PODCAFÉ TECH
Aqui você encontrará um bate-papo informal entre profissionais de TI e convidados das mais diversas áreas tratando temas quentes com muito bom humor. Se você é apreciador (ou não) de um belo cafezinho, com certeza vai curtir esse bate papo. Uma forma descontraída e agradável de se informar e manter-se atualizado com as principais questões da gestão de tecnologia. Nossos hosts Gomes, Mr. Anderson e Dyogo Junqueira nos conduzem através deste podcast, sentados em torno desta mesa virtual, tentando reproduzir o prazer daquela conversa inteligente acompanhada pelo cafezinho da tarde, vez ou outra deslizando para uma mesa de bar, afinal ninguém é de ferro. Feito pra te acompanhar na estrada, no metrô na academia ou onde mais quiser nos levar, colocamos o “Pod” no seu café! Pode desfrutar, pois foi feito pra você!
PodCafé Tech
PODCAFÉ TECH
Thais Ribeiro | Como construir Segurança da Informação do zero (e sustentá-la)
Thais Ribeiro é Gerente de Segurança da Informação na Iguá Saneamento, com trajetória que vai do service desk à liderança em governança e gestão de riscos. No papo, ela conta como estruturou segurança do zero em um ambiente corporativo, o que aprendeu ao implementar normas e controles e por que cultura e processo valem mais do que qualquer ferramenta.
PodCafé Tech é um podcast onde Mr Anderson, Guilherme Gomes e Dyogo Junqueira, recebem convidados para falar de uma forma descontraída sobre Tecnologia, Segurança e muito mais.
YouTube: youtube.com/@podcafetech
Instagram: instagram.com/podcafetech
Linkedin: linkedin.com/company/podcafe
Muito bem, muito bem, muito bem. Estamos começando mais um Pó de Café Tech, não apenas mais um, mas um Season Finale! Fim de temporada de Pó de Café Tech, sexta temporada em Serra aqui! Aqui não, tem mais uns 59 minutos. Mas enfim, meu nome é Anderson Fonseca, é o Mr. Anderson, e hoje nós trouxemos pra cá uma profissional de segurança que trabalha com a equipe mais especializada em vazamentos que existe.
SPEAKER_04:É isso é um fato, hein, cara.
SPEAKER_03:Vamos que vamos. Aqui é Guilherme Gomes da Aces Pro, e esse então vai ser o último. É o primeiro da Thaís.
SPEAKER_04:Ah, sim. Diogo Junqueira, CEO da Aces Pro e da C-Cyber Pro. Pra nós é um prazer receber a convidada de hoje. Ela que é gerente de segurança da informação, mas gestora dessa área. Vou deixar ela mesma se apresentar.
SPEAKER_00:Bom, pessoal, prazer estar aqui com vocês. Obrigado pelo convite. Thaís, gerente de segurança da informação da Iguaçaneamento. Agora sim, Iguaçaneamento, né?
SPEAKER_02:Vazaneamento, vazamento. Uma equipe que é especialista nesse vazamento.
SPEAKER_04:Tira tudo. Mas vamos lá, muito bom, miceranzo. Então vamos lá. Antes da gente entrar um pouco, conhecer um pouco mais a Thaís. Que história é essa da lojinha, velho?
SPEAKER_01:Você vai acessar podcafé.tech pra acessar a nossa lojinha, cara. A gente vai encontrar essas maravilhosas. Hoje estão todas iguais. Hoje é porque vocês no finalem, né, cara? Mas aquelas camisetas que você já conhece, com aqueles crocadalhozinhos, aquela caneca maneira, aquele boa. Aquele presente ideal pro seu nerd de estimação. É, pro seu amigo secreto. Essas criaturas, você que tem um nerd de estimação, quer seja um amigo, filho, sobrou você. O que a gente dá de Natal pra um nerd? Lógico. A camiseta do pó de café, kit de camiseta, né? Kit de camisetas, vamos lá. Vamos anunciar no site kit. É legal, né, cara? Seria bacana fazer um kit. Seria bacana. Vamos fazer o kit. Essa lojinha lá deixa fazer isso, né? Gomes acabou de dar uma ideia aqui. Vamos ter o kit de camiseta.
SPEAKER_04:Mas quer saber se tá ganhando pra caralho com essa história, Mr.
SPEAKER_01:Anderson, é verdade? Nós não estamos ganhando nem um centavo. Sério, velho. Nós não estamos ganhando nem um centavo. Pelo contrário, todo o lucro é convertido, 100% convertido, para a Naya Autismo. Diogo, falou sobre a Naya.
SPEAKER_04:É isso aí, é o Núcleo de Arte e Inclusão do Autista, uma instituição lá de Goiânia, de pessoas bem sérias, promovida por pais, organizada por pais de autistas, de pessoas que estão no espectro, né? Então ele inclui autistas ali no teatro, na música, em várias formas da arte. Então eu confio muito na instituição, participo, ativo. Então, assim, 100% da renda da lojinha vai direto ali pra Anai Autismo e basicamente a gente presta conta, tá lá. Se você quiser conhecer Anai Autismo, entra no potecafé.tech, tem um link, tem possibilidade de você doar, seja seu tempo, que é muito importante. Às vezes, ah, não, saiu o Pix. Pix é bom pra caramba, tem o Pix des lá direto também. Se quiser doar sem você comprar na camiseta. Mas se você puder doar o tempo, você puder colaborar, com certeza vai ser muito bem-vindo o pessoal ali. E Gomes, cara, e quem ainda não nos segue no YouTube ou não passou pro coleguinha nas nossas redes sociais? Vocês estão de sacanagem com a nossa cara, né, cara?
SPEAKER_03:Porque assim, sexta temporada chegando ao fim, e só agora que você vai se inscrever no nosso canal, tá errado, né? Então, se inscreve no canal do PodCafetech, no Instagram. E aproveita também pra seguir a Asta CyberPro, que é patrocinadora deste episódio.
SPEAKER_04:Sensacional! Mas vamos lá, Thaís Ribeiro. Vamos lá, cara, uma gestora de segurança de informação. Primeiro que isso não é comum, mas chegar lá, pô, é uma gestora, né? Me conta como é que o bichinho da TI e da segurança te picou, como é que você começou aí, né? Conta um pouco da sua história para os nossos ouvintes.
SPEAKER_00:Com certeza. Olha, só queria te dizer que ainda não é comum, porque o bichinho da TI tá picando as mulheres e é um cenário que tá mudando.
SPEAKER_04:Tá mudando. E a gente faz questão. Não é à toa que escolhemos a Thaís aqui pra finalizar nossas infinales com maior prestígio. A Thaís está se representando muito bem. Com certeza.
SPEAKER_00:A questão de mulheres e tecnologia é raro por enquanto. Eu sinto que as mulheres estão vindo com tudo.
SPEAKER_04:Sensacional.
SPEAKER_00:No meu time mesmo, eu tenho duas mulheres, né?
SPEAKER_04:Legal.
SPEAKER_00:E acho que a gente está com equipes cada vez mais mistas, o que tem contribuído muito para o ambiente corporativo.
SPEAKER_04:Isso é muito importante. A gente faz um papel aqui de tentar cada vez mais incentivar que isso aconteça, né? E que isso aí pra gente.
SPEAKER_03:E nas empresas, né? Que não são porque é onde paga quanto é o pó de café, a gente tem bastante isso nós trabalhando. Na nossa área certa.
SPEAKER_04:53% do corpo é feminino.
SPEAKER_03:E assim, ano após ano a gente vê quanto mais meninas entrando, né? É sensacional no mercado. Mas conta lá.
SPEAKER_00:Bom, eu não comecei em tecnologia de propósito. Na verdade, eu vim de uma familia muito humilde, da zona leste de São Paulo, ali, de Itaquerão, Zé.
SPEAKER_04:Corinthians, né?
SPEAKER_00:Criada pela minha mãe anda, a familia ofers. And I was a bolsa ProUni in a course very generic tecnólogo, in my faculty that was arrogant to arc with things to do. I consigned my opportunity in a service desk in an empresa chamada Sonda.
SPEAKER_04:She was a sonda, I began escutando reclamar no support. Exactly. Ah, imagine.
SPEAKER_00:E aí foi meu primeiro contato real com tecnologia. Ali naquele meio eu comecei a me descobrir em cima de gestão de governança de TI, então ISO 20 mil, gestão de problemas, mudanças, relacionamento com o negócio. And it was in the vida. Dentro da Sonda, I trabalhei na sonda for quase seven.
SPEAKER_04:Fez uma jornada bacana, né?
SPEAKER_00:Foi myotinho, I promoted seven times. When I was 23 years, I was a coordinator of the team of gesture of quality, which was sort of ISO 20 mil, those processes of ISO. And I received an opportunity to develop the TI Corporative on Segurance of the Information for the Adequation of SOC for the Chile. And I did a dilemma, I just had a car of gesture.
SPEAKER_04:That pass at the pass for another pass at front, right?
SPEAKER_00:Exactly. And I say I was envolvida in ISO 27001, o Service CDS was certificated, and I think it was a opportunity to elevar meus conhecimentos técnicos.
SPEAKER_04:Você desafiou realmente ali.
SPEAKER_00:Exatamente. Eu gostava do cargo de gestão, but I was a certain manner I mean I permaneces alien gestão de qualidade. I don't evolution, what was the camera to segue? And I was going to design auditoria that were postered at a certain time. And in circa one year, I conseguired recuperarly, months of gesture of controles, following senhas, gesture of monitoring, gestão of access, gestão of vulnerabilities, a proper gesture of desenvolvimento seguro. And this foi o começo da minha jornada.
SPEAKER_04:Caramba, mas é exato, o começo foi, já foi, já foi punk, né, cara?
SPEAKER_01:Eu acho legal o seguinte: eu percebi uma abstração que você fez ali, que não é muito comum, que as pessoas não fazem. Você estava no suporte, atendendo dificuldades do dia a dia, mas você não ficou olhando para o dia a dia, para o problema da impressora, você deu um passo atrás e entendeu o work frame que estava por trás daquilo.
SPEAKER_00:Exatamente. O que aconteceu? Para mim, foi meio providencial. Eu estava estudando ART, o IS20MI0, estava me certificando. I sabia que o caminho da certificação era adequada. I sempre olhava onde estavam as pessoas que já haviam chegado onde eu desejava.
SPEAKER_04:Que já tinha sabido onde você queria chegar.
SPEAKER_00:Então, todo o dinheiro que sobrava, eu guardava, tirava a certificação. A gente sabe que era dólar, era complicado, but I fazia isso. E aí, como eu era certificada, a collaboradora who era do time de gestão de qualidade saiu de licença maternidade, andaram atrás de mim e falaram: tá, você não quer cuidar desses processos durante esse período?
SPEAKER_04:Não sei como é que é.
SPEAKER_00:Andrew de licença maternidade, quando ela voltou, eles criaram duas vagas. Because o ambiente já exigia isso. So I think a gente precisa sempre buscar estar preparado, porque a oportunidade pode vir. Então foi isso que eu procurei fazer.
SPEAKER_04:Sensacional. Muito bom. E desde então eu imagino que você foi aprofundando bastante ali na questão para chegar à gestão. Então, a sua jornada começou ali com a questão do ISO, por 27 mil, etc. E aí, como é que se passou a partir daí?
SPEAKER_00:Bom, quando eu estava na sonda há uns seis anos e meio, eu comecei a me questionar, né? Será que eu sou boa mesmo? Ou é só por conta desse ambiente? Será que é só porque essa gestão já gosta de mim? Será que em outro lugar eu conseguiria fazer alguma coisa? E aí eu resolvi.
SPEAKER_04:Perguntas filosóficas da vida, olha só.
SPEAKER_00:Quem sou eu? Pra onde vamos? E aí eu comecei a procurar emprego bem ativamente mesmo. Eu buscava quem era a minha engenharia social, né? Linkedin, quem era recrutador da empresa que eu gostaria de trabalhar, mandava mensagem para aquela pessoa.
SPEAKER_04:LinkedIn também é onde você queria, legal.
SPEAKER_00:Exatamente. E aí nisso eu consegui uma oportunidade na Mandik, que foi o primeiro provedor de internet do Brasil.
SPEAKER_04:O primeiro acesso da IBBS aqui no Brasil foi na Mandik.
SPEAKER_00:Exatamente. E aí eles tinham ali a necessidade de manter uma certificação de PCI e DSS, que é uma certificação mais aprofundada, mais técnica que a 2701.
SPEAKER_04:Bem mais aprofundado, não tem problema. Bem mais, exatamente.
SPEAKER_00:Muito mais cuidado aos detalhes, infraestrutura, redes, enfim, uns controles mais assertivos ali. E aí eu falei, então vamos. Então, essa foi a minha segunda oportunidade. Basicamente, eu trabalhei na Mandike por um ano e meio, fazendo a gestão desse ambiente. E a partir dali, quando eu via que eu havia atingido um certo nível de satisfação em relação ao que eu havia atingido dentro da companhia, o que eu havia conquistado, as certificações e tudo mais, eu decidi buscar outro emprego.
SPEAKER_01:Você estava medindo até onde deu para você evoluir. Cheguei no meu teto aqui e já deu para a próxima.
SPEAKER_00:Então, não adianta você ficar esperando, né? A gente tem que buscar. Exatamente. Depois disso, trabalhei na COD, que é um sistema de cadastro positivo aqui no Brasil, também com o PCI, com o ISO 27001 e com o 22301, que é para gestão de continuidade. Depois disso, entrei na Ultragás, ainda como analista de segurança, mas aí como analista sênior. E da Ultragás consegui essa oportunidade como especialista na Igua. Grupo USB-Gigante, essa infraestrutura lá. Exatamente. Era uma delícia trabalhar na Ultragás. A diferença só é que, assim, como era um grupo, a estratégia de segurança da informação, na época, era ditada por um SISO que estava acima de todos. Então, a gente não tinha muita opção enquanto companhia de qual caminho seguir.
SPEAKER_01:Você tinha que seguir aquela asa. Exatamente.
SPEAKER_00:Então a gente tinha muita oportunidade de implantar coisas que eram massas. Era presencial? Era presencial.
SPEAKER_01:Era um prédio lá no prédio lá em Campinas.
SPEAKER_00:Não, tem um prédio na brigadeira, Luiz Antônio. E aí veio a pandemia. Veio a pandemia, enfim, foi a minha transição da Ultragás para igual saneamento. E igual foi uma oportunidade diferente, porque basicamente eu fui o primeiro cargo de segurança da informação que foi criado na companhia. Então, não havia uma área específica para a segurança da informação.
SPEAKER_04:Então você começou a desenvolver a área de segurança, né?
SPEAKER_00:Exatamente. Basically, as long as I entered, passed quatroes, a gente had rodado an assessment, which precisava percorre based on the risks of the organization. Quatro years ago a genteck. This attack, the part is that all that had made as a planner básical feeling with that fatal for the company.
SPEAKER_04:Exactly in three years. Como é que é chegar num dia e falar assim, então, veja bem, vamos para a sala de guerra ali, que tem um senhor bateu na porta. Conta pra gente depoimento, experiência, é claro, mostrando por que deu certo você sair do outro lado. Isso é importante a gente noticiar para o pessoal.
SPEAKER_00:O principal fator para dar certo foi ter uma diretoria de tecnologia que é tão dedicada e estava tão proposta a cercar o time técnico para evitar que os ruídos chegassem na gente. So at the prime moment, a gente é obrigado a fazer um lockdown, porque a gente não sabe exatamente de onde veio o Hansor, quais são os efeitos dele dentro da companhia, ando principal desafio. A alta direção precisa confiar muito no seu diretor de tecnologia para ele virar andar, eu vou desligar tudo. E a nota a gente volta. So ele foi muito incisivo, foi muito firme em relação a isso e foi algo que a gente conseguiu manter. Ando, a gente montou duas operações distintas. Uma operação que estava focada em identificar de onde vinha aquele hamster, como é que ele havia se propagado no nosso ambiente, e uma operação que estava dedicada no processo de recuperação do nosso ambiente. So, tudo que era básico, gestão do backup, restore, estava tudo testado, estava tudo adequado.
SPEAKER_04:Não adianta só fazer, estava testando privilegiado.
SPEAKER_00:Exato, acessos privilegiados estavam revisados. Enfim, a gente tinha tudo que era básico para resolver e o nosso EDR, que havia sido hardenizado, parou o Hansor na primeira máquina.
SPEAKER_04:Uau, sensacional. Hardenização é o negócio.
SPEAKER_00:Exatamente, é o básico, é o arroz com feijão, mas eu salva o negócio.
SPEAKER_04:É assim que acontece no direitinho. É o básico, mas é o básico no papel. Mais sempre que acontece.
SPEAKER_01:O pessoal não faz.
SPEAKER_00:Bom, a gente ficou nesse processo de lockdown durante 44 horas. A gente fez toda a restauração no ambiente. Eu tinha ali naquele momento, eu não respondia para o diretor de tecnologia, eu respondia para o Adriano Basso, que era nosso gerente de infraestrutura. Ele é um cara brilhante que também conduziu toda a operação de recuperação. De maneira super eficiente, de maneira que a gente não desperdiçasse. Nossos recursos que eram pessoas que estavam exaustas.
SPEAKER_04:Imagino, 40 e tantas horas ali todo mundo tentando ajudar a salvar o problema.
SPEAKER_00:E aí, bom, recuperamos o ambiente, não tivemos prejuízos. Eu estou falando aqui no podcast porque isso virou uma nota para o mercado - uma informação pública. Não desejo isso pra ninguém, mas acho que a gente teve ali, né? Todo o processo básico técnico do nosso ambiente estava feito e a gente tinha uma liderança que estava muito preparada e que não ficava em cima do time apavorando a situação. Isso é muito necessário.
SPEAKER_04:Confiou que ia dar certo ali, sabia que estava em boas mãos e foi legal, cara. Que bom que deu certo, estava tudo bem planejado. Nem sempre o final é feliz, assim, né? Vocês estavam bem preparados, é um bom sinal aí pra todo o mercado. Legal.
SPEAKER_01:Tem uma coisa bacana sobre essa coisa da gestão de segurança. Porque acontece, quando você. Ah, legal. Você é um profissional de segurança. Às vezes o cara vai pelo ramo técnico, né? O cara quer aprender a fazer um, sei lá, um pen teste, ele quer se aprofundar technicamente, desenvolver soluções e tal, do ramo de segurança. E tem a parte de gestão, que você vai entender framework, você vai colocar ali processos em ordem, você vai manter a coisa de acordo. Você foi justamente pela área de gestão, que é essa. Às vezes a pessoa comprou errado, né? Às vezes o cara vai para o mercado procurando alguém de segurança e procura alguém muito técnico. Mas se você não tem uma gestão instituída, não adianta. Como é que foi isso para você quando chegou lá não tinha nada também? Você tinha que lidar já com uma outra equipe, porque já estava estabelecida, com um processo que já estavam rodando andar. Como é que foi começar a cavar um cenário novo, construir, aliás, um cenário novo?
SPEAKER_00:Como é um processo que veio de cima para baixo, a diretoria de tecnologia via a importância da segurança da informação. Então o aculturamento, a roupa no resto do time foi algo que aconteceu naturalmente. Eu não encontrei resistência no time of infrastructure. Tava todo mundo com os ouvidos abertos toquem, putz, I was an usuario administrator, I don't devia terrible, access to the internet, what you have. This ambiente collaborative was propício for this. E de fato, I think opportunities on a gente falar sobre gestão de segurança da informação, which are atribuições distintas de um pen tester. Com certeza.
SPEAKER_04:É completamente diferente, né?
SPEAKER_00:Andribuição é distinta, como o perfil do profissional é diferente. Então, acho que tudo contribuiu para isso. A gente estava num modelo adequado. Legal.
SPEAKER_04:A gente talvez vá entrar aqui e falar um pouco de BLA, BLA, business logic attacks. Para quem não sabe ainda o que é, consegue definir para nossos ouvintes o que é o BLA.
SPEAKER_00:Com certeza. Bom, basicamente eles são ataques que não exploram vulnerabilidades técnicas, eles exploram lógicas processuais, lógicas de negócio. Legal. É como se um atacante olhasse para a sua aplicação e visse, bom, você tem um nível adequado de maturidade em segurança, testei aqui um OASP top 10, não conseguia achar nada. Mas como é que estão os seus processos? Como é que estão as suas APIs? Será que a lógica dos seus processos pode ser usada contra você? Teve um caso muito interessante na Coinbase em 2022, que o pen tester da Coinbase descobriu que ele conseguia vender criptomoedas que ainda não estavam na carteira dele. E era uma falha lógica na API que cuidava da base da carteira.
SPEAKER_04:Isso pode dar um problema bom, hein? Exatamente. Literalmente. Nossa senhora.
SPEAKER_00:E por aí a gente vê problemas relacionados a reuso de cupom de desconto, a fazer bagunça no carrinho de compras. Todos nós já vimos, né?
SPEAKER_01:Isso é basicamente engenharia social for business, né? Engenharia social for business.
SPEAKER_04:Cara, e assim?
SPEAKER_01:O Gomes me olhou assim porque uma vez eu peguei um cupom mágico que o cupom só ficava. Gente, até onde vai isso? Uma hora vai parar esse cupom. Eu já tava curioso, o cupom.
SPEAKER_03:É, não parou só em você, né?
SPEAKER_01:Obrigado pelo cupom. Eu tô fazendo um teste aqui meramente por questões de segurança. Depois a gente cancelou todas as coisas.
SPEAKER_04:Deixa bem claro.
SPEAKER_00:E eu gosto de pensar que se a gente começar a prestar atenção, esse tipo de problema está em qualquer lugar. Eu estava andando de Uber no mês passado e era uma viagem longa, e o motorista se enfesou com alguma coisa e ele resolveu ligar para outros dois amigos para fazer uma conferência.
SPEAKER_04:Dentro do Uber?
SPEAKER_00:Dentro do Uber, comigo lá. Ele fez um Meet.
SPEAKER_04:Ah, vamos fazer uma Uber Meet aqui agora.
SPEAKER_00:Exatamente. E aí, naquela ligação com aqueles colegas, ele pega e reclama: Eu nunca consigo ser selecionado pras caronas que eu quero dar. O algoritmo tem algo contra mim. E aí o amigo ouve e fala assim: Eu descobri um jeito de burlar o algoritmo.
SPEAKER_04:Olha só você, Uber! Se liga no jeitinho, vamos lá.
SPEAKER_00:E aí ele diz: quando a viagem vier pra você, ao invés de você clicar no botão e soltar pra aceitar, você clica no botão e congela a tela. Olha. 100% das vezes que eu congelei a tela e fiquei segurando o botão, eu fui selecionado pras corridas. Testa você.
SPEAKER_04:Uau, meu Deus do céu. Osuário é um negócio. Ele acha, ele acha, por exemplo. Como é que descobre o negócio? Pra que ele ficou parado? Ali, entendeu? Pra que.
SPEAKER_01:Vou testar, vou ter que estudar, vai que dá certo, né, cara? Que loucura. Ele tava ali e falou assim: vai dar, vai dar, vai dar, vai dar.
SPEAKER_04:Ué, deu. Caramba, velho. Assim, só de falar de BLA, cara, a gente já pensa que é um puta problema. E por que você acha que é tão foda de detectar, né? E quais os riscos que vocês podem trazer? Porque a gente tá aqui falando bastante tempo de segurança de informação, e o que eu me recordo é a primeira vez que a gente fala, duzentos e tantos episódios, seis anos, que a gente fala sobre BLA aqui. Então, é um tema que o pessoal do outro lado lá fala: gente, realmente faz sentido. Fala pra gente o que você acha que é tão importante e ao mesmo tempo difícil detectar.
SPEAKER_00:Bom, basicamente é porque as ferramentas tradicionais de segurança estão preparadas para atender casos de uso técnico. So I identificar uma SQL injection, um cross-site scription. Eles não vão detectar comportamento. And todas as empresas que eu passei, colegas que eu converso, é que a gente não tem do time de desenvolvimento, as fábricas de software, um desenho do happy path da aplicação. O caminho feliz da aplicação. Qual é o comportamento adequado do usuário? O que ele de fato faz? Ah, ele vai logar, ele pode clicar no carrinho, ele pode inserir algo no carrinho, ele pode fazer o pagamento. Qual é o caminho feliz? Se eu não sei qual é o caminho feliz, eu também não sei dizer o que é uma anomalia.
SPEAKER_04:Não sabe o que é o caminho triste.
SPEAKER_00:Exatamente.
SPEAKER_03:Não vai perceber que tem um cara fazendo compra loucamente com um cupom aqui, ou tem um Uber que ficou muito tempo escutando o cara com o dedo colado lá, e tá tudo normal, tá normal.
SPEAKER_01:O que tem o cara a colar o dedo, né?
unknown:Exatamente.
SPEAKER_01:Que doideira. E olha só, isso é bacana pelo seguinte: isso leva também ao profissional de gestão de segurança a se aprofundar não só nos processos de TI, mas nos processos da empresa toda, no geral.
SPEAKER_04:Exato, isso é complexo. Como é que se tenta prevenir isso? Primeiro, duas perguntas em uma. Como é que você tenta prevenir isso dentro de um processo de segurança da informação? Porque não é tão simples, a partir do momento que as soluções, toda vez que está falando palestra, está falando só de CVE, está falando de falha crítica, e ao mesmo tempo você tem uma história interessante de como isso já foi utilizado. Você deu um exemplo aí, mas algum outro exemplo pode ter sido utilizado em casos reais, entendeu?
SPEAKER_00:Sim. Bom, primeiro falando ali do processo de prevenção, como é que a gente constrói isso. Inicialmente, é extremamente necessário a gente construir um relacionamento entre o time de negócios, desenvolvimento e segurança da informação. Negócio e desenvolvimento precisam falar a mesma língua da segurança. Não adianta a gente ter um time de segurança que chega no final do dia com checklist para falar o que você fez ou o que você não fez.
SPEAKER_04:Então tem que ser security by design ali.
SPEAKER_00:Exatamente. E o contrário também é verdade. O time de segurança, ele precisa falar a língua do negócio, porque como é que eu protejo aquilo que eu não conheço? Se eu tenho um rap path da aplicação caminho feliz, isso está bem documentado, isso está esclarecido pro time de segurança, eu consigo fazer um pen test que ele não é só baseado em vulnerabilidades técnicas. Mas eu começo a explorar qual é o comportamento da minha aplicação quando ele foge do padrão, quando ele foge do caminho feliz. Eu me antecipo.
SPEAKER_01:Caramba, caramba. Tha, você já ouviu falar de Evaldas Rimassalcas?
SPEAKER_00:Não.
SPEAKER_04:Nem eu. O que é Evaldo Rimassalcas do Fernando?
SPEAKER_01:Evaldas rimasalcas, né? É o E-Sol. É o Evaldo Rimasalcas. É o Evaldado. É o lituano pescador. Caramba. O cara é pescador. O que ele teve? Qual foi a ideia que ele teve? Sabe aqueles e-mails de empresa tipo contrato arroba empresa não sei o quê? Então, pagamento arroba empresa não sei o quê. Então, ele começou a pegar esse e-mail de onde recebem os contratos e notas e tal. Do Google e do Facebook. Ah, eu sei a história disso. Ele começou, cara.
SPEAKER_04:Ele fodeu o sistema pra caramba.
SPEAKER_01:Ele tirou 120 milhões de dólares. O que ele mandava? Ele mandava nota fiscal de equipamento com um boleto, entendeu? E contrato fake, e os caras pagavam.
SPEAKER_04:E pagou por muito tempo. Eu só não sabia que esse cara da Lutuana chamava ser ok pelo pescador. Mas esse cara arrebentou o cara. 120 milhões de dólares. E aí ele mandava nota e boleta, e as empresas grandem demais. Nota e boleta é sempre eu vou pagar.
unknown:É, vou pagar.
SPEAKER_00:Engenharia social tá sempre acima de qualquer coisa.
SPEAKER_01:É, mas aí já é essa pegada de erro de processo. Pô, ele detectou um erro de processo e foi.
SPEAKER_04:Foi. Loucura. E assim, o cara, você falou dev, aí tem gente que chama o QA. Esse é o tipo de coisa que não dá pra automatizar, né? Precisa do ser humano. Como é que é? Conta pra gente, é curiosidade mesmo que eu não sei.
SPEAKER_00:Não, na verdade, agora, a gente tem chegando no Brasil algumas ferramentas, eles chamam de Blah mesmo, que simulam o Rap Path. Então ela pode. Se você tiver o seu Hap Path, ela consegue simular o que é e aí ela consegue começar a te indicar o que não é, o que é anômulo e você precisa tratar. Então, tem muitas ferramentas que vêm como módulo de firo de aplicação já para o Brasil. E aí a questão é essa, é que não importa a ferramenta.
SPEAKER_04:Você pode souber o rep.
SPEAKER_00:Se você não souber o caminho feliz, você não consegue implementar. Então, quem é de segurança da informação gosta de brinquedo novo. E não adianta todo mundo chegar e falar: vamos comprar, vamos trazer um lá pra casa, não vai adiantar nada, porque a gente tem toda uma lição de casa antes disso. Outro ponto também é que esse tipo de ataque explora muito lógica de APIs, falhas lógicas nas APIs.
SPEAKER_04:E hoje a API, todo mundo, API com isso, API com aquilo, né?
SPEAKER_00:Todo mundo. E é muito engraçado que parece até que a API não é algo que foi feito pra ser reutilizado. Você quer uma API com CPF, eu quero outra, você cria uma, eu crio outra. Cada um de nós cria uma API com uma vulnerabilidade diferente.
SPEAKER_02:É exatamente isso.
SPEAKER_00:E aí o time de segurança fica cego, né? Homem traído, vai saber por último quando a gente sofrer um ataque em cima daquilo.
SPEAKER_04:Dentro da própria IT, né? Porque basicamente vai saber no final.
SPEAKER_01:Tem um hábito maravilhoso que chama de API chumbada no código, né? O cara vai lá, chumba a API lá e tá tudo funcionando. Maravilha, entendeu? Até que alguém acessa aquela maravilhosa API. E aí vira bagunça.
SPEAKER_04:Vira bem bastante.
SPEAKER_01:E até descobrir leva-se um tempinho, né?
SPEAKER_00:Leva um tempo.
SPEAKER_04:E a jornada, aqui eu te garanto que deve ter muita empresa ouvindo a gente, muito gestor de segurança da informação que nunca nem tinha ouvido falar de Bláh, tá? Vou ser sincero contigo. E aí eles estão falando, ok, pra onde eu começo? Como é que eu atinjo? Eu desenho meu rap path ali da minha jornada, entendeu?
SPEAKER_03:Ei, você aí, já se inscreveu no nosso canal, já ativou o sininho das notificações e aquele comentário. E as nossas redes sociais? Você já seguiu a dos apoiadores, da CESPRO, da CESCyber? Bora lá, tá tudo aqui na descrição.
SPEAKER_00:Bom, o primeiro de tudo é fazer com que a gente tenha de fato um inventário ali das APIs. Com que a gente comece a controlar e a fechar essas portas. E a gente fecha essas portas com uma gestão de mudanças adequada no ambiente. Às vezes a gente confunde desenvolvimento ágil com bagunça.
SPEAKER_04:Hum, às vezes não, muitas vezes, né, Thaís? Vamos ser sinceros. Exatamente. E bagunça não, é os squadros ali, vão chamar aquela rotina, entendeu?
SPEAKER_00:Quando a gente faz com que a gestão de mudanças seja algo natural ali para o time de desenvolvimento, a gente começa a barrar esse tipo de desenvolvimento, a revelia. Então, é o primeiro passo, o primeiro aculturamento que não vai gastar dinheiro, você vai gastar tempo, sentar bumbum na cadeira de todo mundo e mostrar como aquele processo pode funcionar para a companhia. Fazer gestão de mudanças, fazer gestão ali do seu inventário de APIs, controlar o que de fato está saindo ornal. Fazer um desenho da sua applicação, o Rappath. Aí sim, acho que você começa a abrir portas para essa gestão de documentação. Isso tem que ser revisto o tempo inteiro, porque nossas applicações se desenvolvem, mudam o tempo todo. O que é seguro hoje pode não ser amanhã?
SPEAKER_04:Isso que ia falar, because that release, o Hap Path pode mudar.
SPEAKER_00:Pode mudar, exatamente.
SPEAKER_04:E qual o profissional, alguém está do outro lado, quem eu vou colocar na empresa para fazer o Rap Path? Qual que é o profissional ideal para ajudar ou o conjunto de profissionais para ajudar a desenhar esse Rap Path?
SPEAKER_00:Olha, o time, o desenvolvedor que está fazendo ali o desenho de pré-requisitos, normalmente consegue fazer, atualizar o desenho de Rap Path. Isso vai depender muito de cada organização.
SPEAKER_01:A gente pegar ele e uma velhinha de 70 anos. Primeiro o desenvolvedor vai lá e usa, depois a velhinha vai e usa e vê o que vai acontecer.
SPEAKER_04:Porque basicamente ele sabe do jeito que ele desenvolveu para isso, mas o usuário às vezes está usando de outra maneira. O repete do usuário não é o repete que às vezes o cara colocou em interessante.
SPEAKER_00:Exato. E a questão também é que muitas vezes a gente tem essa questão da demanda pastel, né? Eu trago um desenvolvimento para o time que precisa ser realizado e aí ele vai estimar que ele faz em duas horas. Ele coloca aquele código em produção em duas horas. Ele não faz gestão de mudanças em duas horas, ele não faz QA em duas horas.
SPEAKER_04:Você leva em conta o que ele vai fazer para produzir o código. Só eu fiz. Só o resto, né? Exatamente.
SPEAKER_01:Vamos lá, temos o Ralf Path, que dia 1, mas dia 2 tem monitoramento, né? Você precisa de fazer um monitoramento ativo para você identificar comportamentos anômalos. Uma vez que você determinou o que é o normal, se você não estiver monitorando, você não vai ver quando o anormal acontecer.
SPEAKER_00:Exato, aí que entram as ferramentas, os blas, né? Que vão mapear, desenhar aquilo que é natural e começar a te alertar. Aí você conecta no seu CIEM e vida feliz. O time começa a analisar tudo o que está acontecendo. Vai ter robô explorando coisa pra caramba, né? A gente sabe, falso positivos.
SPEAKER_04:Isso que eu ia falar agora. Como é que tá, do ponto de vista de Blah, que exprova processos, é IAIA. Aumentou muito a exploração, porque a gente sabe que às vezes envolve falhas humanas, falha de processo. Como é que os ataques de IAs, né? Que a gente sabe que, pô, você faz, você falou SQL injection, aumentou pra caramba, Skip Inject, porque agora maximizou, é fácil de pegar um CVE e pôr pra explorar com IA. Como é que isso acontece no caso de BLA?
SPEAKER_00:Bom, naturalmente aumenta, não por conta de BLA em si, mas porque as capacidades de exercer um ataque de forma autônoma estão muito maiores. E aí a gente combate fogo com fogo, né? As nossas aplicações precisam também estar equipadas e preparadas para detectar um ataque em cima de A. Então acho que a gente segue essa linha. Sensacional.
SPEAKER_04:Thais, onde é que você levantou hoje, pô? Você está lá, gerente de segurança de informação, andou, eu quero. Eu percebi que você gosta bastante, sempre desde o início, né? GIS, 27001, depois FCI, etc. Como é que você chegou em Blah?
SPEAKER_00:Olha, acho que como muita gente em segurança, a gente acaba gostando de certas situations por passar por elas. Em empresas anteriores, I passei por situações de ataques semelhantes, e aí eu pegava e falava assim, cara, por que meu pen test não pegou essa vulnerabilidade?
SPEAKER_04:Você fez a pergunta assim, pô, é um vulnerabilidade.
SPEAKER_00:Eu testei tanto essa aplicação, eu tava tão em dia, eu não tinha vulnerabilidade.
SPEAKER_03:Os seus básicos bem feitos, né? As coisas que precisavam ser feitas foram feitas.
SPEAKER_00:Onde é que eu errei? E aí, nisso, eu fui pesquisar e entendendo ali o ataque que a gente tinha sofrido, compreendi que era em cima de Black.
SPEAKER_04:Eu não sei se entender que não era uma vulnerabilidade. Exatamente. Não tinha o que fazer ali com o Penteste, o Red Team, Blue Team, não era falha ali de CVE, nada disso.
SPEAKER_01:Olha só, a gente está entrando assim, como você está hoje lá cuidando de uma empresa de saneamento, né? Você pode estar matando gente, deixando levar água, deixando levar. It's one of the básicas. Andrade a grande neuroda ficção scientifica that, conforme they're taking more automations, is light digitally and se torn to attacks digitais. Because not necessarily a bomb will exploded to parar um saneamento. Come vocês enxergam isso lá? Política de automomação, o que pode ser automático, o que não pode, ou tem backup manual those? Como é que funciona para a água nunca parar de fluir?
SPEAKER_00:Basically, além de um plano diretor de segurança da informação, existe também um plano diretor de automation. Ele vai estabelecer dentro do saneamento quais são as tecnologias que a gente pode lidar, qual é o nível anda de automoção que a gente vai trabalhar dentro da indústria is bastante complexo because a gente tem uma serie de fabricantes andas trabalhas com seus próprios appliances. And this is pensado with antecedência para a gente ter falhas de arquitetura, falhas de continuidade. This conversa totally with our plano diretor of segurança da information. A technologia vent to habilitar the automation of it to form segura, deform conectada, detect by our ambience, detect attacks de rede in some ambiente, use inteligência artificial for a gente capacidade to detect and respond to this type of situation. Total relacionamento.
SPEAKER_01:Ah, pô, tem uma máquina que automatiza não sei o que e tal. O cara vai e traz uma máquina da China, bota lá.
SPEAKER_00:É, não existe, não existe essa possibilidade. Não tem como, né? Hoje, pra você ter uma ideia, qualquer projeto que envolva a contratação de algum recurso de tecnologia passa por uma gestão de demandas, que aí vai ter arquitetura, infraestrutura. E investiga. Segurança da informação. Investiga, valida a tecnologia.
SPEAKER_01:Comprou Pokéquis.
SPEAKER_00:Não, exatamente. E aí, é claro, segurança da informação precisa ser habilitadora do negócio. Isso é uma discussão que surge muito. Hoje, inclusive, num grupo de WhatsApp de gestores de segurança, ocorreu uma discussão por conta da liberação do WhatsApp.
SPEAKER_01:A gente teve essas últimas semanas. A gente estava no WhatsApp, escutando a liberação do WhatsApp do WhatsApp. Vamos lá. Porque eu não libero, eu não apoio isso aqui. É alguma coisa errada aí, meu Deus.
SPEAKER_04:É o cara sendo removido do grupo. É, então tá bom. É tipo aquele negócio assim: quem aqui é. Tem algum vegetariano no grupo? O grupo lá churrasco e o do Gomes. Tem algum vegetariano do grupo, é o cara levantando. Eu falei assim, ainda bem que você lembrou de mim. Aí, fulano é removido do grupo.
SPEAKER_01:Mais ou menos isso. Ou o cara vira e fala assim: eu não apoio o WhatsApp porque não é seguro. O outro vira e fala assim, não, eu acho o WhatsApp seguro sim. Aí, Mark Zuckerberg curtiu você.
SPEAKER_02:Muito bom, muito bom.
SPEAKER_00:E a discussão era muito porque, apesar de não ser uma ferramenta corporativa, ele é utilizado de forma corporativa e muitas empresas dependem dele.
SPEAKER_04:Tem empresa que fale sem o WhatsApp, né?
SPEAKER_00:Exatamente. E aí um dos caras veio e falou: Ah, não, com esse último malware de WhatsApp, vou usar isso pra levar pra alta direção pra gente bloquear de todo mundo.
SPEAKER_04:Esse que saiu aí com um PDFzinho que é com tudo.
SPEAKER_00:E aí um outro cara veio e falou: Olha, esse tipo de gestor de segurança da informação, que só diz não, era uma treta mesmo, gente.
SPEAKER_04:Eu quero ver o Prince. Eu queria mediar o grupo deles. Gente, calma, calma a cabeça. Esse de novo para réplica. Ele não foi bomzinho, ele chegou nas cabeças no peito. Meu sonho é mediar uma discussão dessa em vida real, aqui numa mesa, entendeu?
SPEAKER_00:Esse tipo de gestor não perdura, porque ele não habilita o negócio. Aí eu fiquei assim, né? Caramba.
SPEAKER_04:10 segundos para a réplica, mas não.
SPEAKER_00:Que climão. Mas na realidade é que a gente precisa começar a fazer as perguntas certas para o negócio. Não é nem dizer não para tudo, nem sair dizendo sim, porque senão eu não sou habilitador do negócio. Esses dias me veio um projeto, tinha um risco elevado em cima desse projeto. Tava numa reunião e na reunião eu percebi que estava todo mundo já triste, achando que eu ia falar não.
SPEAKER_03:Calma, né, cara? O pessoal já fica esperando, não, não.
SPEAKER_04:E é um fato, eu vou concordar com o comentário do companheiro aí que, cara, o profissional de segurança de hoje não pode ser aquele que fala só não. Ele tem que entender, falar não antes de qualquer coisa, porra, vamos entender o negócio aqui primeiro, né?
SPEAKER_00:Exato. E aí eu não falei não. Eu perguntei, eu falei, tá, me fala, você calculou qual é o ROI? E em quanto tempo esse ROI vem? Aí todo mundo travou.
SPEAKER_04:Pergunta boa.
SPEAKER_00:A gente nem chegou a calcular ainda. Não, então calcula. E aí a gente conversa. Porque eu não posso. Como é que eu vou fazer análise de riscos se eu não sei o retorno daquilo? Então, a gente precisa começar a fazer as perguntas certas.
SPEAKER_04:Sensacional. Porque se não tiver ganho nenhum, é não, é óbvio. Agora, se tiver ganho, aí a gente tem que sentar e analisar. Exato. Aí eu tenho que chegar numa pergunta. Por que muito profissional tem o pensamento só de proibir? Eu tenho uma resposta pessoal, mas vou deixar você dar sua opinião. E o que você leva em consideração na hora de avaliar realmente e levar para onboard alguma coisa essa questão do ROI versus o risco. E quando medir, equilibrar essa questão?
SPEAKER_00:Bom, a questão da proibição, acho que ela tem muita relação com a falta de visão do negócio. Você não sabe de fato o que você está operando. Tem muito profissional que, infelizmente, ele leva uma norma embaixo do braço e ele é exatamente igual em todas as empresas que ele já participou.
SPEAKER_04:Porque está nos books.
SPEAKER_00:São as mesmas recomendações, a mesma postura, os mesmos riscos. Ele não muda, ele não entende qual é o idioma que ele está falando.
SPEAKER_01:Nem quais são de necessidade.
SPEAKER_04:Ele tem bastante segurança de informação, que tem os books ali, todo compliance total, mas não o negócio.
SPEAKER_00:Exatamente. E a questão do risco versus ganho, eu comecei a ter essa linha de pensamento, porque a minha diretoria começou a colocar segurança da informação no fórum da alta direção. E é esse o idioma que eles falam. Então, na primeira reunião que eu fui, eu fiquei assim, nossa, eu não tinha resposta para essas perguntas.
SPEAKER_04:Como é que foi isso, cara? Conta pra gente. Porque é legal, sabe por quê? Porque você está falando de algo aqui que muitas empresas ainda não fez. Muitas empresas ainda não chamou o pessoal de segurança de informação, esquenta, não. Pra participar do board, pra discutir essa questão. Então, o pessoal, se você fala ROI, muitas vezes, o cara não vai nem saber do que se trata. Conta pra gente a sua experiência, entendeu?
SPEAKER_00:Bom, a princípio era difícil pra mim pontuar risco, porque eu não sabia exatamente qual era o apetite a risco que eu tava lidando. O meu acionista, ele tá mais aberto? Ele quer se aventurar? Ele quer assumir mais risco para ter mais ganhos, or ele é mais conservador? Onde ele tá? Eu tinha essas dúvidas, mas eu também não tinha muito para quem perguntar. Andou nossa jornada de segurança, muito no modelo tradicional, pensando naquilo que era risco iminente para a company, foi implementando. A nossa diretor de tecnologia abriu um diálogo com a alta direção e a gente começou a participar periodicamente ali dos fóruns com os acionistas. E eu passei a conhecer aquelas pessoas. E as perguntas eram, desde qual o seu maior medo? Como assim, né? Isso é muito filosófico.
SPEAKER_03:Eu ia chegar e falando, eu cego. Eu tenho um problema com o tur.
SPEAKER_00:Até, Thaís, eu quero saber em um ano e meio de segurança da informação, quanto de dano você evitou pra gente. Você sabe calcular isso? Você tem esse número? Quantos incidentes você parou e o que eles significam em termos financeiros para a companhia?
SPEAKER_03:Quantos acidentes você evitou para evitar.
SPEAKER_00:Que foi assim, né? E eu não tinha inicialmente aqueles números.
SPEAKER_01:E é um negócio assim. Você não sabe dizer quantos necessariamente você evitou. Porque se foi evitado, não necessariamente deixou ali um rastro pra você fazer uma auditoria disso. Então, assim, é um negócio meio doido, né? Filosófico também. Porque eu tava falando sobre isso lá no Sul, que eu falei sobre o. Meu Deus, o sistema imunológico humano. Você sabe quantos ataques um ser humano recebe por dia? Um bilhão de ataques diários. É muita coisa. É muita coisa. Caramba. E assim, você não fala de sistema imunológico todo dia, entendeu?
SPEAKER_03:Não, você só fala quando. Exatamente.
SPEAKER_01:Então, assim, um bom professor de segurança, ele tá evitando ataques que você nem imagina. Não necessariamente você vai conseguir quantificar aquilo que você está evitando. Então isso é complicado.
SPEAKER_00:A partir disso, eu busquei ser mais categórica em cima daqueles números reais que eu tinha na operação. Então, eu tenho meu fire, quantos ataques o meu fire travou? Meu fireo de aplicação, quantos ataques o meu EDR travou? Enfim. Trazer esses números pra operação e quantificar. Isso aqui teria. Eu gosto de trazer sempre exemplos. Olha, esse ataque aqui teria potencial de parar a nossa automação. O quanto que isso significa pra companhia, né? Enfim, foi nesse nível que a gente foi trabalhando e tem sido muito bom ter essa porta aberta, tanto com o nosso CFO quanto o nosso CETA.
SPEAKER_04:É funcional, cara. E assim, deve ter sido bem bacana a experiência pra você hoje de chegar e falar, então, vamos avaliar o ROI ali, essa questão. Uma vez que você tem essa questão de ter os números na mão, como é que você avalia realmente o apetite pra risco, né? É difícil atingir o ponto de equilíbrio pra saber a hora de falar não e a hora de falar assim. Ou a dica que você dá pra quem tá querendo entrar nisso agora?
SPEAKER_00:Digamos que o ponto de equilíbrio não é meu. Ele é de fato dos acionistas, porque depois de algumas conversas, eles declararam, isso é processual, que o apetite a risco é baixo. Então eles não estão disponíveis pra cometer grandes loucuras em nome de inovação, por exemplo. Sensacional. Então, eu tenho um imagem. Tem um norte pra seguir. É claro que existem momentos em que a gente precisa levar isso para o CFO, pra ele tomar a decisão. Eu falo, isso aqui tá acima da minha alçada. Legal. Eu coloco pra ele quais são os ônus e o bônus. E ele é o cara que.
SPEAKER_03:Mostra os ciclos e ele assume o que ele me conta muito. Exatamente.
SPEAKER_00:Se houver essa necessidade, sim. Mas tem um norte.
SPEAKER_04:E é interessante isso, porque a partir do momento que ninguém lá na frente vai poder falar, pô, mas você não trouxe essa ideia pra mim. Porque, pô, tá aqui. E realmente eu trouxe, mas você falou. Trabalhar documentado é um negócio. Tá ali. Isso é muito bom, cara.
SPEAKER_01:E eu tô vendo aqui, assim, muita coisa bacana que, na verdade, são boas práticas, né? Então, assim, o que acontece com a boa prática? De repente você ainda não tem o departamento, às vezes você não tem a pessoa e tal, mas essas práticas. Que são fora do céu. Se você trazer isso pra cultura da empresa é sensacional. Quando você chegou, ou quando você chega, né? Qual a primeira coisa que você olha? É a gestão de identidade? É o quê? Por onde você acha que começa a gestão de segurança?
SPEAKER_00:Bom, a primeira coisa que eu olho. É complicado.
SPEAKER_03:Qual que é o seu maior medo? É de voz.
SPEAKER_04:Porque olha esse fala. Rapaz, isso é difícil, hein?
SPEAKER_01:Vou dizer por quê? Pelo seguinte, ela é uma pessoa que tem paixão por métodos, entendeu? E eu vou dar um exemplo que é o seguinte: é lavar louça. Eu tenho um método pra lavar louça. Eu chego na pia, tudo que é lixo eu tiro fora primeiro, depois eu separo tudo que talher, boto de um lugar, boto pratos no outro lugar, boto o copo em outro lugar, e depois eu começo a lavar. Eu faço um processo. Porque assim, se eu lavo um garfo, depois um copo, depois um. Não, tudo garfo. Tudo faca, entendeu? Eu tenho essa. É meu método. Ah, quem te ensinou? Cara, eu desenvolvi o meu método.
SPEAKER_03:Você vai ensinar um método muito melhor.
SPEAKER_01:Bota na lava dentro.
SPEAKER_03:Você abre a máquina e bota na lavazinha, fecha a mala. Mas assim. Não, mas é o fato, né?
SPEAKER_01:E até quando você chega num quarto bagunçado, bate aquele negócio assim, putz, não sei nem por onde começar, né? Como é que é isso pra você?
SPEAKER_00:O primeiro de tudo, lembra que a gente tá falando desde o princípio de conhecer o negócio? Eu preciso saber quais são as joias da coroa. A gente fala muito desse termo. O que é essencial? O que aqui não pode parar? Se isso parar, por quanto tempo ele pode ficar parado até que eu deixe de existir? Então. O primeiro passo é entender o que você precisa proteger efetivamente. Porque. Gente, não existe nenhuma empresa perfeita, nem existe invulnerabilidade. Isso não existe. Só que eu preciso ter um foco. Eu preciso saber o que de fato é importante pra minha companhia.
SPEAKER_04:Estou fazendo um autor, né? Que, Pedro, que você tem que austrio que tá realmente ali na frase que você colocou no seu LinkedIn, que é muito bacana, né? Que você colocou. A cultura devora a estratégia no café da manhã. Ele mesmo também falou, porque, pô, na hora que você falou, isso eu falei, cara, eu vou buscar a frase pra parafrasear ele. Nada é menos produtivo de que tornar eficiente algo que nem deveria ser feito.
SPEAKER_00:Exatamente.
SPEAKER_04:Então, assim, cara, pra quê? Tem que olhar, analisar. Basicamente, eu fiquei falando que eu ouvi essa frase aqui, falei, cara, ela falou. Citou ele de novo.
SPEAKER_01:É o aparato do cavalo morto. Algumas empresas gastam muita energia em cima do cavalo morto. Fala, pra fazer a equipe de marketing pra reforçar o cavalo agora. E o cavalo tá morto, entendeu? Você tá ali.
SPEAKER_00:E é muito importante, como uma qualidade de um gestor de segurança, que ele consiga trazer essa mesma visão para o time. Senão o time fica perdido. Tem um cara que cuida de gestão de vulnerabilidades e ele não sabe que ele tem que cuidar da gestão de vulnerabilidades das joias da coroa primeiro. Ah, mas tem uma vulnerabilidade na conchichina de um site que não está conectado com nada, nem ninguém não tem dado. Depois a gente vai chegar lá. A gente chega lá.
SPEAKER_03:Deixa ele no cantinho dele.
SPEAKER_01:A gente não vai esquecer dele, mas tipo assim, o cara invadiu ali, está invadindo. Não, é o Jorge, tá? O Jorge está aí desde a semana passada, a gente está focado aqui na. Porque assim, o Jorge já está mexendo em lixo ali, entendeu?
SPEAKER_04:Fica tranquilo. E até quando você fala de risk assessment, né? As ferramentas têm ali os MVPs que você tem que monitorar, uma série de coisas, que são os joias da celular. Então é fundamental você saber e conhecer a essência. E não adianta, quem você falou, estratégia, etc., que a cultura da empresa vai sempre prevalecer. Então, se o pessoal não entender a essência e as joias da coroa, fica complicado fazer a segurança da informação também, né, Thaís?
SPEAKER_00:Exatamente. Hoje na Iguá a gente tem uma estratégia muito importante de aculturamento, de envolvimento dos usuários, que são os nossos testes de phishing, nossos testes de engenharia social em cima deles. E acompanhar no dia a dia como é que está o comportamento desse colaborador. A gente tem uma política só para treinamento, conscientização e comportamento. E aí, se o meu usuário hoje baixa o malware de WhatsApp, ele é penalizado por isso. Ele vai ficar sem o WhatsApp durante X dias. É assim que funciona? É assim que funciona.
SPEAKER_04:É legal, olha, são ideias para.
SPEAKER_00:É o cartão azul. Isso vai aculturando. Isso vai aculturando, porque ninguém quer receber um aviso desse. E muitas vezes, muitas vezes, a maioria das vezes não é por maldade que ele baixou esse malware do WhatsApp. Ele não sabia. Mas ele recebe uma penalidade e um aviso. E ele se torna consciente das ações dele e que as ações dele têm consequências. Então, essa questão do aculturamento é muito importante.
SPEAKER_01:E de uma forma discreta também, né? O cara tá tendo a experiência dele, ele tá vivendo a penalidade dele. Não é botar o seu.
SPEAKER_00:Não precisa botar no telão rasteado no mês.
SPEAKER_04:Pessoas sem WhatsApp no mês.
SPEAKER_03:Pessoas para não mandar WhatsApp durante o trabalho.
SPEAKER_01:Muito bom. Cara, assim. Coisas muito legais no que diz respeito a essa pegada de cultura da empresa e tal. E aí eu queria te fazer uma pergunta que é a seguinte: eu vi até uma sátira disso, porque o profissional de segurança vira e fala assim: não, todos da empresa são profissionais de segurança. Aí o cara de vendas fala assim, mas todos da empresa são vendedores. Aí o cara de customer experience fala, mas não, todos da empresa são customer experience, entendeu? Como é que você vê isso? Como é que você leva essa conscientização para o cara lá? Mas na prática, você sabe que ele não é um profissional de segurança. Mas ainda assim, se ele não estiver cooperando com a segurança, ele pode gerar riscos grandes para a empresa.
SPEAKER_00:Sabe como eu levo esse tipo de questão? Eu acredito muito que segurança da informação nas companhias vem contribuir para uma sociedade mais segura. Então a gente está o tempo todo tocando no ponto de que esse comportamento que você tem aqui não te prejudica só aqui. It vai te prejudicar em casa. Eu cansei de receber ligação de funcionário da Iguá porque a mãe sofreu algum golpe, porque ela não sabia, o pai. Andarem a se ligar de que os riscos cibernéticos chegam na casa delas.
SPEAKER_04:Todos os dias, né? A gente estava com o Felipe Prado na semana passada. É muito mais fácil hackear pessoas de qualquer sistema que a Iguá tenha ou de que qualquer outra empresa tem. Então é básico, né?
SPEAKER_00:Exatamente. Então, acho que é um trabalho contínuo. Porque a gente todo dia tem novos colaboradores, todo dia a gente tem novas mentes chegando na empresa. But a gente faz com que eles percebam que aquilo vai além, vai para a vida pessoal dele. Então, ter comportamento seguro pode salvar a pessoa. É isso.
SPEAKER_04:Sensacional. Thaís, não pode deixar de tal. A gente começou a falar a boca oferecida liderança, and I have certainly that there are many people doing a gentleman who have signed to be gestored. And they pensa, but I'm a mulher in a world masculino, direcionado, the faculty ainda, those escolas ainda are homes. And for serve gestor ainda, what dica você dá?
SPEAKER_00:Because for this person who is tenting come out and sabe para onde ir ainda, olha, eu acho que é traçar um objetivo, identificar aquilo onde você gostaria de chegar. And secondo ponto, não ter medo de não estar pronto. Eu não sei se isso acontece muito com os rapazes, mas as mulheres sentem muito medo de não serem boas o suficiente. Eu vejo isso na minha equipe, eu vejo isso nas minhas amigas. Às vezes, pô, fez uma faculdade, fez um curso.
SPEAKER_04:Está super capacitada, mas às vezes vocês entendem.
SPEAKER_00:Está com medo, tá com medo. Trabalhe essa questão de forma racional. O homem racionaliza muito esses sentimentos. Eu acho que a gente precisa racionalizar também. E acho que se conectar com outras mulheres é muito importante e me ajuda muito também. Eu acho que estar em contato com outras mulheres que já atingiram ali o seu sucesso profissional, saber o que elas passaram.
SPEAKER_04:Você é um model ali na área, for example.
SPEAKER_00:Exato, porque muitas vezes os rapazes têm muitas referências e a gente fica um pouco sem. As mulheres ficam um pouquinho escondidas. Eu mesma gosto de ficar na minha bate-caverna a maioria dos dias.
SPEAKER_04:Entendo.
SPEAKER_00:É isso, acho que é isso.
SPEAKER_04:Sensacional. E aí tá aí. A Thaís, hoje, inclusive, o link dela vai estar na descrição do episódio. Se você, mulher, quer trocar uma ideia, né, Thaís? Vai lá no LinkedIn, chama ela lá, conversa que ela pode inspirar muita gente, né, cara?
SPEAKER_01:Vou até mencionar como eu conheci a Thaís, que foi no evento da CSABA Pro e rolando o evento lá, enfim, foi aberto o microfone, e na hora que ela pegou o microphone, começou a fazer umas colocações. Eu falei, cara, essa menina é fera, peraí. Assim, colocações. Eu vi que ela estava lutando contra uma timidez nela, foi assim. Vou falar. Aí pegou e pay. Mas assim, foi muito assertiva. Foi brilhante. Depois cheguei até nela e falei assim: cara, você é muito boa e tal. E foi feito um corte com ela, né? Ela tava com o terninho vermelho, e ficou todo mundo assim: quem é a moça de vermelho? A moça de vermelho. Era Thaís, porque ela tinha feito umas colocações muito boas e ficou famosa com a moça de vermelho.
SPEAKER_02:Tá vermelho, né?
SPEAKER_00:E acho que a diferença que um bom gestor faz na vida de uma pessoa, né? Eu acho que foi muito privilegiada. Eu nunca tive um gestor ruim, acho que eu só tive gestores excepcionais. E eu tenho muitas questões com a timidez, de verdade. Inclusive, aqui eu tô imaginando vocês pelados pra ficar com menos vergonha.
SPEAKER_04:Não prende muito, não, que o Gomes ali só sabe o que é que começou, né? Tem uma visão do inferno, tá? Como é que você sabe? Pô, Gomes, quero dar intimidade. Muita intimidade, muita intimidade.
SPEAKER_00:O meu gestor, o meu diretor, né, Júlio César, ele diz assim, tá, você tem que ir mesmo que você não esteja pronta e você tem que falar mesmo que você esteja com muito medo. Esse medo só vai passar depois que você falar muitas e muitas vezes. É por isso que eu tô no podcast também. Eu tô com medo.
SPEAKER_04:Você tem que fazer várias e várias coisas. Você não vai ter a primeira vez. Você não vai chegar e falar, ó, hoje eu não tenho medo. Acordei sem medo. Não existe isso.
SPEAKER_01:É só praticando, né, velho? Eu vi uma dinâmica sensacional, que o cara tava trabalhando justamente essa questão com o grupo. Ele pegava uma pessoa, trazia a frente da plateia e deixava ele ali, falava alguma coisa e tal. E ele escolhia algumas pessoas. Ele falou assim: Olha aquele cara ali. Ah, beleza. O que você acha que ele tá pensando de você? E aí a pessoa dizia, ah, eu acho que ele tá me achando feio, eu acho que ele tá me achando isso, ele tá me achando aquilo. O que ele tá achando dessa pessoa? Ah, eu tô achando ela simpática. A impressão que você passa não é aquela que o seu cérebro tá tentando te produzir. It's sort of protection. Touch it proteger from a frustration, of a deception, o medo de não ser ouvido. You don't say what he pensed in a year, for example, levant and follow. But what caused the impact was, Nossa, this menina is brilliant. Mesmo tímida, feeling a colocação tão precisa that superou a fala do próprio palestrante. Cara, what I told pra casa, entendeu? Não é o que o palestrante trouxe. Não tenha medo, vai pra frente e fala.
SPEAKER_00:Obrigada, pessoal.
SPEAKER_04:E uma coisa importante, antes escreveu um livro aqui, você falou que caiu na TI, foi por engano, vamos dizer assim, foi uma casa, né? Você chegou lá e de repente escolheu. Você nos conta pra quem quer começar e não sabe por onde, né, cara? Eu acho que é interessante a gente tocar isso. Vou recomendar aqui.
SPEAKER_01:As sete portas da TI, sete numeral mesmo, as sete portas da TI, tá lá. Eu publiquei pela Uiclep, que é, enfim, eles dão condições melhores, mas também está na Amazon, está em outros lugares que você consegue achar lá. E qual é a pegada do livro? Quando você quer começar uma coisa, é muito difícil você descobrir por onde começar, é justamente isso. E às vezes você gasta tempo demais fazendo uma coisa que você nem gosta. Então eu estruturei a TI em sete áreas básicas e coloquei testes, questionários de aptidão. Para você, pô, legal, li sobre infraestrutura. Depois tem ali um questionário de apetidão que você responde e fala assim, pô, será que infraestrutura é o meu lance? Aí depois você estuda um pouquinho sobre sistemas. Aí você vai lá e faz o teste de aptidão de sistemas. Depois você tem uma ideia melhor de caminhos para a carreira. For example, até em segurança, tem lá, você tem o teste de aptitude para segurança, andando logo depois de segurança, tem governance. And a pessoa começa a olhar se ela gosta de segurança do lado técnico, or se ela gosta de governance, se ela gosta de estruturação and recomendo a todos. Não é porque é um livro que eu escrevi, include um negócio engraçado, when I escreve the living e entreguei para alguns. A pessoa fala assim, cara, eu li aqui, mas nem parece chat GPT, parece que foi você mesmo que escreveu. Porque assim, eu ouço a sua voz no treino e falei, é porque fui eu! Em 2025, né, cara? Você pode ser.
SPEAKER_03:Escrevemos livros, né?
SPEAKER_01:Mas é muito bom, recomendo aí. Quem tá iniciando tem que iniciar essa área.
SPEAKER_04:E aí, pro Vetando Gancho, que lá é uma das questões que ele até menciona na palestra dele, que eu tive a oportunidade de assistir, é que tem pessoas que a gente tem que mirar e pra tentar indicar. Então, olha aí, tá aí Thaís Ribeiro, uma mulher, gerente de segurança de informação, vai estar no LinkedIn, galera, troque ideia com ela. Você quer começar, você quer se inspirar em alguém, eu tenho certeza que a Thaís tem muito aí pra agregar, né? Como você mencionou o Prado, tenho certeza que a Thaís vai poder ajudar muita gente que tá ali. Isso é muito legal, cara. A gente quer propagar.
SPEAKER_01:Portas são muitas, mas encontrar pessoas-chave, você essenciais para poder seguir a carreira em frente. Acho que chegamos, né? É, chegamos, cara. Despedida, Thaís, o microfone está em suas mãos para as suas considerações finais. Você pode deixar aí mensagem motivacional, LinkedIn, o que você quiser, fica à vontade, tá contigo. Pode cobrar quem tá devendo.
SPEAKER_04:Agora é a hora, papai. Enfim, fica à vontade.
SPEAKER_00:Bom, pessoal, eu quero agradecer. Acho que foi uma experiência única. Obrigada pelo acolhimento de vocês. Acho que eu não tenho mensagem motivacional, a não ser não desista. Persista no caminho que você escolhe. Acho que se a gente percorre o caminho, estudar as things certainly, se relacionar com as pessoas certas, uma hora a gente sigue do other lado. Obrigada pela opportunity.
SPEAKER_01:Sensacional. Muito adequado, muito perfeito. A gente conseguiu trazer um conteúdo que é pra quem tá começando, é um conteúdo pra quem tá gerindo. Exato. É um conteúdo pra quem tá democrático.
SPEAKER_04:Foi um baita conteúdo. Todo mundo aprendeu aqui hoje, né? A gente aprendeu com você. Obrigado demais, que foi. Foi bacana. E o season finale foi legal, né, cara? Se te falta aí um tempinho sem. Vocês vão ver a cara de novo.
SPEAKER_03:Não vão se cansar da gente. Vocês podem entrar no YouTube vendo os episódios antigos de novo, que ano que vem a gente tá de volta. É, exato.
SPEAKER_04:É, já deu saudade. Até a sétima. Valeu, galera. Abraço. Valeu. Valeu, Thaís.
.png)
