, Banco Grande no Brasil, que dentro do ambiente deles ainda temaquele algoritmo DES, que é coisa de 10, 12 anos atrás, foi considerado inseguro e
recomendada a troca.
Mas ele está falando sistema legado, mainframe isso, mainframe aquilo.
a aplicação manualística, etc.
Se construir uma série de, vamos dizer, controles de segurança ao redor, obviamente paramitigar o risco, mas o algoritmo que ali no meio segue o mesmo, passados 10, 12 anos, para
(06:29):
trocar algoritmo.
Agora, imagina evento desses assim, o quantum day, como se chama, A partir do momento queexiste um computador, computação quântica suficiente para quebrar uma criptografia nossa
atual.
Não vai ser para algoritmo, vai ser para todos.
Imagina trocar todos de uma grande organização.
Não é trabalho rápido.
(06:50):
Por isso que a gente tem que começar a pouquinho na frente, na frente, curva, identificar,começar a identificar os riscos e começar a tratar tudo isso.
Mas enfim, então, sobre a computação quântica si, antes de chegar na questãocriptográfica, começar pouco ali mais do básico, então a gente está falando de...
ter alternativas computacionais diferentes que a gente tem hoje, computador clássico alique é 0-1, utilizando tecnologia quântica que vai ter um conjunto praticamente infinito de
(07:22):
estados, vez de 0-1 é praticamente conjunto infinito de estados.
Isso dá poder computacional gigantesco, não é para qualquer aplicação, pelo menos dentrodo entendimento que você tem hoje, não vou imaginar assim que eu vou estar usando o Excel
com computação quântica.
Tem algumas aplicações que é melhor o computador clássico mesmo.
Mas o ponto é que outras aplicações que manipulam volumes muito grandes de dados, fazemsimulações, etc.
(07:48):
Isso daí cai como uma luva.
E é justamente o espaço onde vive a criptografia.
Principalmente a criptografia assimética, aquela questão de multiplicar, fatorar doisnúmeros primos muito grandes.
Essa é a base dos algoritmos assimétricos.
Esse tipo de problema, que é grande desafio para computação clássica, mas...
quanto resolve rapidão.
(08:09):
esse acho que é desafio.
Tá pra vir, assim, eu falei, horizonte de tempo que ninguém sabe, várias projeçõesdiferentes que vamos dizer aí, 10, 15 anos, imagina que já exista.
E outro ponto que acho que é importante, caso para desmitificar pouco, assim, quer dizerque daqui a 15 anos eu vou estar usando iPhone com computador quântico, com processador
(08:33):
quântico.
A gente não precisa disso para ter grande problema, grande ameaça quântica para o mundonosso de cyber.
A precisa ter um computador em algum lugar do mundo que seja como eram os ENIAC lá nosanos 40, tamanho de uma sala, gigantesco e tal, pode ser só um, mas ele já vai fazer
estrago.
(08:54):
E seja lá quem desenvolver esse pode vender patentes, os planos para que seja replicado,enfim.
seja com objetivos geopolíticos ou financeiros, quais que querem que sejam as motivações.
pode criar um e multiplicar para alguns poucos.
(09:15):
Mas, de novo, você estar na mão de todo mundo para ser grande problema.
Enfim, acho que esse é o cenário que começa a se traçar.
E cara, você falou tanta coisa agora que eu queria puxar para todos os lados aqui, mas nãovou conseguir.
Vamos lá, vamos pegar alguns fios.
Eu acho que ponto legal que você comentou foi essa questão do o que vem por aí daqui 5,daqui 1 ano, daqui 5 anos, daqui 10 anos.
(09:41):
E é importante ter essa preocupação porque tem alguns ditados em segurança que diz que sócripto salva.
Você pode falar segurança que for.
No fim das contas, se cara te hackear, se o cara te invadir, a criptografia te salva,porque os dados são criptografados, no fim das contas cara não vai conseguir acessar.
Com essa história muda tudo, agora nem cripto salva.
(10:03):
Agora, como você comentou muito bem, uma vez que computador desse, com esse podercomputacional esteja disponível, foi por água abaixo qualquer criptografia que a gente,
qualquer criptografia forte, vamos falar assim, a gente sabe que tem monte de algoritmo jáfraco, quebrado, enfim, isso é uma questão interessante.
E aí a próxima pergunta talvez seria nesse sentido, nesse ponto que você comentou.
(10:27):
Como é que a gente olha para frente então?
Hoje eu tenho uma especialidade muito forte apps, é que deve ser copia.
é muito, talvez muito óbvio para mim os eventos que eu participo, o material que euconsumo, que tipo de pesquisa que eu tenho que olhar.
Então eu sei onde vai estar ali as coisas relevantes para mim.
Mas agora banco da vida.
que você comentou bem, você falou de mainframe.
(10:48):
Eu trabalhei uma época na Serasa, Experian, trabalhei alguns bancos do Brasil.
Todos têm mainframe até hoje.
Aonde essa galera vai buscar esse tipo de tecnologia, não necessariamente a tecnologia emsi, mas onde eles vão buscar informação para ele falar, cara, daqui a dez anos eu preciso
estar preparado.
Como é que eu olho para isso?
Eu tenho que chamar o Leonardo ou tem algum jeito de me antecipar a isso?
(11:13):
Esse tema ainda é bastante nichado termos de discussão, existem conferências, se vocêcomeça a pesquisar tem bastante material.
De novo, tirar pouco o grau de nossa, que coisa mais futurista.
Se você entrar hoje site, por exemplo, Microsoft, uma AWS, você vai ver que lá na nuvemdeles já existem implementações pós-quantum, algoritmos que são quantum safe, já dessa
(11:39):
nova geração.
Já está disponível.
que ano passado o NIST, nosso querido NIST lá dos Estados Unidos, ele padronizou quatroalgoritmos e esses algoritmos uma vez padronizados e definidos já começaram a ser
implementados por alguns fabricantes do mercado.
Então, já começa a estar disponível.
Mas talvez assim, talvez não.
Muito antes de pensar estar implementando isso, é importante conhecer o ambiente atual.
(12:03):
Você falou ali do mainframe, legada, etc.
Tanto que as etapas iniciais que a gente vê o mundo inteiro,
fazendo, inclusive alguns clientes aqui no Brasil, é começar nessa questão, famosoassessment, onde é que estou nessa história toda.
Voltando para as questões muito básicas e importantes, tem conceito importante que é oseguinte, um inventário de algoritmos criptográficos.
(12:30):
Você falou então do mundo de desenvolvimento.
Como desenvolvedor, você ao longo da vida construiu várias aplicações usando bibliotecasque tinham algoritmos criptográficos.
Então, imagina a grande empresa, a quantidade disso que tem por aí.
Algoritmo aqui, algoritmo ali, diferentes implementações do mesmo algoritmo e diferentesalgoritmos.
Quem sabe aonde está o estudo hoje?
(12:52):
Ninguém.
Isso toca também tema de governança muito importante.
aí, novo, o pessoal de desenvolvimento tem que saber quais são os algoritmos que devemcomeçar a usados daqui para frente.
O pessoal de arquitetura deve definir alguma coisa.
Pessoal de gestão de chaves e certificados, pessoal de gestão de risco.
(13:13):
a governança desse processo todo, a galera de infraestrutura que faz ali a gestão, aadministração, enfim.
a construção de uma governança disso tudo é uma das coisas mais importantes para começar.
É começar a construir isso, não precisa necessariamente ser novo departamento, óbvio, podeser só chapeuzinho a mais para alguém, Mas começar a ter papéis e responsabilidades claras
(13:36):
para saber onde é que...
O dia que eu entro nessa história toda, eu como desenvolvedor, eu como arquiteto, eu comocara de compras que vou fazer uma RFP que vai abrir para comprar novos roteadores, eu já
deveria de alguma forma considerar que esse é requerimento.
Ou alguém do legal, que na hora de começar já fazer contrato com o terceiro, já tem quecomeçar a pensar cláusula disso, assim como já temos cláusula de segurança, temos cláusula
(14:03):
de privacidade, e botar alguma coisa nesse sentido, incluir alguma coisa nesse sentido.
papel e responsabilidade para todo mundo.
questão é começar a definir isso, fazer uma governança cima disso, começar a construiressa governança toda.
E aí, a partir desse guarda-chuva, vai endereçando o que cada tem que fazer.
Por exemplo, alguém é responsável pela definição dos nossos padrões, alguém é responsávelpor fazer o tal do inventário e por aí vai.
(14:27):
E aí, a questão das informações, onde é que eu pego informação sobre isso, na realidade,dependendo de qual é o seu chapéu nessa história toda, seu papel e responsabilidade, você
vai precisar mais ou menos informação.
mais especializada, menos especializada, enfim, e aí busca de acordo com o papel definido.
Mas eu acho que já dá pra dizer que tem um conjunto relativamente abundante de informaçãoaí.
(14:49):
Óbvio, não é tema mainstream.
A gente fez a pesquisa, Capgemini fez a pesquisa agora, foi publicada início de julho,justamente pra agregar nesse processo, conscientização, acho que gente está num grande
trabalho de conscientização.
agregar nesse processo, globalmente falando, não é só Brasil, começar a caminhar nessajornada porque são processos todos morosos, questão da governança, todos inventários, etc.
(15:20):
Isso a gente está falando de vários anos.
E as regulamentações que existem, que estão começando a surgir ao redor do mundo, elastambém têm prazos relativamente dilatados, olhar lá 2027, 2028, nada é para amanhã, mas
tem que começar a olhar.
E você comentou da pesquisa, eu tenho alguns dados aqui que eu anotei, que fala nesseponto que você comentou, você falou do NIST, e eles comentam que 68 % das empresas, das
(15:50):
organizações entrevistadas, eles veem essas diretrizes obrigatórias como NIST, talvezoutras organizações, o NIST talvez seja bom direcionador, até como fonte de estudos e
práticas lá, como ferramentas importantes para essa transição.
Justamente, você se apoiar alguém que vá te suportar nesse contexto.
Então, é que eu busco isso?
(16:10):
Quais são os algoritmos que eu tenho que usar?
Quais são os aprovados?
Ou quais não são?
Enfim, talvez usar nesse contexto aí, niste e outras ferramentas.
Eu não sei se a WASP tem alguma coisa com relação a depois vou dar uma olhada nadocumentação deles também, porque eles sempre estão postando algumas coisas com relação a
isso.
Mas talvez minha dica aí para os times, complementando o que você falou, seria isso.
(16:30):
Olhar para esses...
não necessariamente players, mas essas bússolas, esses caras que sempre nos guiando comstandards, que eles vão com certeza ter alguma coisa de uma maneira ou de outra.
E acho que você também chegou a pincelar tema importante, Conferências.
Eu sou grande fã de eventos e conferências geral, acho que para networking, aprendizado,não tem nada melhor, que você vai conseguir bastante suporte também.
(16:58):
E aí, indo para o próximo passo aqui, para nossa próxima tópica, eu diria,
Você comentou muito bem de governança.
eu vejo os times de desenvolvimento...
Eu sei que foi a culpa do desenvolvedor, coitado, mas nem sempre a culpa é dele.
Mas vamos lá.
No fim das coisas, ele é funcionário que está obedecendo.
Então, as organizações hoje ainda sofrem muito para fazer uma simples governança debibliotecas de terceiros.
(17:23):
O Log4j está aí há dois, três anos atrás.
Está perdido agora.
O Log4j está aí para não deixar a gente mentir.
Deu boom lá...
Ninguém nem sabia se usava, parou de funcionar, por quê?
Porque tem lá o Log4j versão tal que tá vulnerável, tá sendo explorado, o cara nem sabiaque tava usando.
Então assim, pessoas não têm...
As empresas têm dificuldade hoje de fazer uma simples governança de IP e Leoteca deterceira.
(17:44):
O que qualquer ferramenta de SAA Open Source resolve isso pra gente hoje, de uma forma vai90 % resolvido.
Roda lá o scan, vai criar catálogo pra você, você mantém isso atualizado, vai fazer osupgrades necessários ou não vai fazer, enfim.
Mas você tem ali um catálogo, Ter o catálogo é talvez
um dos passos ou outro identificar os programas nessas bibliotecas.
(18:04):
E aí você trouxe ponto agora que eu lembro que lá no Microsoft SDL, se eu não me engano,processo que a Microsoft tinha criado, acho que ainda está público, ainda faz tempo que
não vejo, tinha lá uma etapa.
Olha, na fase de design do seu desenvolvimento, na fase de arquitetura, você tem quedefinir algoritmos de criptografia que você vai utilizar.
Você vai precisar usar os WariSenha, lidar com informação sensível.
(18:26):
Como que você vai cryptografar isso?
Esse é o momento de você definir o algoritmo.
Eu vou usar RCA, vou usar um Shadow A5-6, vou usar o NeoVue SG.
Tá, eu estou usando o Base64.
Isso.
Usa o algoritmo Base64 para a cryptografia, entre aspas.
Tem um momento até sugerido já no desenvolvimento de você parar.
(18:49):
Pera, vou precisar lidar com informação sensível e cryptografia.
Que algoritmo eu vou utilizar?
E aí as pessoas, as empresas, tem uma certa dificuldade com isso.
Talvez minha pergunta agora seja, você também vê essa dificuldade nas empresas, clientes,enfim, ao longo da tua carreira?
Se sim, por que você acha que tem essa dificuldade?
É má vontade?
(19:09):
É budget?
É falta de conhecimento?
É negligência?
É o quê?
Como é que você enxerga isso?
Ou não, eu tô falando besteira.
Eu acho que talvez isso que agora está ficando evidente, a necessidade por conta da ameaçaquântica, como a gente está falando, é problema de décadas.
(19:29):
Há décadas, cada que está desenvolvendo o sistema, como você falou, assim, aqui eu voucolocar esse algoritmo que acho que é suficiente.
E não tinha ali uma validação, alguém acompanhando, alguma coisa assim.
Talvez muito recentemente, alguns conceitos como Security By Design, pode ser que tinha umSecurity Champion dentro do Squared.
que agora olha e diz que esse é homologado pelo nosso ciso e tal.
(19:53):
Muito recentemente, talvez, estejamos com algum nível disso.
Se a gente olha 10, 20 anos atrás, obviamente, nada disso existia.
Então, era muita decisão de cada mesmo.
Acho que era um problema de governança de muito tempo, aliás, é problema de governança demuito tempo, e que talvez agora, por conta do novo cenário que está vindo termos de
(20:14):
ameaça...
está obrigando todo mundo a parar e dar uma olhada.
Não, espera, agora precisamos dar uma arrumada nessa casa também.
E nós todos vivendo uma grande jornada nas empresas, na nossa vida pessoal, e de cada vezestá atento a novos riscos que estão surgindo e aumentando cada vez mais a maturidade, a
postura de gestão de risco.
Enfim, talvez seja isso, tão simples quanto isso.
(20:35):
Não tinha antes ninguém olhando, não tinha uma cobrança, não tinha um processo, não tinhauma política.
E aí era, quando não existe esse contexto, vou concordar com...
Eu estou a brincadeira sobre não colocar a culpa sempre no desenvolvedor.
Quando não existe esse contexto todo e no final do dia o desenvolvedor acaba ficando comessa responsabilidade dele definir o que parece melhor.
(20:58):
E obviamente o que parece melhor para mim não o mesmo que parece para você, não o mesmoque parece para os outros.
E cada vai ali tomando sua decisão.
Isso no final das contas gera uma heterogeneidade muito grande também de algoritmos.
Seja por decisão do desenvolvedor.
Seja por época, porque 2020 o que estava disponível era tal coisa, 2017 era tal coisa,2015 era tal coisa.
Aí hoje tem, sei lá, 200 algoritmos diferentes, implementações diferentes, tendo aempresa.
(21:23):
Onde estão, quais são, qual o nível de vulnerabilidade que tem, esse é o trampo agora.
Precisa correr atrás disso.
Eu tive a oportunidade há 3 anos atrás, agora não lembro, 2, 3 anos atrás de ir na Índia,eu trabalhava numa empresa chamada ABB, ABB faz automação industrial, robôs, etc.
(21:44):
E tive oportunidade de na Índia, conhecer o laboratório, enfim, e a gente acabou visitandouma universidade lá, onde o lema do time específico que a conheceu lá era...
que gente sempre fala, jamais invente o seu algoritmo de criptografia, você só usa o queestá pronto, desenvolvedores não vão sair fazendo criptografia a torta de giz, que você
não sabe fazer, você não é criptógrafo matemático.
(22:04):
O trabalho desses caras era exatamente o contrário, era criar criptografia, criaralgoritmos novos, por quê?
A ABB patrocinava uma bolsa de doutorado para essa galera para criar algoritmos decriptografia capazes de operar em ambientes...
Eu não lembro a palavra exata, mas eu vou chamar de hostis.
Porque ele lidava com software que vai rodar controlando o sensor de uma usina nuclear.
(22:28):
Vai lidar com software que está operando num carro autônomo, num robô, ou seja, você nãotem memória infinita, você não tem processamento infinito.
Pelo contrário, tudo muito bem limitado, eu diria.
Então essa galera estava criando algoritmos específicos, sei lá que nome que era, quenível que era.
Eu estou bem no alto nível aqui para trazer pouco dessa experiência.
(22:49):
para essa conversa, acho que faz total sentido, né?
Onde, porque qual é o fim dessa pesquisa?
Economia de energia.
Então, se eu consigo criar algoritmos mais rápidos, onde eu tenho uma capacidadecomputacional muito limitada, num device ou num robô, aí você pensa robô numa fábrica que
tem 500 robôs, né?
Mil robôs.
A economia de energia daquela fábrica é muito grande, né?
(23:11):
Porque robô funciona com eletricidade, bateria de alguma forma, enfim.
Então, no fim das contas, essa pesquisa era para reduzir a energia.
Como é que...
que algoritmos criptográficos podem ajudar na redução do consumo de energia.
E aí você trouxe esse tema agora, eu fiquei pensando, cara, como ter umas preocupações queeu mesmo nunca fazia ideia desse tipo de preocupação.
E aí na tua fala inicial, trouxe também outro insight do sentido.
(23:34):
Você falou assim, tiver computador desse disponível daqui a pouco, pode ser o Cal, ou osternos perdidos, enfim.
Como foi a IA, hoje você cria os seus modelos, roda nas suas máquinas, tá?
É negócio muito mais popular ou mais acessível.
Mas no comecinho, era lá, tinha lá SAS, você botava os seus dados lá, ia ser processado evocê tinha resultado, mas o computador, o poder computacional você não tinha.
(24:01):
Talvez seja até uma pergunta tola.
Faz sentido isso?
Puxa, alguém vai ter computador quântico e vender isso como SAS, como um PAS da vida.
Você sobe lá o seu material, devolve o resultado,
Tem como isso?
Faz sentido ou não?
Volta aí os dados, criptografa aí pra mim, ou quebra aí pra mim essa criptografia.
Faz sentido isso?
Talvez algum ponto dessa história toda, porque se gente olhar hoje, boa parte dasorganizações criminosas fazem algo parecido com Hanson, vende os kits e a gente encontra
(24:28):
isso na dark web.
Então, isso aí, acho que é cenário plausível.
É difícil a gente dizer, cravar, que será assim ou não será assim, mas eu acho cenárioplausível.
Sabe, Iacos, eu gostei muito do você trouxe aí esse exemplo de automação industrial, issosem dúvida é uma área super relevante cyber hoje dia.
E tem esses desafios todos, o espaço memória muito mais limitado, a coisa toda ali numfirmware tem que ser mais otimizado, etc.
(24:56):
Acredito que como você trouxe, acho que dentro da BB na época tinha uma equipeespecializada criar algoritmos, não era, junta aí uma galerinha que gosta de segurança,
vamos fazer alguma coisa, Eram criptógrafos e tudo mais, desenvolvendo trabalho, segundomuito provavelmente padrões, etc.
tal.
Mas de qualquer forma num ambiente limitado.
(25:18):
Aí você vê, a eu estava falando de levar décadas para trocar algoritmo em software.
Você imagina em Harda.
Uhum.
Sat.
de carro autônomo, está saindo carro autônomo daqui a pouco?
Vulnerável, até trocar...
Imagina, fazer recode de carro porque tem que trocar algoritmos de hipografia.
(25:41):
É que não dê para atualizar remato por algum motivo.
Aí o dono do carro vai dizer assim, quando tiver algum problema eu vou lá.
IoT, essas lâmpadas inteligentes, interruptor inteligente que a gente tem casa,componentes chinês, super baratinho e tal.
Hum?
vai ser trocado?
Então, realmente, gente tem que lembrar também que o hardware é super relevante.
(26:03):
Eu dei exemplo antes da questão lá de processo de compra de roteadores.
Trocar parque de roteador, tudo bem, ninguém troca o parque inteiro de uma vez só, masacaba sendo por ciclos.
Mas acho que tipo da coisa que demora bastante já é naturalmente algo que precisa serolhado com atenção daqui pra frente.
Que eu vou fazer uma compra agora de alguns milhares de roteadores dentro de umaorganização grande, roteador, switch.
(26:26):
o que você quiser aqui você substitui usando o roteador como exemplo.
Eu já tenho que dar uma olhadinha nisso, né?
E mesmo que o fabricante que eu escolher não tenha nada hoje, eu tenho uma boa conversacom eles de qual é o roadmap, quando é que vai ter, como é vai ser feita a atualização,
precisa trocar o hardware e vai ser uma atualização remota via software.
Então esse tipo de conversa já precisa começar a rolar.
(26:47):
Porque a gente está falando de uma compra que eu vou ficar com esse equipamento 5, 10anos.
E pode ser que dentro desse período de tempo a gente tenha já o primeiro
primeiro exemplo lá que é o novo o Kill Day né o Quantum Day então é essa questão dehardware, IoT e automação é sem dúvida muito crítica nessa história.
(27:07):
boa e só rodar minha vinheta aqui para a nossa voz não cansar galera e aí dá uma calmadaaqui ó
O próximo passo, que é próximo etapa que eu queria abordar é o seguinte, como é que está,como é que a gente deveria pensar sobre isso com relação às próprias pessoas envolvidas
(27:29):
nisso, porque no fim das contas quem vai implementar, o algoritmo vai ser criado, enfim,alguém vai ter que implementar isso de alguma forma, na minha cabeça isso volta, a gente
olha para o desenvolvedor de novo.
Talvez um...
A gente comentou ali, vai ter armadinho de arquitetura, alguém vai definir, vai usar o A,o B, C, no fim das contas o pessoal fala, implementa.
(27:51):
Mas a gente sabe que no fim das contas a maioria das falhas software são por falhas deimplementação.
Como é que a tua visão com relação a essa capacitação de quem vai lidar com isso?
Porque o Joaquim que você falou, o Zezinho das Cove que tem uma lâmpada elétrica, sei lácara, nem sabe que isso existe.
(28:12):
Quem criou aquele produto e implementou aquilo, não nem falar de hardware, vamos ficar nosoftware mesmo.
Como é essa capaçação dos desenvolvedores?
Talvez quem está mais envolvido segurança, olha para isso, consegue ter algumas nuances.
Mas talvez para o desenvolvedor, que no fim das contas vai implementar muita coisa, elevai chegar a uma task para ele implementar o algoritmo X.
Ele baixa, faz o download e implementa.
(28:35):
Mas nesse nível, talvez na minha visão, tem que ter pouquinho mais de tempero.
Você está lidando com algo pouco mais complicado.
Assim como implementar uma simples task de, eu estou fazendo aqui um banco, uma coisa é euver o extrato, outra coisa é eu fazer o PIX.
Uma coisa é eu acessar a sua conta e ver o seu histórico, outra coisa é eu tirar odinheiro da sua conta, né?
É muito mais crítico.
Então, uma funcionalidade mais crítica, tem pouquinho, né?
(28:57):
Requeira pouquinho mais de atenção, naturalmente.
Isso também faz sentido.
E como é que você vê essa capacitação daqui para frente?
Tem que ter essa capacitação, vai ter uma outra profissão que vai fazer...
Como é que isso aí?
Eu acho que no final do dia é uma primeira grande etapa de conscientização todos osníveis, desde o nível executivo até o nível operacional, enfim, desenvolvedor.
(29:22):
Esse talvez seja o grande primeiro passo.
esse espaço aqui serve super bem para isso, pesquisa, movimentação que a gente começa aver no mercado serve bem demais para isso.
Começar a dizer que acho que o grande desafio do assunto é assim, todo mundo olha paraisso e pensa assim,
mega futurista, não é para agora.
(29:42):
E quando a gente pega e faz o cronograma de trás para frente, a gente vê, não, peraí, jáestá na hora de olhar, não vou dizer de novo que é desespero, tem que fazer para amanhã,
mas está na hora de começar a olhar.
setembro de 2025, a gente está conversando aqui, pô, orçamento de 2026 na empresa já estácomeçando a ser discutido, já vale considerar, coloca a mensagem, mesmo que não emplaque
(30:05):
para 2026.
Aí já coloca a mensagem para 2027, mas algo tem que começar a ser feito.
Não pode deixar a coisa para a última hora como muitas vezes a gente deixa.
Nós como sociedade.
Enfim, acho que grande ponto é a conscientização.
E uma vez talvez passada essa etapa, aí vai pouco para as capacitações maiscompartimentadas que eu falei antes.
(30:31):
Vai depender pouco do papel de cada um.
Vamos focar pouquinho no desenvolvedor.
É importante que o desenvolvedor tenha uma visão, primeiro, mais geral de riscos, aquelaquestão do security by design.
Na realidade, cryptografia, só a cryptografia salva, você falou antes, mas isso entradentro de contexto maior gestão de risco.
(30:52):
Tudo começa assim, eu vou desenvolver uma coisa nova, que dados isso vai manipular?
Isso aqui, agora recentemente, experimentamos bastante disso com mundo de AI.
Os primeiros projetos de AI eram tudo FAC.
sommelier que dava dica de vinho.
Tudo informação pública, sem muito estresse, vazar, vazou, sem mexer com o dado de clientee aí vai.
(31:16):
E todo mundo botando o pezinho na piscina assim.
Um atendimento ali ao cliente numa faca, uma coisinha mais de apoiar, uma escolha devinho, como é de novo o exemplo que eu estou dando aqui.
Mas à medida que o pessoal começa a entender pouco mais como funciona, quero resolverproblemas de negócio, está me dando resultado bacana e tal.
Aí a primeira coisa é a tá, vocês vão pegar onde é negócio, que dados que eu voumanipular?
(31:39):
A, B, C, que tipo de risco isso representa?
Ah, tem LGPD que aplica, é risco de negócio, é uma informação sensível para o negócio,etc.
tal.
Minimizar o máximo, a gente às vezes adora, quanto mais dados melhor, Tem uma máxima doBruce Schneier que já tem uns 10 anos aí que diz assim, os dados são tóxicos, né?
(32:01):
Então, assim...
mínimo possível.
Então assim, minimização.
Aí uma vez que identifique qual é o dado que realmente precisa, como é que é coletado,como é que é tratado, eu posso escolher o melhor algoritmo, que vai depender muito do caso
de uso.
Sabe que uma coisa importante que tem sido bastante discutida, e a gente na Capgemini temQuantum Lab lá na Europa, um trabalho bacana que os caras têm feito, é de benchmark dos
(32:27):
algoritmos.
Não adianta também eu pegar uma aplicação nova qualquer
está usando algoritmo baseado RSA, chega o tiro e coloca um algoritmo baseado Sphinx, édos tipos do nicho, o Falcon ou qualquer que seja.
Não vai ser o mesmo desempenho.
Do lado do cliente até assim, beleza, cai pouquinho, mas o cliente não nota.
(32:51):
Mas do lado do servidor que está moendo um atrás do outro de decriptografar as mensagens,você pode derrubar o serviço.
Então assim, também precisa ter esse trabalho de benchmark, de escolha das melhoresimplementações, das melhores soluções de algoritmo para cada situação e aí define uma
política e aí se utiliza.
Então é interessante que os desenvolvedores estejam cientes disso.
(33:12):
Muitas vezes não vai ser decisão deles, mas eles estejam cientes disso, que também não éassim, vou lá pegar algoritmo que é quantum safe, coloco hoje numa aplicação que pode
derrubar a aplicação termos de desempenho.
tomar nota 10 por lado, mas tomar nota zero e puxar de orelha pelo outro, porque derruboua performance da aplicação.
levantar a mão, conversar, provocar discussão, trazer a discussão, puxar sempre naultimate segurança para estar fazendo as discussões todas.
(33:40):
Porque pode ser que neste momento você não precise, ou talvez até não deva aindaimplementar algoritmo quanto a Safe.
Mas você sabe, aí vai para a questão inventária, você sabe onde é você colocou o quê.
Aí daqui a ano, dois, três, cinco, precisa trocar.
Você vai lá, idealmente num CMDB, agora, com uma informação dessas, vai lá e tá aqui, temesse algoritmo que precisa ser trocado.
(34:02):
Beleza.
Você está, como a gente tem usado na indústria, criptoágil.
Você está com uma estrutura, processos e uma estrutura de governança que permite que vocêtroque um componente de criptografia de uma forma super tranquila.
Não é algo que está lá hard-coded, É que você precisa reescrever toda a aplicação paratrocar, enfim.
Mas é uma pecinha que você sabe onde é que está, você vai lá e troca por uma nova.
(34:27):
Até pelo seguinte, Cassio, uma outra coisa que eu acho que é importante.
Esses algoritmos que eu falei, que estão começando a ser disponibilizados, você tem comoexemplo Microsoft AWS, pelo amor de Deus, nada contra Microsoft AWS, mas só como exemplos.
Ninguém testou isso ainda.
Tem um modelo do NIST teórico, os caras chegaram e fizeram a primeira implementação.
Ninguém testou isso no mundo real.
(34:49):
estamos testando.
e quando tiver o primeiro computador quântico, pode ser que isso derreta igual umaantírrega no sol.
Então, o fato de ser criptoágil ajuda também a esse risco.
Na hora que se identificar alguma coisa, alguma vulnerabilidade nesses algoritmos novos,você rapidamente troque.
Porque, o processo de gestão que existe nessas empresas, Microsoft vai detectar que temproblema naquele algoritmo, vai elaborar lá patch, uma nova correção, etc.
(35:19):
e estar disponibilizar.
Aí você precisa do seu processo de gestão de vulnerabilidade, inventar gestão devulnerabilidade para corrigir.
Mas enfim, só voltando para a questão da capacitação, que eu já puxei vários outrosassuntos.
Mas eu acho que isso, começa muito com conscientização e depois acho que começar aentender esses mecanismos, papel de cada o que existe disponível de ferramental e
(35:43):
processo, etc.
para entender ali qual é papel do desenvolvedor dentro dessa engrenagem toda.
E trabalhar de forma colaborativa, claro, sem apontar dedo etc.
Ninguém vai ter sucesso fazendo isso.
Mas trabalhar de forma colaborativa, você entra do lado, dá sugestão, vi isso, vi aquilo,você já pensou nisso, já pensou naquilo.
E aí a coisa se constrói de uma forma mais bacana.
Até a aplicabilidade do algoritmo, que você falou muito bem, o benchmark de performance éuma coisa, mas, por exemplo, você não usa criptografia assimétrica com assimétrica para o
(36:10):
dado em descanso ou transporte, cada uma tem o seu propósito ali.
Então, até nesse contexto do cara saber o que e para quê, para não sair...
A gente sempre brinca de matando formiga com a bazuca.
Então, tem pouco dessa noção, eu diria.
E na pesquisa eu vi também lá que a Capgemini falou o seguinte, 70 % das organizações jáplanejam adotar soluções de segurança quântica nos próximos cinco anos.
(36:41):
Aí eu imagino que a pesquisa foi feita com empresas de grande porte.
E talvez isso até mencionado algum momento.
Por quê?
Você pode comentar sobre isso, mas no dia a dia, talvez dia a dia pouco mais ali nocódigo, vamos falar assim, tirar os chapéus aqui, né?
Tem de chave chumbada no código.
Às vezes o CID do algoritmo da criptografia tá chumbado num arquivo de configuração noKubernetes.
(37:06):
O desenvolvedor fala, não, mas tá no sequence do Kubernetes.
Fala, tipo, porra, velho, não muda muita coisa, né?
Aí o outro, não, mas tá base 64 o CID.
Então, na prática tem muita coisinha que não vai ajudar muito no dia a dia, minha vista,assim.
É aquela história, né?
Tem um meme que tá rolando aí, é
(37:27):
como se fosse uma puta estrutura bem feita e tal, assim, bonita.
você vai lá embaixo e uma pecinha de dominó segurando negócio assim.
Tipo, você tirou a pecinha de dominó, cai tudo.
Então, às vezes é isso.
O cara tá com o computador quântico na mão, vai lá, po, senta chumbado algum lugar, po,vai lá e destrói tudo.
Talvez essa questão de...
(37:47):
aí pegando esse dado específico, né, de 70 % das organizações estão planejando adotaressas soluções de segurança quântica já nos próximos cinco anos.
Você tem alguns insights de...
Como elas chegaram a essa decisão?
Daqui cinco anos ou nos próximos cinco anos eu preciso fazer outra coisa.
Eu olho pra minha vida e falo, nos próximos cinco anos eu preciso emagrecer.
Nos próximos cinco anos eu preciso engordar, nos próximos cinco anos eu preciso compraruma casa nova.
(38:10):
Sei lá, você tira parâmetros.
Como é que esses caras chegaram nisso?
Daqui cinco anos eu vou precisar ou nos próximos cinco anos eu preciso disso.
E aí voltando pra minha realidade, os caras não fazem EPSEC direito ainda, há 20 anos.
Eu só queria entender, traz insights pra gente de como é eles falaram isso.
(38:30):
É porque tá no hype, você falou que nem é mainstream ainda, mas o cara viu no pesquisa, ocara viu lugar ou não, acha que tem, como é que isso aí?
Eu vejo, primeiro que sim.
Normalmente os entrevistados são de grandes empresas, é o perfil de cliente da Capigemini.
(38:51):
Desde a pesquisa do ano passado que foi sobre segurança com o GNI, a gente tementrevistado executivos do Brasil, com os clientes e amigos nossos.
Nessa pesquisa, por exemplo, tem também alguma coisa.
É verdade que na GNI teve mais gente do Brasil do que agora, pouco porque eu acho
até questão de cultura do quantum.
A começou a fazer os convites e a pessoa também pensava, não, peraí, eu estou com outrosproblemas.
(39:15):
Enquanto que Genenais já era tema muito mais mainstream ano passado quando a gente fezpesquisa.
Você tem ideia da pesquisa do ano passado?
Teve 15 executivos entrevistados no mundo inteiro.
Sete eram do Brasil.
Esse ano a pesquisa teve mais ou menos uns 15 também do mundo inteiro e eram quatro doBrasil.
Já é número pouco menor.
Pelo fato acho que do assunto não ser tão mainstream ainda.
(39:37):
Mas enfim, bom, então pouco falando pouquinho do perfil dos entrevistados.
relação ao dia que saiu a postura, o entendimento dos clientes, qual é a nossa visão?
Primeiro assim, tem tema que a gente não pode deixar de ignorar, regulatório.
É feio para o profissional de cyber, que adora defender a gestão de risco, falar que nofinal do dia tema regulatório é tema de compliance.
(40:02):
Mas é o que é?
Sejamos realistas.
É o que é?
é.
Então a gente olha algumas regulamentações, principalmente na Europa e Estados Unidos, jádeterminando.
Isso são regulamentações obviamente do governo, claro, quando a gente fala regulamentação,mas regulamentação já é do tipo assim, amigão, se você não tiver com ABC daqui a dois,
três, cinco anos, você não presta mais serviço para mim, governo dos Estados Unidos,governo do Reino Unido, governo de não sei da onde.
(40:27):
Então começa a empurrar a indústria, que obviamente governo é grande cliente da indústriade qualquer setor.
Uhum.
começa a empurrar a indústria nessa direção.
Então, acho que driver importante é a regulamentação.
Por outro lado, também tem a própria questão da gestão de risco.
Então, tem cliente nosso aqui no Brasil, setor bancário, que não está sujeito a nenhumaregulamentação, mas o pessoal está trabalhando nisso e não está trabalhando desde agora,
(40:52):
já dois, três anos, começando a olhar já o que está acontecendo, porque pelo perfil dainstituição, pouco mais conservadora, mais madura de segurança,
Não que esteja perfeito, óbvio, não existe segurança 100%, mas aquele básico já estátratado, então começa a olhar outros riscos, enfim, e por aí vai.
(41:15):
Então acho que tem uma pegada pouco assim do lado de gestão de risco, mas um grandedriver, muito provavelmente, é a regulamentação por isso, que leva pessoal a se mover.
Boa, eu sempre faço essa brincadeira, né?
Aprender a ferver água e fazer gelo, aí você pode começar a inventar de cozinhar arroz,fritar uma batata, mas se matar com o óleo quente lá, Aperte ferver a água primeiro,
(41:36):
enfim.
E voltando ao exemplo que eu falei da ABB, na ABB a gente teve alguns problemasregulatórios, eu tô aqui na Europa agora, né?
Há quatro anos.
A gente teve alguns problemas regulatórios, problemas não, né?
gente teve algumas demandas regulatórias por conta de S-BOM, então...
Eu dei exemplo lá do hardware, entregar o hardware pra rodar lá numa automação de umafábrica, não sei da onde, com software lá dentro e tinha que ter SBOM desse hardware,
(42:00):
Tudo, cada componente lá dentro.
A não conseguia fazer isso.
Por que?
Não tinha um catálogo de bibliotecas, tinha um...
O do hardware era mais fácil, porque tinha o fabricante, era mais fácil as pecinhas.
O software a gente não conseguia.
Aí, arrumamos uma solução, conseguimos fazer um esforço lá, enfim, no fim das contas saiuSBOM.
(42:20):
para um cliente americano, porque a BB presta serviço para o governo americano, enfim.
Então tem uma questão regulatória que, você falou muito bem, empurra.
E esse empurrar é literal, porque a empresa, ela pode, tá, não vou fazer não, deixa aí, tábom, então você perde praticamente as suas maiores receitas, né, o governo, é bom
contrato, etc, etc.
(42:40):
O caralho para ela, não quer ficar de fora, E consequentemente a imagem, aquela coisatoda, isso é muito importante.
e aí tirando o chapeuzinho meu aqui de novo, você falou ponto muito importante, pelo menospara mim, Quando eu olho para segurança, eu vejo a segurança de uma maneira geral de
software para o bem da sociedade.
Tudo hoje opera cima de software.
Então quando a fala de software seguro, a está falando de uma sociedade mais protegida deuma maneira geral.
(43:03):
Então quando você fala, pô, tem banco x brasileiro que está olhando para isso, mesmo semprecisar olhar para isso, isso enche os olhos, porque, porra, então eu sei que tem alguém,
alguém, entre aspas,
olhando para essas questões de uma forma proativa porque quer ter uma marca maisestruturada, oferecer bom produto, bom serviço, etc.
(43:24):
Igual se comprar carro, Você não vai comprar o carro e testar o freio.
Foi testado, muito bem implementado, você só vai lá e apita no freio quando você precisa.
Você não precisa...
Você não vai comprar o carro X porque o freio é melhor, não.
Freio é freio, tem que frear, né?
A menos que esteja quebrado.
Freio é freio, tem que frear.
Então, no meu ponto de vista, a segurança tem que estar sempre lá.
Como você falou bem também.
Não precisa estar 100%, nem vai estar 100 % nunca.
(43:45):
Mas é aquela história, preciso garantir, talvez hoje olhando para a EPSEC, eu não precisoque todo mundo esteja pro quantum, quantum computing protected, mas preciso garantir que o
molecada na faculdade rodando script não vai me invadir.
Só um crime organizado, uma pessoa estrutural, pessoal com tempo e recursos do outro lado,talvez consiga, mas eu tenho que me proteger de alguma forma.
(44:10):
Leonardo, algumas configurações finais, o tempo passa, o tempo voa.
A gente pode continuar esse papo numa segunda parte, gente tem 45 minutos aqui já.
Alguma coisa que você deixou de lado, que você queria comentar, eu acho que foi muito bemexplicado, pelo menos para balizar a galera para onde olhar, como olhar e começar a se
preocupar com relação a isso.
(44:30):
De repente, até uma visão de carreira para atuar nisso daqui para frente, que talvez sejauma demanda muito forte que venha por aí, assim como é a de IA hoje.
Enfim.
considerações finais pra gente encerrar.
Então, Cassio, é sem dúvida.
O tempo passa rápido quando a gente está se divertindo.
(44:51):
Aqui estamos falando de tema que é a paixão nossa, de nós dois.
Talvez uma mensagem interessante para fechar do meu lado é muito se compara o que a genteestá para viver aqui com a computação quântica com o bug do milênio, virada de 99 para
2000.
(45:11):
Só que tem um paralelo interessante.
é provavelmente uma possível corrida busca de novas tecnologias, atualização de parques,etc.
E isso por si só já é uma razão adicional para começar a antecipar, porque obviamentequanto mais você deixar isso para mais tarde, menos gente vai ter, menos recursos vai ter,
(45:32):
lei de oferta e procura de mercado, tudo vai ser mais caro, enfim, então quanto antescomeçar a trabalhar melhor.
Mas tem dois agravantes ainda relação ao bug do milênio, são, o bug do milênio tinha...
data, hora, minuto e segundo para acontecer.
O evento quantum tem o componente da incerteza.
Não vou dizer que pode ser amanhã, porque eu ganho de exagero.
(45:55):
Mas tem componente da incerteza.
Uns falam cinco anos, outros dez, outros quinze, tem que falar de vinte.
Não sabemos.
Mas enfim, e de novo, gente não precisa ter iPhone quântico.
Precisa ter computador numa sala como o Aeronautica, de 70 toneladas, gigantesco.
em algum lugar no mundo e com alguém tendo acesso mal intencionado.
(46:19):
Esse é o que o dei.
É o dia que vai ter essa capacidade desse computador.
Não é necessariamente o dia que a vai estar rodando planilha Excel em computador quântico.
Esse é agravante, é incerteza.
E o outro é a questão que a gente falou várias vezes, você trouxe várias vezes, a questãoda capacitação.
Os skills necessários para resolver esse problema.
(46:41):
O bug do millennium, a precisava de gente, precisava de desenvolvedor.
Agora você precisa de desenvolvedor com a capacitação que a gente está falando aqui,precisa de time de segurança, precisa de arquitetos, enfim, a gente já deu vários exemplos
diferentes de que tão multidisciplinar o problema é.
A vai precisar de skills várias áreas diferentes dentro da organização.
(47:02):
Isso precisa ser criado, construído.
Tudo começa, acho que o primeiro tijolinho dessa história toda, no primeiro degrau dessaescada é a conscientização.
E depois a gente vai crescendo, criando de novo outras camadas de consciente e treinamentode acordo com o papel de cada Mas eu acho que esse é o grande desafio, é gente ter que
(47:22):
lidar, gerenciar essa incerteza e ter que os skills disponíveis.
Então esse é trabalho, eu acho.
E talvez a melhor coisa para fazer nesse primeiro momento é começar a discutir eestruturar essa questão da governança.
Você falou do S-BOM.
O paralelo que a gente faz aqui nesse mundo, é termo que se usa bastante, é C-BOM, éCryptographic Bill of Materials.
(47:47):
Volta para a questão do inventário dos algoritmos criptográficos.
Mas isso está dando guarda-chuva de governança.
Então é governança, conscientização, treinamento.
Esse é o caminho.
Não é uma coisa urgente, mas é uma coisa importante que a gente precisa começar a olharantes que se torne urgente.
Esse negócio, essa história do mistério, O Bunker do Milênio tinha data e hora.
(48:09):
Eu sempre brinco muito, né?
Brinco e é verdade, né?
Pelo menos para quem acredita.
Jesus volta, só não sabemos quando.
Vamos morrer, não sabemos quando.
Não fica esperando para ele se confessar, para ele fazer as coisas certas.
Já vai, Pode acontecer hoje, pode acontecer amanhã, mas vai ter 10 anos, enfim.
Então a computação quântica vai chegar e também não espere, né?
(48:30):
Acho que isso é importante.
Eu esqueci de detalhe
pessoal sempre gosta pera aí vou dar aqui minha vinheta
A gente tem quadro aqui que é o Dev May Cry.
O que a gente faria ou que a gente gosta de fazer para os desenvolvedores chorarem?
Então, cara, já teve aqui de aqueles treinamentos de 99 slides que você tem que clicar eavançar.
(48:51):
Você não pode avançar, você tem que preencher as coisas na tela.
Planilha Excel.
Tem umas coisas loucas aqui.
Eu acho que pegando o tema de hoje, acho que algo para o desenvolvedor chorar, que a gentegosta de brigar com o desenvolvedor muito, eu diria que ele agora vai ter que criptografar
tudo na mão.
não tem mais algoritmo pronto, ele tem que criar todo santo dia um algoritmo novo paracriptografar as coisas dele.
(49:11):
Isso vai ser testado, obviamente, depois pelo time de segurança.
O que não vai passar, porque ele não criptógrafo, vai estar uma bosta, não vai estarcriptografado, ele vai ter que refazer.
Ou seja, ele não vai mais trabalhar, ele vai só ficar criando algoritmo criptográfico.
Talvez seja a minha piada de hoje para os desenvolvedores.
Você quer fazer algum desenvolvedor chorar, Léo?
Léo, hoje eu chamo de Léo, já viro amigo.
(49:32):
Tem alguma coisa que você quer ou quer pular, quer deixar para lá.
sei, talvez tudo que a gente tenha falado hoje já tenha feito o pessoal chorar bastante.
Você deu uma espetadinha final agora, mas eles já estavam chorando o tempo inteiro, euacho.
O que esses malucos estão trazendo aqui para mim?
Mais problema?
Então, poxa, deixa quieto.
O cara pensando, eu instalando meu linter aqui na minha IDE, os caras com computaçãoquântica, eu não, me deixa quieto.
(49:58):
Boa, boa, acho que isso.
Só fazer tudo isso a gente falou aqui já vai se chorar bastante.
Boa.
Pode falar, pode falar.
acho que a própria pesquisa da Capgemini ajuda bastante.
De alguma forma, reconhecendo, vamos dizer, o momento do tema globalmente falando, éinteressante que se olhar a estrutura da pesquisa, primeira metade são os dados da
(50:19):
pesquisa si, e a segunda metade é muita informação, né?
O que, de alguma forma, fala muito do que a gente comentou aqui.
Mas trata várias recomendações, sugestões de como começar, onde buscar mais informação,capacitação, etc.
A própria pesquisa acho que é bom primeiro passo de capacitação também.
Eu tenho o mesmo link do futuro criptografado, porque é a criptografia pós-conte que estáno topo da nova agenda de segurança cibernética.
(50:43):
essa, a mesma pesquisa.
Eu tenho esse link, pessoal que estiver ouvindo a gente vai estar no PDF direto, que é olink do PDF específico, vai estar lá no nosso...
Não sei se você joga no site especificamente, mas vai estar na descrição do YouTube.
Então quem estiver ouvindo outra plataforma, dá uma olhadinha no YouTube, além dedeleitar-se com a nossa beleza, você vai poder baixar o link lá na descrição do YouTube.
(51:04):
Beleza?
Leonardo.
Você está redes sociais, onde o pessoal te encontra, te manda mensagem, pede socorro agoraporque você inventou essa história agora.
O pessoal vai precisar de ajuda ainda.
Vamos lá, Linkedin, Leonardo Carissimi, facilmente localizado, Instagram, Leo Carissimi,os dois principais esses, Twitter, Leo Carissimi também.
(51:28):
Boa.
Boa.
Fechou.
Eu vou colocar esses links todos também lá na descrição do YouTube.
Pessoal, foi prazer, Leonardo.
Obrigado mais uma vez pelo seu tempo de disponibilidade.
Foi papo bem bacana.
É muita coisa mesmo, na verdade.
Assim, dá pra ficar...
Fazer horas aqui dessa conversa, porque é muita coisinha pra gente mastigar, né?
É muita coisa informação nova, assim.
Até pra mim muita coisa nova também.
Enfim, mais uma vez, obrigado.
(51:48):
E, pessoal, não se estão ouvindo a gente.
Obrigado, mais uma vez.
180 episódios da FCK Podcast.
quase chegando aos 200.
Acho que nessa temporada a gente chega ainda.
Se eu não inventar férias, se os vagabundos que tem que trabalhar, que vier trabalhar, agente começa a gravar mais e aí vão ter 200 episódios ainda nessa temporada.
Se não, a gente vai se ver na sétima temporada, mas ainda tem temporada, mês, tem bastantecoisa no setembro ainda e a tem tempo ainda.
(52:12):
Então, obrigado.
Leonardo, obrigado mais uma vez.
A gente se vê na próxima semana.
Valeu.
abraço.
Acabou.
e
Olá, pessoal.
Sejam muito bem-vindos a mais um episódio de ABC Cop's Podcast.
Eu sou Cássio Pereira.
Como vocês podem ver, hoje só não é um episódio solo, porque temos um convidado muitobacana aqui hoje que vai bater papo com a gente.
Já, já vou apresentar e falar sobre ele, falar sobre o tema de hoje também.
Mas quase seria episódio solo, porque os dois cidadões, Cidadãos, Marcos e Ben Hur, maisuma vez não vêm trabalhar.
(00:24):
O salário está dia, está tudo pago, mas os caras vão fazer reunião de trapalho.
como se o trabalho fosse mais importante do que gravar o podcast aqui com a gente.
Mas enfim, é tanto que eu estou de camisa nova, o Deve Ser Cosmo Podcast, porque só adiretoria tem esse tipo de camisa, os integrantes vagabundos, esse é o nome que lhe dá
para esses integrantes, não vieram participar aqui hoje que temos um convidado superespecial.
(00:46):
Antes de falar do nosso convidado, lembrar que o Deve Ser Cosmo Podcast tem o suporte daNova 8 e da SNIC, que a Nova 8 é distribuidora da SNIC oficial no Brasil, você vai
encontrar o link da Nova 8 e da SNIC lá no nosso site, devesercosmopodcast.com.
e também na descrição do vídeo do YouTube.
Lembrar que a gente tem também parceria com a Purple Bird Security, então se você temalgum incidente segurança, não sabe o que fazer, cabelo pé, bate papo com pessoal da
(01:10):
Purple Bird que eles vão te ajudar com certeza.
E também não se esqueça da DigitalWall, que tem portfólio completo de soluções deApplication Security, e a Goal Security vai te ajudar com os serviços de Application
Security.
Bom...
falar dos nossos parceiros, nossos colegas e suporters, vamos falar pouquinho hoje sobre otema de hoje.
O tema de hoje é tema bem interessante, eu gosto desses temas que eu não sei nada, porqueaí eu vou ter que perguntar mais ainda para o convidar.
(01:35):
Então eu acho que algo bem bacana.
E hoje a vai falar com o Leonardo Carissimi, que se dispôs a bater papo aqui com a gentehoje.
Leonardo, primeiro de tudo, obrigado pelo teu tempo, obrigado pela disponibilidade.
Acho que ninguém melhor do que você mesmo para se apresentar para as pessoas.
Então se apresente aí, fique à vontade.
E assim que você falar pouquinho sobre você, o que você é, de onde você vem, para ondevocê vai, aquela coisa toda, a mergulha de cabeça no tema computação quântica e
(02:03):
pós-quântica.
Olha que loucura, cara.
Já vamos falar sobre isso hoje.
Mais uma vez, Leonardo, bem-vindo ao Deve Ser Cosmo Podcast.
o maravilha, Cassio.
Bom demais estar aqui.
Bom dia, boa tarde, boa noite.
Acho que esse é o caminho.
Então, eu sou Leonardo Carissimi e atualmente eu sou diretor da prática de Cyber Securityda Capgemini no Brasil.
Há seis anos eu estou nessa posição.
(02:26):
termos de mercado, já estou naquele momento que começa a ser constrangedor de dizer quantotempo de mercado que a gente tem.
Eu estou com 30 anos, feito agora agosto.
Desde ali do inicinho da internet comercial já...
já falando de segurança cibernética, com todos os nomes diferentes que teve ao longo docaminho, desde essa época.
E sempre aprendendo bastante.
O que é fascinante na nossa área é que sempre tem desafio novo, alguma coisa nova paraaprender.
(02:49):
E a bola da vez, agora passado, o tema de AI, dizer, passado, a gente continua trabalhandobastante com projetos na parte de segurança AI, nas diferentes vertentes, mas digamos que
termos de novidade, talvez agora a bola da vez é...
Pós-quanto criptógrafo, A criptografia é da computação pós-quante.
(03:11):
Boa Leonardo, cara, prazer ter você aqui e eu antes de trabalhar com SEC eu fuidesenvolvedor por uma década também já tenho meus 20 anos aí na área e eu quase pus
pezinho na Capgemini na época, faz muito tempo, acabou não dando certo, pra acabarescolhendo outro caminho, mas enfim, a Capgemini bem bem conhecida no mercado como todo né
(03:31):
e legal ter alguém de suma importância pra falar com a gente sobre o tema porque esse denovo esse é tema que pouca gente fala sobre isso, quântico e pós-quântico
Talvez eu que estou bem envolvido na parte técnica, eu só ouço falar disso ou eventosmuito específicos de SEC ou na área acadêmica.
Eu dou aula algumas universidades, na área acadêmica a vê pouco mais disso, porque tempesquisa, tem umas coisas muito avançadas, isso talvez não seja algo tão acessível para o
(03:57):
público.
Mas vamos lá, eu queria começar então perguntando o que é essa computação pós-quântica, oque talvez seja computação quântica e pós-quântica?
Por que a gente está falando sobre isso agora?
Por que esse tema é relevante?
Por você falou a bola da vez?
Eu ainda estou fazendo o desenvolvedor rodar scan no código ainda, Ainda estou lá atrás,assim, né?
Então, fala pouquinho pra gente, seta aí pouquinho as expectativas do pessoal.
(04:20):
Não, Ito, sabe, Casca, assim, acho que esse talvez seja o grande desafio, né?
A gente olhar para o que está para vir daqui a cinco, dez anos, enfim, vamos falar maissobre isso, mas obviamente ninguém sabe o prazo.
Olhar para isso ao mesmo tempo que tem que continuar fazendo o básico bem feito, né?
Não adianta eu querer falar de como é que eu vou ter, estar utilizando um algoritmo dequantum safe, etc.
(04:45):
tal, se eu não faço uma gestão de vulnerabilidade adequada.
Ontem mesmo,
Só comentando um assunto similar, mas não exatamente cima de quantum computing, clienteprocurou a gente para falar de SOC, operação 24,7, etc.
Mas a empresa tinha certo nível de maturidade que a gente sentiu no momento da conversaque não fazia sentido estar falando disso, que tinha coisas mais básicas.
(05:09):
Então, a gente direcionou a conversa e acabou que no final das contas acho que fez sentidopara eles.
Gestão de vulnerabilidade bem feita, gestão de credenciais bem feita.
Depois disso, gente fala de soco e no segundo tempo, então construiu uma jornada.
Então, sem dúvida, o desafio que você falou continua sendo super válido.
O que está acontecendo hoje, o que a gente come no café da manhã, no almoço, no jantar,são as questões básicas, vamos dizer assim, muito focadas em gestão de vulnerabilidade,
(05:37):
resposta incidente, muita coisa que em outras sessões aqui do podcast já foi bastantediscutido.
Mas também acho que a provocação importante aqui é a seguinte.
Vamos começar a olhar para frente, porque nós no mercado de segurança, tem um históricoimportante do tempo que leva para fazer a substituição de algoritmo de criptografia.
(06:00):
Tem cliente nosso hoje, Banco Grande no Brasil, que dentro do ambiente deles ainda temaquele algoritmo DES, que é coisa de 10, 12 anos atrás, foi considerado inseguro e
recomendada a troca.
Mas ele está falando sistema legado, mainframe isso, mainframe aquilo.
a aplicação manualística, etc.
Se construir uma série de, vamos dizer, controles de segurança ao redor, obviamente paramitigar o risco, mas o algoritmo que ali no meio segue o mesmo, passados 10, 12 anos, para
(06:29):
trocar algoritmo.
Agora, imagina evento desses assim, o quantum day, como se chama, A partir do momento queexiste um computador, computação quântica suficiente para quebrar uma criptografia nossa
atual.
Não vai ser para algoritmo, vai ser para todos.
Imagina trocar todos de uma grande organização.
Não é trabalho rápido.
(06:50):
Por isso que a gente tem que começar a pouquinho na frente, na frente, curva, identificar,começar a identificar os riscos e começar a tratar tudo isso.
Mas enfim, então, sobre a computação quântica si, antes de chegar na questãocriptográfica, começar pouco ali mais do básico, então a gente está falando de...
ter alternativas computacionais diferentes que a gente tem hoje, computador clássico alique é 0-1, utilizando tecnologia quântica que vai ter um conjunto praticamente infinito de
(07:22):
estados, vez de 0-1 é praticamente conjunto infinito de estados.
Isso dá poder computacional gigantesco, não é para qualquer aplicação, pelo menos dentrodo entendimento que você tem hoje, não vou imaginar assim que eu vou estar usando o Excel
com computação quântica.
Tem algumas aplicações que é melhor o computador clássico mesmo.
Mas o ponto é que outras aplicações que manipulam volumes muito grandes de dados, fazemsimulações, etc.
(07:48):
Isso daí cai como uma luva.
E é justamente o espaço onde vive a criptografia.
Principalmente a criptografia assimética, aquela questão de multiplicar, fatorar doisnúmeros primos muito grandes.
Essa é a base dos algoritmos assimétricos.
Esse tipo de problema, que é grande desafio para computação clássica, mas...
quanto resolve rapidão.
(08:09):
esse acho que é desafio.
Tá pra vir, assim, eu falei, horizonte de tempo que ninguém sabe, várias projeçõesdiferentes que vamos dizer aí, 10, 15 anos, imagina que já exista.
E outro ponto que acho que é importante, caso para desmitificar pouco, assim, quer dizerque daqui a 15 anos eu vou estar usando iPhone com computador quântico, com processador
(08:33):
quântico.
A gente não precisa disso para ter grande problema, grande ameaça quântica para o mundonosso de cyber.
A precisa ter um computador em algum lugar do mundo que seja como eram os ENIAC lá nosanos 40, tamanho de uma sala, gigantesco e tal, pode ser só um, mas ele já vai fazer
estrago.
(08:54):
E seja lá quem desenvolver esse pode vender patentes, os planos para que seja replicado,enfim.
seja com objetivos geopolíticos ou financeiros, quais que querem que sejam as motivações.
pode criar um e multiplicar para alguns poucos.
(09:15):
Mas, de novo, você estar na mão de todo mundo para ser grande problema.
Enfim, acho que esse é o cenário que começa a se traçar.
E cara, você falou tanta coisa agora que eu queria puxar para todos os lados aqui, mas nãovou conseguir.
Vamos lá, vamos pegar alguns fios.
Eu acho que ponto legal que você comentou foi essa questão do o que vem por aí daqui 5,daqui 1 ano, daqui 5 anos, daqui 10 anos.
(09:41):
E é importante ter essa preocupação porque tem alguns ditados em segurança que diz que sócripto salva.
Você pode falar segurança que for.
No fim das contas, se cara te hackear, se o cara te invadir, a criptografia te salva,porque os dados são criptografados, no fim das contas cara não vai conseguir acessar.
Com essa história muda tudo, agora nem cripto salva.
(10:03):
Agora, como você comentou muito bem, uma vez que computador desse, com esse podercomputacional esteja disponível, foi por água abaixo qualquer criptografia que a gente,
qualquer criptografia forte, vamos falar assim, a gente sabe que tem monte de algoritmo jáfraco, quebrado, enfim, isso é uma questão interessante.
E aí a próxima pergunta talvez seria nesse sentido, nesse ponto que você comentou.
(10:27):
Como é que a gente olha para frente então?
Hoje eu tenho uma especialidade muito forte apps, é que deve ser copia.
é muito, talvez muito óbvio para mim os eventos que eu participo, o material que euconsumo, que tipo de pesquisa que eu tenho que olhar.
Então eu sei onde vai estar ali as coisas relevantes para mim.
Mas agora banco da vida.
que você comentou bem, você falou de mainframe.
(10:48):
Eu trabalhei uma época na Serasa, Experian, trabalhei alguns bancos do Brasil.
Todos têm mainframe até hoje.
Aonde essa galera vai buscar esse tipo de tecnologia, não necessariamente a tecnologia emsi, mas onde eles vão buscar informação para ele falar, cara, daqui a dez anos eu preciso
estar preparado.
Como é que eu olho para isso?
Eu tenho que chamar o Leonardo ou tem algum jeito de me antecipar a isso?
(11:13):
Esse tema ainda é bastante nichado termos de discussão, existem conferências, se vocêcomeça a pesquisar tem bastante material.
De novo, tirar pouco o grau de nossa, que coisa mais futurista.
Se você entrar hoje site, por exemplo, Microsoft, uma AWS, você vai ver que lá na nuvemdeles já existem implementações pós-quantum, algoritmos que são quantum safe, já dessa
(11:39):
nova geração.
Já está disponível.
que ano passado o NIST, nosso querido NIST lá dos Estados Unidos, ele padronizou quatroalgoritmos e esses algoritmos uma vez padronizados e definidos já começaram a ser
implementados por alguns fabricantes do mercado.
Então, já começa a estar disponível.
Mas talvez assim, talvez não.
Muito antes de pensar estar implementando isso, é importante conhecer o ambiente atual.
(12:03):
Você falou ali do mainframe, legada, etc.
Tanto que as etapas iniciais que a gente vê o mundo inteiro,
fazendo, inclusive alguns clientes aqui no Brasil, é começar nessa questão, famosoassessment, onde é que estou nessa história toda.
Voltando para as questões muito básicas e importantes, tem conceito importante que é oseguinte, um inventário de algoritmos criptográficos.
(12:30):
Você falou então do mundo de desenvolvimento.
Como desenvolvedor, você ao longo da vida construiu várias aplicações usando bibliotecasque tinham algoritmos criptográficos.
Então, imagina a grande empresa, a quantidade disso que tem por aí.
Algoritmo aqui, algoritmo ali, diferentes implementações do mesmo algoritmo e diferentesalgoritmos.
Quem sabe aonde está o estudo hoje?
(12:52):
Ninguém.
Isso toca também tema de governança muito importante.
aí, novo, o pessoal de desenvolvimento tem que saber quais são os algoritmos que devemcomeçar a usados daqui para frente.
O pessoal de arquitetura deve definir alguma coisa.
Pessoal de gestão de chaves e certificados, pessoal de gestão de risco.
(13:13):
a governança desse processo todo, a galera de infraestrutura que faz ali a gestão, aadministração, enfim.
a construção de uma governança disso tudo é uma das coisas mais importantes para começar.
É começar a construir isso, não precisa necessariamente ser novo departamento, óbvio, podeser só chapeuzinho a mais para alguém, Mas começar a ter papéis e responsabilidades claras
(13:36):
para saber onde é que...
O dia que eu entro nessa história toda, eu como desenvolvedor, eu como arquiteto, eu comocara de compras que vou fazer uma RFP que vai abrir para comprar novos roteadores, eu já
deveria de alguma forma considerar que esse é requerimento.
Ou alguém do legal, que na hora de começar já fazer contrato com o terceiro, já tem quecomeçar a pensar cláusula disso, assim como já temos cláusula de segurança, temos cláusula
(14:03):
de privacidade, e botar alguma coisa nesse sentido, incluir alguma coisa nesse sentido.
papel e responsabilidade para todo mundo.
questão é começar a definir isso, fazer uma governança cima disso, começar a construiressa governança toda.
E aí, a partir desse guarda-chuva, vai endereçando o que cada tem que fazer.
Por exemplo, alguém é responsável pela definição dos nossos padrões, alguém é responsávelpor fazer o tal do inventário e por aí vai.
(14:27):
E aí, a questão das informações, onde é que eu pego informação sobre isso, na realidade,dependendo de qual é o seu chapéu nessa história toda, seu papel e responsabilidade, você
vai precisar mais ou menos informação.
mais especializada, menos especializada, enfim, e aí busca de acordo com o papel definido.
Mas eu acho que já dá pra dizer que tem um conjunto relativamente abundante de informaçãoaí.
(14:49):
Óbvio, não é tema mainstream.
A gente fez a pesquisa, Capgemini fez a pesquisa agora, foi publicada início de julho,justamente pra agregar nesse processo, conscientização, acho que gente está num grande
trabalho de conscientização.
agregar nesse processo, globalmente falando, não é só Brasil, começar a caminhar nessajornada porque são processos todos morosos, questão da governança, todos inventários, etc.
(15:20):
Isso a gente está falando de vários anos.
E as regulamentações que existem, que estão começando a surgir ao redor do mundo, elastambém têm prazos relativamente dilatados, olhar lá 2027, 2028, nada é para amanhã, mas
tem que começar a olhar.
E você comentou da pesquisa, eu tenho alguns dados aqui que eu anotei, que fala nesseponto que você comentou, você falou do NIST, e eles comentam que 68 % das empresas, das
(15:50):
organizações entrevistadas, eles veem essas diretrizes obrigatórias como NIST, talvezoutras organizações, o NIST talvez seja bom direcionador, até como fonte de estudos e
práticas lá, como ferramentas importantes para essa transição.
Justamente, você se apoiar alguém que vá te suportar nesse contexto.
Então, é que eu busco isso?
(16:10):
Quais são os algoritmos que eu tenho que usar?
Quais são os aprovados?
Ou quais não são?
Enfim, talvez usar nesse contexto aí, niste e outras ferramentas.
Eu não sei se a WASP tem alguma coisa com relação a depois vou dar uma olhada nadocumentação deles também, porque eles sempre estão postando algumas coisas com relação a
isso.
Mas talvez minha dica aí para os times, complementando o que você falou, seria isso.
(16:30):
Olhar para esses...
não necessariamente players, mas essas bússolas, esses caras que sempre nos guiando comstandards, que eles vão com certeza ter alguma coisa de uma maneira ou de outra.
E acho que você também chegou a pincelar tema importante, Conferências.
Eu sou grande fã de eventos e conferências geral, acho que para networking, aprendizado,não tem nada melhor, que você vai conseguir bastante suporte também.
(16:58):
E aí, indo para o próximo passo aqui, para nossa próxima tópica, eu diria,
Você comentou muito bem de governança.
eu vejo os times de desenvolvimento...
Eu sei que foi a culpa do desenvolvedor, coitado, mas nem sempre a culpa é dele.
Mas vamos lá.
No fim das coisas, ele é funcionário que está obedecendo.
Então, as organizações hoje ainda sofrem muito para fazer uma simples governança debibliotecas de terceiros.
(17:23):
O Log4j está aí há dois, três anos atrás.
Está perdido agora.
O Log4j está aí para não deixar a gente mentir.
Deu boom lá...
Ninguém nem sabia se usava, parou de funcionar, por quê?
Porque tem lá o Log4j versão tal que tá vulnerável, tá sendo explorado, o cara nem sabiaque tava usando.
Então assim, pessoas não têm...
As empresas têm dificuldade hoje de fazer uma simples governança de IP e Leoteca deterceira.
(17:44):
O que qualquer ferramenta de SAA Open Source resolve isso pra gente hoje, de uma forma vai90 % resolvido.
Roda lá o scan, vai criar catálogo pra você, você mantém isso atualizado, vai fazer osupgrades necessários ou não vai fazer, enfim.
Mas você tem ali um catálogo, Ter o catálogo é talvez
um dos passos ou outro identificar os programas nessas bibliotecas.
(18:04):
E aí você trouxe ponto agora que eu lembro que lá no Microsoft SDL, se eu não me engano,processo que a Microsoft tinha criado, acho que ainda está público, ainda faz tempo que
não vejo, tinha lá uma etapa.
Olha, na fase de design do seu desenvolvimento, na fase de arquitetura, você tem quedefinir algoritmos de criptografia que você vai utilizar.
Você vai precisar usar os WariSenha, lidar com informação sensível.
(18:26):
Como que você vai cryptografar isso?
Esse é o momento de você definir o algoritmo.
Eu vou usar RCA, vou usar um Shadow A5-6, vou usar o NeoVue SG.
Tá, eu estou usando o Base64.
Isso.
Usa o algoritmo Base64 para a cryptografia, entre aspas.
Tem um momento até sugerido já no desenvolvimento de você parar.
(18:49):
Pera, vou precisar lidar com informação sensível e cryptografia.
Que algoritmo eu vou utilizar?
E aí as pessoas, as empresas, tem uma certa dificuldade com isso.
Talvez minha pergunta agora seja, você também vê essa dificuldade nas empresas, clientes,enfim, ao longo da tua carreira?
Se sim, por que você acha que tem essa dificuldade?
É má vontade?
(19:09):
É budget?
É falta de conhecimento?
É negligência?
É o quê?
Como é que você enxerga isso?
Ou não, eu tô falando besteira.
Eu acho que talvez isso que agora está ficando evidente, a necessidade por conta da ameaçaquântica, como a gente está falando, é problema de décadas.
(19:29):
Há décadas, cada que está desenvolvendo o sistema, como você falou, assim, aqui eu voucolocar esse algoritmo que acho que é suficiente.
E não tinha ali uma validação, alguém acompanhando, alguma coisa assim.
Talvez muito recentemente, alguns conceitos como Security By Design, pode ser que tinha umSecurity Champion dentro do Squared.
que agora olha e diz que esse é homologado pelo nosso ciso e tal.
(19:53):
Muito recentemente, talvez, estejamos com algum nível disso.
Se a gente olha 10, 20 anos atrás, obviamente, nada disso existia.
Então, era muita decisão de cada mesmo.
Acho que era um problema de governança de muito tempo, aliás, é problema de governança demuito tempo, e que talvez agora, por conta do novo cenário que está vindo termos de
(20:14):
ameaça...
está obrigando todo mundo a parar e dar uma olhada.
Não, espera, agora precisamos dar uma arrumada nessa casa também.
E nós todos vivendo uma grande jornada nas empresas, na nossa vida pessoal, e de cada vezestá atento a novos riscos que estão surgindo e aumentando cada vez mais a maturidade, a
postura de gestão de risco.
Enfim, talvez seja isso, tão simples quanto isso.
(20:35):
Não tinha antes ninguém olhando, não tinha uma cobrança, não tinha um processo, não tinhauma política.
E aí era, quando não existe esse contexto, vou concordar com...
Eu estou a brincadeira sobre não colocar a culpa sempre no desenvolvedor.
Quando não existe esse contexto todo e no final do dia o desenvolvedor acaba ficando comessa responsabilidade dele definir o que parece melhor.
(20:58):
E obviamente o que parece melhor para mim não o mesmo que parece para você, não o mesmoque parece para os outros.
E cada vai ali tomando sua decisão.
Isso no final das contas gera uma heterogeneidade muito grande também de algoritmos.
Seja por decisão do desenvolvedor.
Seja por época, porque 2020 o que estava disponível era tal coisa, 2017 era tal coisa,2015 era tal coisa.
Aí hoje tem, sei lá, 200 algoritmos diferentes, implementações diferentes, tendo aempresa.
(21:23):
Onde estão, quais são, qual o nível de vulnerabilidade que tem, esse é o trampo agora.
Precisa correr atrás disso.
Eu tive a oportunidade há 3 anos atrás, agora não lembro, 2, 3 anos atrás de ir na Índia,eu trabalhava numa empresa chamada ABB, ABB faz automação industrial, robôs, etc.
(21:44):
E tive oportunidade de na Índia, conhecer o laboratório, enfim, e a gente acabou visitandouma universidade lá, onde o lema do time específico que a conheceu lá era...
que gente sempre fala, jamais invente o seu algoritmo de criptografia, você só usa o queestá pronto, desenvolvedores não vão sair fazendo criptografia a torta de giz, que você
não sabe fazer, você não é criptógrafo matemático.
(22:04):
O trabalho desses caras era exatamente o contrário, era criar criptografia, criaralgoritmos novos, por quê?
A ABB patrocinava uma bolsa de doutorado para essa galera para criar algoritmos decriptografia capazes de operar em ambientes...
Eu não lembro a palavra exata, mas eu vou chamar de hostis.
Porque ele lidava com software que vai rodar controlando o sensor de uma usina nuclear.
(22:28):
Vai lidar com software que está operando num carro autônomo, num robô, ou seja, você nãotem memória infinita, você não tem processamento infinito.
Pelo contrário, tudo muito bem limitado, eu diria.
Então essa galera estava criando algoritmos específicos, sei lá que nome que era, quenível que era.
Eu estou bem no alto nível aqui para trazer pouco dessa experiência.
(22:49):
para essa conversa, acho que faz total sentido, né?
Onde, porque qual é o fim dessa pesquisa?
Economia de energia.
Então, se eu consigo criar algoritmos mais rápidos, onde eu tenho uma capacidadecomputacional muito limitada, num device ou num robô, aí você pensa robô numa fábrica que
tem 500 robôs, né?
Mil robôs.
A economia de energia daquela fábrica é muito grande, né?
(23:11):
Porque robô funciona com eletricidade, bateria de alguma forma, enfim.
Então, no fim das contas, essa pesquisa era para reduzir a energia.
Como é que...
que algoritmos criptográficos podem ajudar na redução do consumo de energia.
E aí você trouxe esse tema agora, eu fiquei pensando, cara, como ter umas preocupações queeu mesmo nunca fazia ideia desse tipo de preocupação.
E aí na tua fala inicial, trouxe também outro insight do sentido.
(23:34):
Você falou assim, tiver computador desse disponível daqui a pouco, pode ser o Cal, ou osternos perdidos, enfim.
Como foi a IA, hoje você cria os seus modelos, roda nas suas máquinas, tá?
É negócio muito mais popular ou mais acessível.
Mas no comecinho, era lá, tinha lá SAS, você botava os seus dados lá, ia ser processado evocê tinha resultado, mas o computador, o poder computacional você não tinha.
(24:01):
Talvez seja até uma pergunta tola.
Faz sentido isso?
Puxa, alguém vai ter computador quântico e vender isso como SAS, como um PAS da vida.
Você sobe lá o seu material, devolve o resultado,
Tem como isso?
Faz sentido ou não?
Volta aí os dados, criptografa aí pra mim, ou quebra aí pra mim essa criptografia.
Faz sentido isso?
Talvez algum ponto dessa história toda, porque se gente olhar hoje, boa parte dasorganizações criminosas fazem algo parecido com Hanson, vende os kits e a gente encontra
(24:28):
isso na dark web.
Então, isso aí, acho que é cenário plausível.
É difícil a gente dizer, cravar, que será assim ou não será assim, mas eu acho cenárioplausível.
Sabe, Iacos, eu gostei muito do você trouxe aí esse exemplo de automação industrial, issosem dúvida é uma área super relevante cyber hoje dia.
E tem esses desafios todos, o espaço memória muito mais limitado, a coisa toda ali numfirmware tem que ser mais otimizado, etc.
(24:56):
Acredito que como você trouxe, acho que dentro da BB na época tinha uma equipeespecializada criar algoritmos, não era, junta aí uma galerinha que gosta de segurança,
vamos fazer alguma coisa, Eram criptógrafos e tudo mais, desenvolvendo trabalho, segundomuito provavelmente padrões, etc.
tal.
Mas de qualquer forma num ambiente limitado.
(25:18):
Aí você vê, a eu estava falando de levar décadas para trocar algoritmo em software.
Você imagina em Harda.
Uhum.
Sat.
de carro autônomo, está saindo carro autônomo daqui a pouco?
Vulnerável, até trocar...
Imagina, fazer recode de carro porque tem que trocar algoritmos de hipografia.
(25:41):
É que não dê para atualizar remato por algum motivo.
Aí o dono do carro vai dizer assim, quando tiver algum problema eu vou lá.
IoT, essas lâmpadas inteligentes, interruptor inteligente que a gente tem casa,componentes chinês, super baratinho e tal.
Hum?
vai ser trocado?
Então, realmente, gente tem que lembrar também que o hardware é super relevante.
(26:03):
Eu dei exemplo antes da questão lá de processo de compra de roteadores.
Trocar parque de roteador, tudo bem, ninguém troca o parque inteiro de uma vez só, masacaba sendo por ciclos.
Mas acho que tipo da coisa que demora bastante já é naturalmente algo que precisa serolhado com atenção daqui pra frente.
Que eu vou fazer uma compra agora de alguns milhares de roteadores dentro de umaorganização grande, roteador, switch.
(26:26):
o que você quiser aqui você substitui usando o roteador como exemplo.
Eu já tenho que dar uma olhadinha nisso, né?
E mesmo que o fabricante que eu escolher não tenha nada hoje, eu tenho uma boa conversacom eles de qual é o roadmap, quando é que vai ter, como é vai ser feita a atualização,
precisa trocar o hardware e vai ser uma atualização remota via software.
Então esse tipo de conversa já precisa começar a rolar.
(26:47):
Porque a gente está falando de uma compra que eu vou ficar com esse equipamento 5, 10anos.
E pode ser que dentro desse período de tempo a gente tenha já o primeiro
primeiro exemplo lá que é o novo o Kill Day né o Quantum Day então é essa questão dehardware, IoT e automação é sem dúvida muito crítica nessa história.
(27:07):
boa e só rodar minha vinheta aqui para a nossa voz não cansar galera e aí dá uma calmadaaqui ó
O próximo passo, que é próximo etapa que eu queria abordar é o seguinte, como é que está,como é que a gente deveria pensar sobre isso com relação às próprias pessoas envolvidas
(27:29):
nisso, porque no fim das contas quem vai implementar, o algoritmo vai ser criado, enfim,alguém vai ter que implementar isso de alguma forma, na minha cabeça isso volta, a gente
olha para o desenvolvedor de novo.
Talvez um...
A gente comentou ali, vai ter armadinho de arquitetura, alguém vai definir, vai usar o A,o B, C, no fim das contas o pessoal fala, implementa.
(27:51):
Mas a gente sabe que no fim das contas a maioria das falhas software são por falhas deimplementação.
Como é que a tua visão com relação a essa capacitação de quem vai lidar com isso?
Porque o Joaquim que você falou, o Zezinho das Cove que tem uma lâmpada elétrica, sei lácara, nem sabe que isso existe.
(28:12):
Quem criou aquele produto e implementou aquilo, não nem falar de hardware, vamos ficar nosoftware mesmo.
Como é essa capaçação dos desenvolvedores?
Talvez quem está mais envolvido segurança, olha para isso, consegue ter algumas nuances.
Mas talvez para o desenvolvedor, que no fim das contas vai implementar muita coisa, elevai chegar a uma task para ele implementar o algoritmo X.
Ele baixa, faz o download e implementa.
(28:35):
Mas nesse nível, talvez na minha visão, tem que ter pouquinho mais de tempero.
Você está lidando com algo pouco mais complicado.
Assim como implementar uma simples task de, eu estou fazendo aqui um banco, uma coisa é euver o extrato, outra coisa é eu fazer o PIX.
Uma coisa é eu acessar a sua conta e ver o seu histórico, outra coisa é eu tirar odinheiro da sua conta, né?
É muito mais crítico.
Então, uma funcionalidade mais crítica, tem pouquinho, né?
(28:57):
Requeira pouquinho mais de atenção, naturalmente.
Isso também faz sentido.
E como é que você vê essa capacitação daqui para frente?
Tem que ter essa capacitação, vai ter uma outra profissão que vai fazer...
Como é que isso aí?
Eu acho que no final do dia é uma primeira grande etapa de conscientização todos osníveis, desde o nível executivo até o nível operacional, enfim, desenvolvedor.
(29:22):
Esse talvez seja o grande primeiro passo.
esse espaço aqui serve super bem para isso, pesquisa, movimentação que a gente começa aver no mercado serve bem demais para isso.
Começar a dizer que acho que o grande desafio do assunto é assim, todo mundo olha paraisso e pensa assim,
mega futurista, não é para agora.
(29:42):
E quando a gente pega e faz o cronograma de trás para frente, a gente vê, não, peraí, jáestá na hora de olhar, não vou dizer de novo que é desespero, tem que fazer para amanhã,
mas está na hora de começar a olhar.
setembro de 2025, a gente está conversando aqui, pô, orçamento de 2026 na empresa já estácomeçando a ser discutido, já vale considerar, coloca a mensagem, mesmo que não emplaque
(30:05):
para 2026.
Aí já coloca a mensagem para 2027, mas algo tem que começar a ser feito.
Não pode deixar a coisa para a última hora como muitas vezes a gente deixa.
Nós como sociedade.
Enfim, acho que grande ponto é a conscientização.
E uma vez talvez passada essa etapa, aí vai pouco para as capacitações maiscompartimentadas que eu falei antes.
(30:31):
Vai depender pouco do papel de cada um.
Vamos focar pouquinho no desenvolvedor.
É importante que o desenvolvedor tenha uma visão, primeiro, mais geral de riscos, aquelaquestão do security by design.
Na realidade, cryptografia, só a cryptografia salva, você falou antes, mas isso entradentro de contexto maior gestão de risco.
(30:52):
Tudo começa assim, eu vou desenvolver uma coisa nova, que dados isso vai manipular?
Isso aqui, agora recentemente, experimentamos bastante disso com mundo de AI.
Os primeiros projetos de AI eram tudo FAC.
sommelier que dava dica de vinho.
Tudo informação pública, sem muito estresse, vazar, vazou, sem mexer com o dado de clientee aí vai.
(31:16):
E todo mundo botando o pezinho na piscina assim.
Um atendimento ali ao cliente numa faca, uma coisinha mais de apoiar, uma escolha devinho, como é de novo o exemplo que eu estou dando aqui.
Mas à medida que o pessoal começa a entender pouco mais como funciona, quero resolverproblemas de negócio, está me dando resultado bacana e tal.
Aí a primeira coisa é a tá, vocês vão pegar onde é negócio, que dados que eu voumanipular?
(31:39):
A, B, C, que tipo de risco isso representa?
Ah, tem LGPD que aplica, é risco de negócio, é uma informação sensível para o negócio,etc.
tal.
Minimizar o máximo, a gente às vezes adora, quanto mais dados melhor, Tem uma máxima doBruce Schneier que já tem uns 10 anos aí que diz assim, os dados são tóxicos, né?
(32:01):
Então, assim...
mínimo possível.
Então assim, minimização.
Aí uma vez que identifique qual é o dado que realmente precisa, como é que é coletado,como é que é tratado, eu posso escolher o melhor algoritmo, que vai depender muito do caso
de uso.
Sabe que uma coisa importante que tem sido bastante discutida, e a gente na Capgemini temQuantum Lab lá na Europa, um trabalho bacana que os caras têm feito, é de benchmark dos
(32:27):
algoritmos.
Não adianta também eu pegar uma aplicação nova qualquer
está usando algoritmo baseado RSA, chega o tiro e coloca um algoritmo baseado Sphinx, édos tipos do nicho, o Falcon ou qualquer que seja.
Não vai ser o mesmo desempenho.
Do lado do cliente até assim, beleza, cai pouquinho, mas o cliente não nota.
(32:51):
Mas do lado do servidor que está moendo um atrás do outro de decriptografar as mensagens,você pode derrubar o serviço.
Então assim, também precisa ter esse trabalho de benchmark, de escolha das melhoresimplementações, das melhores soluções de algoritmo para cada situação e aí define uma
política e aí se utiliza.
Então é interessante que os desenvolvedores estejam cientes disso.
(33:12):
Muitas vezes não vai ser decisão deles, mas eles estejam cientes disso, que também não éassim, vou lá pegar algoritmo que é quantum safe, coloco hoje numa aplicação que pode
derrubar a aplicação termos de desempenho.
tomar nota 10 por lado, mas tomar nota zero e puxar de orelha pelo outro, porque derruboua performance da aplicação.
levantar a mão, conversar, provocar discussão, trazer a discussão, puxar sempre naultimate segurança para estar fazendo as discussões todas.
(33:40):
Porque pode ser que neste momento você não precise, ou talvez até não deva aindaimplementar algoritmo quanto a Safe.
Mas você sabe, aí vai para a questão inventária, você sabe onde é você colocou o quê.
Aí daqui a ano, dois, três, cinco, precisa trocar.
Você vai lá, idealmente num CMDB, agora, com uma informação dessas, vai lá e tá aqui, temesse algoritmo que precisa ser trocado.
(34:02):
Beleza.
Você está, como a gente tem usado na indústria, criptoágil.
Você está com uma estrutura, processos e uma estrutura de governança que permite que vocêtroque um componente de criptografia de uma forma super tranquila.
Não é algo que está lá hard-coded, É que você precisa reescrever toda a aplicação paratrocar, enfim.
Mas é uma pecinha que você sabe onde é que está, você vai lá e troca por uma nova.
(34:27):
Até pelo seguinte, Cassio, uma outra coisa que eu acho que é importante.
Esses algoritmos que eu falei, que estão começando a ser disponibilizados, você tem comoexemplo Microsoft AWS, pelo amor de Deus, nada contra Microsoft AWS, mas só como exemplos.
Ninguém testou isso ainda.
Tem um modelo do NIST teórico, os caras chegaram e fizeram a primeira implementação.
Ninguém testou isso no mundo real.
(34:49):
estamos testando.
e quando tiver o primeiro computador quântico, pode ser que isso derreta igual umaantírrega no sol.
Então, o fato de ser criptoágil ajuda também a esse risco.
Na hora que se identificar alguma coisa, alguma vulnerabilidade nesses algoritmos novos,você rapidamente troque.
Porque, o processo de gestão que existe nessas empresas, Microsoft vai detectar que temproblema naquele algoritmo, vai elaborar lá patch, uma nova correção, etc.
(35:19):
e estar disponibilizar.
Aí você precisa do seu processo de gestão de vulnerabilidade, inventar gestão devulnerabilidade para corrigir.
Mas enfim, só voltando para a questão da capacitação, que eu já puxei vários outrosassuntos.
Mas eu acho que isso, começa muito com conscientização e depois acho que começar aentender esses mecanismos, papel de cada o que existe disponível de ferramental e
(35:43):
processo, etc.
para entender ali qual é papel do desenvolvedor dentro dessa engrenagem toda.
E trabalhar de forma colaborativa, claro, sem apontar dedo etc.
Ninguém vai ter sucesso fazendo isso.
Mas trabalhar de forma colaborativa, você entra do lado, dá sugestão, vi isso, vi aquilo,você já pensou nisso, já pensou naquilo.
E aí a coisa se constrói de uma forma mais bacana.
Até a aplicabilidade do algoritmo, que você falou muito bem, o benchmark de performance éuma coisa, mas, por exemplo, você não usa criptografia assimétrica com assimétrica para o
(36:10):
dado em descanso ou transporte, cada uma tem o seu propósito ali.
Então, até nesse contexto do cara saber o que e para quê, para não sair...
A gente sempre brinca de matando formiga com a bazuca.
Então, tem pouco dessa noção, eu diria.
E na pesquisa eu vi também lá que a Capgemini falou o seguinte, 70 % das organizações jáplanejam adotar soluções de segurança quântica nos próximos cinco anos.
(36:41):
Aí eu imagino que a pesquisa foi feita com empresas de grande porte.
E talvez isso até mencionado algum momento.
Por quê?
Você pode comentar sobre isso, mas no dia a dia, talvez dia a dia pouco mais ali nocódigo, vamos falar assim, tirar os chapéus aqui, né?
Tem de chave chumbada no código.
Às vezes o CID do algoritmo da criptografia tá chumbado num arquivo de configuração noKubernetes.
(37:06):
O desenvolvedor fala, não, mas tá no sequence do Kubernetes.
Fala, tipo, porra, velho, não muda muita coisa, né?
Aí o outro, não, mas tá base 64 o CID.
Então, na prática tem muita coisinha que não vai ajudar muito no dia a dia, minha vista,assim.
É aquela história, né?
Tem um meme que tá rolando aí, é
(37:27):
como se fosse uma puta estrutura bem feita e tal, assim, bonita.
você vai lá embaixo e uma pecinha de dominó segurando negócio assim.
Tipo, você tirou a pecinha de dominó, cai tudo.
Então, às vezes é isso.
O cara tá com o computador quântico na mão, vai lá, po, senta chumbado algum lugar, po,vai lá e destrói tudo.
Talvez essa questão de...
(37:47):
aí pegando esse dado específico, né, de 70 % das organizações estão planejando adotaressas soluções de segurança quântica já nos próximos cinco anos.
Você tem alguns insights de...
Como elas chegaram a essa decisão?
Daqui cinco anos ou nos próximos cinco anos eu preciso fazer outra coisa.
Eu olho pra minha vida e falo, nos próximos cinco anos eu preciso emagrecer.
Nos próximos cinco anos eu preciso engordar, nos próximos cinco anos eu preciso compraruma casa nova.
(38:10):
Sei lá, você tira parâmetros.
Como é que esses caras chegaram nisso?
Daqui cinco anos eu vou precisar ou nos próximos cinco anos eu preciso disso.
E aí voltando pra minha realidade, os caras não fazem EPSEC direito ainda, há 20 anos.
Eu só queria entender, traz insights pra gente de como é eles falaram isso.
(38:30):
É porque tá no hype, você falou que nem é mainstream ainda, mas o cara viu no pesquisa, ocara viu lugar ou não, acha que tem, como é que isso aí?
Eu vejo, primeiro que sim.
Normalmente os entrevistados são de grandes empresas, é o perfil de cliente da Capigemini.
(38:51):
Desde a pesquisa do ano passado que foi sobre segurança com o GNI, a gente tementrevistado executivos do Brasil, com os clientes e amigos nossos.
Nessa pesquisa, por exemplo, tem também alguma coisa.
É verdade que na GNI teve mais gente do Brasil do que agora, pouco porque eu acho
até questão de cultura do quantum.
A começou a fazer os convites e a pessoa também pensava, não, peraí, eu estou com outrosproblemas.
(39:15):
Enquanto que Genenais já era tema muito mais mainstream ano passado quando a gente fezpesquisa.
Você tem ideia da pesquisa do ano passado?
Teve 15 executivos entrevistados no mundo inteiro.
Sete eram do Brasil.
Esse ano a pesquisa teve mais ou menos uns 15 também do mundo inteiro e eram quatro doBrasil.
Já é número pouco menor.
Pelo fato acho que do assunto não ser tão mainstream ainda.
(39:37):
Mas enfim, bom, então pouco falando pouquinho do perfil dos entrevistados.
relação ao dia que saiu a postura, o entendimento dos clientes, qual é a nossa visão?
Primeiro assim, tem tema que a gente não pode deixar de ignorar, regulatório.
É feio para o profissional de cyber, que adora defender a gestão de risco, falar que nofinal do dia tema regulatório é tema de compliance.
(40:02):
Mas é o que é?
Sejamos realistas.
É o que é?
é.
Então a gente olha algumas regulamentações, principalmente na Europa e Estados Unidos, jádeterminando.
Isso são regulamentações obviamente do governo, claro, quando a gente fala regulamentação,mas regulamentação já é do tipo assim, amigão, se você não tiver com ABC daqui a dois,
três, cinco anos, você não presta mais serviço para mim, governo dos Estados Unidos,governo do Reino Unido, governo de não sei da onde.
(40:27):
Então começa a empurrar a indústria, que obviamente governo é grande cliente da indústriade qualquer setor.
Uhum.
começa a empurrar a indústria nessa direção.
Então, acho que driver importante é a regulamentação.
Por outro lado, também tem a própria questão da gestão de risco.
Então, tem cliente nosso aqui no Brasil, setor bancário, que não está sujeito a nenhumaregulamentação, mas o pessoal está trabalhando nisso e não está trabalhando desde agora,
(40:52):
já dois, três anos, começando a olhar já o que está acontecendo, porque pelo perfil dainstituição, pouco mais conservadora, mais madura de segurança,
Não que esteja perfeito, óbvio, não existe segurança 100%, mas aquele básico já estátratado, então começa a olhar outros riscos, enfim, e por aí vai.
(41:15):
Então acho que tem uma pegada pouco assim do lado de gestão de risco, mas um grandedriver, muito provavelmente, é a regulamentação por isso, que leva pessoal a se mover.
Boa, eu sempre faço essa brincadeira, né?
Aprender a ferver água e fazer gelo, aí você pode começar a inventar de cozinhar arroz,fritar uma batata, mas se matar com o óleo quente lá, Aperte ferver a água primeiro,
(41:36):
enfim.
E voltando ao exemplo que eu falei da ABB, na ABB a gente teve alguns problemasregulatórios, eu tô aqui na Europa agora, né?
Há quatro anos.
A gente teve alguns problemas regulatórios, problemas não, né?
gente teve algumas demandas regulatórias por conta de S-BOM, então...
Eu dei exemplo lá do hardware, entregar o hardware pra rodar lá numa automação de umafábrica, não sei da onde, com software lá dentro e tinha que ter SBOM desse hardware,
(42:00):
Tudo, cada componente lá dentro.
A não conseguia fazer isso.
Por que?
Não tinha um catálogo de bibliotecas, tinha um...
O do hardware era mais fácil, porque tinha o fabricante, era mais fácil as pecinhas.
O software a gente não conseguia.
Aí, arrumamos uma solução, conseguimos fazer um esforço lá, enfim, no fim das contas saiuSBOM.
(42:20):
para um cliente americano, porque a BB presta serviço para o governo americano, enfim.
Então tem uma questão regulatória que, você falou muito bem, empurra.
E esse empurrar é literal, porque a empresa, ela pode, tá, não vou fazer não, deixa aí, tábom, então você perde praticamente as suas maiores receitas, né, o governo, é bom
contrato, etc, etc.
(42:40):
O caralho para ela, não quer ficar de fora, E consequentemente a imagem, aquela coisatoda, isso é muito importante.
e aí tirando o chapeuzinho meu aqui de novo, você falou ponto muito importante, pelo menospara mim, Quando eu olho para segurança, eu vejo a segurança de uma maneira geral de
software para o bem da sociedade.
Tudo hoje opera cima de software.
Então quando a fala de software seguro, a está falando de uma sociedade mais protegida deuma maneira geral.
(43:03):
Então quando você fala, pô, tem banco x brasileiro que está olhando para isso, mesmo semprecisar olhar para isso, isso enche os olhos, porque, porra, então eu sei que tem alguém,
alguém, entre aspas,
olhando para essas questões de uma forma proativa porque quer ter uma marca maisestruturada, oferecer bom produto, bom serviço, etc.
(43:24):
Igual se comprar carro, Você não vai comprar o carro e testar o freio.
Foi testado, muito bem implementado, você só vai lá e apita no freio quando você precisa.
Você não precisa...
Você não vai comprar o carro X porque o freio é melhor, não.
Freio é freio, tem que frear, né?
A menos que esteja quebrado.
Freio é freio, tem que frear.
Então, no meu ponto de vista, a segurança tem que estar sempre lá.
Como você falou bem também.
Não precisa estar 100%, nem vai estar 100 % nunca.
(43:45):
Mas é aquela história, preciso garantir, talvez hoje olhando para a EPSEC, eu não precisoque todo mundo esteja pro quantum, quantum computing protected, mas preciso garantir que o
molecada na faculdade rodando script não vai me invadir.
Só um crime organizado, uma pessoa estrutural, pessoal com tempo e recursos do outro lado,talvez consiga, mas eu tenho que me proteger de alguma forma.
(44:10):
Leonardo, algumas configurações finais, o tempo passa, o tempo voa.
A gente pode continuar esse papo numa segunda parte, gente tem 45 minutos aqui já.
Alguma coisa que você deixou de lado, que você queria comentar, eu acho que foi muito bemexplicado, pelo menos para balizar a galera para onde olhar, como olhar e começar a se
preocupar com relação a isso.
(44:30):
De repente, até uma visão de carreira para atuar nisso daqui para frente, que talvez sejauma demanda muito forte que venha por aí, assim como é a de IA hoje.
Enfim.
considerações finais pra gente encerrar.
Então, Cassio, é sem dúvida.
O tempo passa rápido quando a gente está se divertindo.
(44:51):
Aqui estamos falando de tema que é a paixão nossa, de nós dois.
Talvez uma mensagem interessante para fechar do meu lado é muito se compara o que a genteestá para viver aqui com a computação quântica com o bug do milênio, virada de 99 para
2000.
(45:11):
Só que tem um paralelo interessante.
é provavelmente uma possível corrida busca de novas tecnologias, atualização de parques,etc.
E isso por si só já é uma razão adicional para começar a antecipar, porque obviamentequanto mais você deixar isso para mais tarde, menos gente vai ter, menos recursos vai ter,
(45:32):
lei de oferta e procura de mercado, tudo vai ser mais caro, enfim, então quanto antescomeçar a trabalhar melhor.
Mas tem dois agravantes ainda relação ao bug do milênio, são, o bug do milênio tinha...
data, hora, minuto e segundo para acontecer.
O evento quantum tem o componente da incerteza.
Não vou dizer que pode ser amanhã, porque eu ganho de exagero.
(45:55):
Mas tem componente da incerteza.
Uns falam cinco anos, outros dez, outros quinze, tem que falar de vinte.
Não sabemos.
Mas enfim, e de novo, gente não precisa ter iPhone quântico.
Precisa ter computador numa sala como o Aeronautica, de 70 toneladas, gigantesco.
em algum lugar no mundo e com alguém tendo acesso mal intencionado.
(46:19):
Esse é o que o dei.
É o dia que vai ter essa capacidade desse computador.
Não é necessariamente o dia que a vai estar rodando planilha Excel em computador quântico.
Esse é agravante, é incerteza.
E o outro é a questão que a gente falou várias vezes, você trouxe várias vezes, a questãoda capacitação.
Os skills necessários para resolver esse problema.
(46:41):
O bug do millennium, a precisava de gente, precisava de desenvolvedor.
Agora você precisa de desenvolvedor com a capacitação que a gente está falando aqui,precisa de time de segurança, precisa de arquitetos, enfim, a gente já deu vários exemplos
diferentes de que tão multidisciplinar o problema é.
A vai precisar de skills várias áreas diferentes dentro da organização.
(47:02):
Isso precisa ser criado, construído.
Tudo começa, acho que o primeiro tijolinho dessa história toda, no primeiro degrau dessaescada é a conscientização.
E depois a gente vai crescendo, criando de novo outras camadas de consciente e treinamentode acordo com o papel de cada Mas eu acho que esse é o grande desafio, é gente ter que
(47:22):
lidar, gerenciar essa incerteza e ter que os skills disponíveis.
Então esse é trabalho, eu acho.
E talvez a melhor coisa para fazer nesse primeiro momento é começar a discutir eestruturar essa questão da governança.
Você falou do S-BOM.
O paralelo que a gente faz aqui nesse mundo, é termo que se usa bastante, é C-BOM, éCryptographic Bill of Materials.
(47:47):
Volta para a questão do inventário dos algoritmos criptográficos.
Mas isso está dando guarda-chuva de governança.
Então é governança, conscientização, treinamento.
Esse é o caminho.
Não é uma coisa urgente, mas é uma coisa importante que a gente precisa começar a olharantes que se torne urgente.
Esse negócio, essa história do mistério, O Bunker do Milênio tinha data e hora.
(48:09):
Eu sempre brinco muito, né?
Brinco e é verdade, né?
Pelo menos para quem acredita.
Jesus volta, só não sabemos quando.
Vamos morrer, não sabemos quando.
Não fica esperando para ele se confessar, para ele fazer as coisas certas.
Já vai, Pode acontecer hoje, pode acontecer amanhã, mas vai ter 10 anos, enfim.
Então a computação quântica vai chegar e também não espere, né?
(48:30):
Acho que isso é importante.
Eu esqueci de detalhe
pessoal sempre gosta pera aí vou dar aqui minha vinheta
A gente tem quadro aqui que é o Dev May Cry.
O que a gente faria ou que a gente gosta de fazer para os desenvolvedores chorarem?
Então, cara, já teve aqui de aqueles treinamentos de 99 slides que você tem que clicar eavançar.
(48:51):
Você não pode avançar, você tem que preencher as coisas na tela.
Planilha Excel.
Tem umas coisas loucas aqui.
Eu acho que pegando o tema de hoje, acho que algo para o desenvolvedor chorar, que a gentegosta de brigar com o desenvolvedor muito, eu diria que ele agora vai ter que criptografar
tudo na mão.
não tem mais algoritmo pronto, ele tem que criar todo santo dia um algoritmo novo paracriptografar as coisas dele.
(49:11):
Isso vai ser testado, obviamente, depois pelo time de segurança.
O que não vai passar, porque ele não criptógrafo, vai estar uma bosta, não vai estarcriptografado, ele vai ter que refazer.
Ou seja, ele não vai mais trabalhar, ele vai só ficar criando algoritmo criptográfico.
Talvez seja a minha piada de hoje para os desenvolvedores.
Você quer fazer algum desenvolvedor chorar, Léo?
Léo, hoje eu chamo de Léo, já viro amigo.
(49:32):
Tem alguma coisa que você quer ou quer pular, quer deixar para lá.
sei, talvez tudo que a gente tenha falado hoje já tenha feito o pessoal chorar bastante.
Você deu uma espetadinha final agora, mas eles já estavam chorando o tempo inteiro, euacho.
O que esses malucos estão trazendo aqui para mim?
Mais problema?
Então, poxa, deixa quieto.
O cara pensando, eu instalando meu linter aqui na minha IDE, os caras com computaçãoquântica, eu não, me deixa quieto.
(49:58):
Boa, boa, acho que isso.
Só fazer tudo isso a gente falou aqui já vai se chorar bastante.
Boa.
Pode falar, pode falar.
acho que a própria pesquisa da Capgemini ajuda bastante.
De alguma forma, reconhecendo, vamos dizer, o momento do tema globalmente falando, éinteressante que se olhar a estrutura da pesquisa, primeira metade são os dados da
(50:19):
pesquisa si, e a segunda metade é muita informação, né?
O que, de alguma forma, fala muito do que a gente comentou aqui.
Mas trata várias recomendações, sugestões de como começar, onde buscar mais informação,capacitação, etc.
A própria pesquisa acho que é bom primeiro passo de capacitação também.
Eu tenho o mesmo link do futuro criptografado, porque é a criptografia pós-conte que estáno topo da nova agenda de segurança cibernética.
(50:43):
essa, a mesma pesquisa.
Eu tenho esse link, pessoal que estiver ouvindo a gente vai estar no PDF direto, que é olink do PDF específico, vai estar lá no nosso...
Não sei se você joga no site especificamente, mas vai estar na descrição do YouTube.
Então quem estiver ouvindo outra plataforma, dá uma olhadinha no YouTube, além dedeleitar-se com a nossa beleza, você vai poder baixar o link lá na descrição do YouTube.
(51:04):
Beleza?
Leonardo.
Você está redes sociais, onde o pessoal te encontra, te manda mensagem, pede socorro agoraporque você inventou essa história agora.
O pessoal vai precisar de ajuda ainda.
Vamos lá, Linkedin, Leonardo Carissimi, facilmente localizado, Instagram, Leo Carissimi,os dois principais esses, Twitter, Leo Carissimi também.
(51:28):
Boa.
Boa.
Fechou.
Eu vou colocar esses links todos também lá na descrição do YouTube.
Pessoal, foi prazer, Leonardo.
Obrigado mais uma vez pelo seu tempo de disponibilidade.
Foi papo bem bacana.
É muita coisa mesmo, na verdade.
Assim, dá pra ficar...
Fazer horas aqui dessa conversa, porque é muita coisinha pra gente mastigar, né?
É muita coisa informação nova, assim.
Até pra mim muita coisa nova também.
Enfim, mais uma vez, obrigado.
(51:48):
E, pessoal, não se estão ouvindo a gente.
Obrigado, mais uma vez.
180 episódios da FCK Podcast.
quase chegando aos 200.
Acho que nessa temporada a gente chega ainda.
Se eu não inventar férias, se os vagabundos que tem que trabalhar, que vier trabalhar, agente começa a gravar mais e aí vão ter 200 episódios ainda nessa temporada.
Se não, a gente vai se ver na sétima temporada, mas ainda tem temporada, mês, tem bastantecoisa no setembro ainda e a tem tempo ainda.
(52:12):
Então, obrigado.
Leonardo, obrigado mais uma vez.
A gente se vê na próxima semana.
Valeu.
abraço.
Acabou.
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.