Do legado reativo ao security by design: minha jornada em Segurança da Informação e as escolhas de inovação que aceleram a resiliência

Introdução

Minha carreira em TI e Segurança da Informação percorre plantas de missão crítica, times multiculturais e projetos executados em múltiplos países. O denominador comum: reduzir risco real com decisões que combinem governança, automação e velocidade de resposta. Este artigo apresenta três movimentos estratégicos — feitos de forma deliberada, testável e mensurável — e uma frente emergente que estou avaliando no momento.

1) EDR/XDR autônomo: sair do “ver e reportar” para o “detectar e responder”

Em 2017, atuando na frente de segurança na Soprano, nos tornamos a primeira empresa no Brasil a adotar a SentinelOne. A decisão cobriu operações em vários países e teve como objetivo ganhar efetividade na detecção e agilidade na resposta.

Desde então, a plataforma evoluiu para Singularity XDR, unificando telemetria e automatizando fluxos de resposta para conter ransomware e outras ameaças com IA e dados correlacionados em escala corporativa — reduzindo MTTR e custos ao quebrar silos e ampliar o contexto de incidente.

Ponto crítico para CISOs/CIOs: as organizações que antecipam capacidades autônomas (e não apenas features) tendem a internalizar práticas e métricas utilitárias (tempo até detecção/contensão) antes da média do mercado. O pioneirismo, aqui, não foi “aposta em modismo”, mas antecipação de curva com governança.

2) Vulnerabilidades: do inventário à correção — endtoend de verdade

O segundo gargalo que ataquei foi o “abismo” entre descobrir e corrigir vulnerabilidades (especialmente em thirdparty software e parques heterogêneos). Para isso, avançamos com a Vicarius (vRx/Topia) — e, assim como no SentinelOne, a primeira aquisição foi realizada pela Soprano na minha gestão. A motivação foi técnica e operacional:

• Consolidação do ciclo: descoberta → priorização → remediação na mesma plataforma;
• Automação de patching em OS e aplicativos;
• Patchless protection quando o patch não existe/atrasa;
• Scripting engine para casos complexos (ex.: log4j);
• Priorização por contexto (criticidade do ativo + probabilidade de exploração).

Na prática, isso encurta o tempo até remediar — a métrica que, de fato, derruba o risco no dia a dia. Além de relatórios, o que muda é o cadenciamento operacional: janela de manutenção menor, menos retrabalho, visibilidade unificada e capacidade de responder por evidências em auditorias e compliance.

Ponto crítico para GRC/Operação: a pergunta certa não é “quantas CVEs detectei?”, mas “em quanto tempo corrigi o que importa” — com racional de priorização defensável.

3) Resiliência cibernética na camada de dados: imutabilidade e retomada rápida

A terceira camada é a “última trincheira”: infraestrutura de dados preparada para recuperar rápido e preservar provas. Na minha gestão, a Pure Storage entregou seu primeiro equipamento no estado do RS, o que elevou significativamente o desempenho das aplicações e a resiliência operacional. No contexto de segurança, destaco o FlashArray com SafeMode Snapshots:

• Snapshots imutáveis (nem administradores apagam),
• Clones instantâneos para análise forense,
• Restauração em segundos ao último ponto bom, reduzindo downtime em cenários de ransomware e acelerando continuidade de negócios.

Esse modelo se alinha ao conceito de “cyberstorage”: levar detecção/controle à camada de dados, integrando com o ecossistema de segurança (SIEM/SOAR/SOC) para prevenir, responder e recuperar com confiança. 

Ponto crítico para BCP/IR: RTO/RPO só sustentam reputação se forem testáveis. Imutabilidade + recuperação rápida encurtam o ciclo entre “incidente” e “voltamos a faturar”.

Discussão

As três iniciativas foram selecionadas por um critério simples: impacto no risco e no negócio, com processo, plataforma e pessoas sustentando o ciclo. Em conjunto, elas:

1. aumentam sinal (telemetria de qualidade e contexto), 2) reduzem tempo entre saber e agir (automação com controle), 3) garantem retomada quando o pior acontece. Isso não elimina higiene de base (inventário, hardening, identidade), mas puxa a maturidade para cima.

Perspectiva emergente: deception como telemetria de alto valor

Como próximo passo, estamos avaliando a Loki Mesh (https://lokimesh.com), plataforma de cyber deception que orquestra iscas e decoys (rede, aplicações, arquivos e web) para capturar TTPs de atacantes, além de módulos de awareness e “human firewall” em tempo real — úteis para elevar precisão de detecção e reduzir alert fatigue no SOC. A proposta é transformar inevitáveis “toques do atacante” em inteligência acionável e tempo de reação, com baixo atrito de operação. 

A detecção precoce de ameaças internas é um salto na gestão de riscos, conseguir detectar e mitigar possíveis persistências de atacantes ou mesmos Insiders é a nova barreira que as empresas precisam atuar para preservação dos seus negócios.

Conclusão

Inovar em segurança é menos sobre “novidade” e mais sobre escolhas que viram rotina. EDR/XDR autônomo, remediação de vulnerabilidades que fecha o ciclo e armazenamento com imutabilidade/recuperação rápida provaram retorno em redução de risco, eficiência operacional e continuidade. Deception surge agora como multiplicador de sinal e encurtador de resposta.

Minha régua permanece a mesma: menos risco real, mais disponibilidade e confiança do negócio.

Lições aplicáveis (Checklist para líderes)

• Defina métricas antes da tecnologia (MTTD, MTTR, timetopatch, RTO/RPO).
• Automação com governança: fluxo “detectar → priorizar → remediar” auditável.
• Teste de recuperação trimestral: snapshots imutáveis + restauração cronometrada.
• Telemetria útil > telemetria abundante: reduza ruído, aumente contexto.
• Roadmap vivo: reavalie trimestralmente value for money e fit operacional.

Este artigo foi escrito com base nas experiências e aplicações vivenciadas, muitas outras aplicações e ferramentas podem ser igualmente benéficas no seu ambiente, o importante é antecipar os riscos que realmente impactam o negócio e cobrir as lacunas, estar preparado e ter plano de resposta e recuperação é algo que qualquer empresa precisa ter, não importa o tamanho ou quanto fature, todos almejam perpetuar seu negócio, para isso a segurança cibernética deve estar pautada nas discussões estratégicas das empresas.