Do legado reativo ao security by design: minha jornada em Segurança da Informação e as escolhas de inovação que aceleram a resiliência

Introdução

Minha carreira em TI e Segurança da Informação percorre plantas de missão crítica, times multiculturais e projetos executados em múltiplos países. O denominador comum: reduzir risco real com decisões que combinem governança, automação e velocidade de resposta. Este artigo apresenta três movimentos estratégicos — feitos de forma deliberada, testável e mensurável — e uma frente emergente que estou avaliando no momento.

1) EDR/XDR autônomo: sair do “ver e reportar” para o “detectar e responder”

Em 2017, atuando na frente de segurança na Soprano, nos tornamos a primeira empresa no Brasil a adotar a SentinelOne. A decisão cobriu operações em vários países e teve como objetivo ganhar efetividade na detecção e agilidade na resposta.

Desde então, a plataforma evoluiu para Singularity XDR, unificando telemetria e automatizando fluxos de resposta para conter ransomware e outras ameaças com IA e dados correlacionados em escala corporativa — reduzindo MTTR e custos ao quebrar silos e ampliar o contexto de incidente.

Ponto crítico para CISOs/CIOs: as organizações que antecipam capacidades autônomas (e não apenas features) tendem a internalizar práticas e métricas utilitárias (tempo até detecção/contensão) antes da média do mercado. O pioneirismo, aqui, não foi “aposta em modismo”, mas antecipação de curva com governança.

2) Vulnerabilidades: do inventário à correção — endtoend de verdade

O segundo gargalo que ataquei foi o “abismo” entre descobrir e corrigir vulnerabilidades (especialmente em thirdparty software e parques heterogêneos). Para isso, avançamos com a Vicarius (vRx/Topia) — e, assim como no SentinelOne, a primeira aquisição foi realizada pela Soprano na minha gestão. A motivação foi técnica e operacional:

• Consolidação do ciclo: descoberta → priorização → remediação na mesma plataforma;
• Automação de patching em OS e aplicativos;
• Patchless protection quando o patch não existe/atrasa;
• Scripting engine para casos complexos (ex.: log4j);
• Priorização por contexto (criticidade do ativo + probabilidade de exploração).

Na prática, isso encurta o tempo até remediar — a métrica que, de fato, derruba o risco no dia a dia. Além de relatórios, o que muda é o cadenciamento operacional: janela de manutenção menor, menos retrabalho, visibilidade unificada e capacidade de responder por evidências em auditorias e compliance.

Ponto crítico para GRC/Operação: a pergunta certa não é “quantas CVEs detectei?”, mas “em quanto tempo corrigi o que importa” — com racional de priorização defensável.