Sou Senior Staff Security Engineer com foco em AI Security, AppSec e Data Protection em mercados financeiros regulados.
Este site é meu espaço de pesquisa, escrita e organização de ideias sobre segurança aplicada, governança de dados, tecnologia, finanças e inovação responsável.
Tenho mais de 20 anos de experiência em tecnologia, com mais de uma década dedicada à segurança da informação em grandes bancos, consultorias e iniciativas de fintech. Atualmente lidero projetos de engenharia de segurança que unem risco, privacidade e inovação em ambientes regulados.
Temas principais#
- AI Security: avaliação de riscos, controles e governança para aplicações com IA.
- Application Security: segurança de produtos digitais, APIs e pipelines de desenvolvimento.
- Data Protection: proteção de dados, privacidade e compliance em ambientes regulados.
- Jardim Digital: notas, conceitos e reflexões em evolução sobre tecnologia, carreira e sociedade.
Caminhos#
-
contato
: canais profissionais para conversa.
-
palestras
: apresentações, painéis e participações em eventos.
-
posts
: textos publicados, notas técnicas e reflexões.
-
jardim digital
: espaço de notas, ideias e conexões em evolução.
-
projetos
: iniciativas, pesquisas e trabalhos em andamento.
-
sobre
: perfil profissional e áreas de atuação.
Referências profissionais#
O VS Code em 2024 é o editor preferido dos programadores para escrever código1. Após quase 10 anos do seu lançamento em 20152, observa-se um ecossistema em torno dessa ferramenta, fomentado pela Microsoft, com atuação ativa da comunidade open-source, principalmente no desenvolvimento de extensões. Porém essa ampla adoção trouxe riscos para quem confia cegamente no que está baixando. Vamos entender quais são esses riscos e como podemos nos defender das ameaças....
Depois de trabalhar nos 5 maiores bancos privados do país percebi que todos são iguais, só muda a cor. São iguais na forma como organizam e operam os produtos1 que oferecem.
Há a iniciativa do BIAN 2 de organizar a coisa do ponto de vista de TI, porém não contempla muito das especificidades brasileiras.
Se quisermos entender o aspecto filosófico, do que motivou a sua criação, podemos afirmar que ele é “uma abstração que os humanos criaram para facilitar a vida em sociedade, uma evolução do escambo”....
Bela iniciativa essa da ANBIMA. O processo de avaliação de risco de cibersegurança em fornecedores está tocando cada vez mais as empresas. No setor financeiro, onde a régua de segurança é mais alta, já estamos acostumados com isso, principalmente com aquelas planilhas enormes com perguntas que vão e voltam em nossas caixas de e-mail.
Padronizar as questões que uma IF (Instituição Financeira) associada à ANBIMA deve fazer para avaliar a segurança de seus fornecedores agiliza muito o dia a dia das pessoas que operam esse processo....
Na RSA Conference de 2024, na sessão de trilhas sobre DevSecOps & Application Security, DJ Schleen, Distinguished Security Architect da Paranoids (a divisão de segurança do Yahoo!) questiona se chegamos ao fim do que a prática DevSecOps poderia entregar.
Questões chave Modelagem de Ameaças: É uma coisa chata…Todo mundo diz que você tem que fazer, ninguém faz… E quando faz, é por meio de uma planilha gigante. Então, pra começar a resolver isso, temos que comoditizar o processo e começar pequeno (esse último trecho é meu)....
Muitas empresas possuem seus processos de negócio apoiados em arquivos do Microsoft Office. Não é raro esbarramos com sistemas inteiros que foram desenvolvidos em Access ou Excel por funcionários que sabiam um pouco de VBA .
O problema é quando esses funcionários saem da empresa, o conhecimento de VBA fica restrito a eles. E, se o sistema for muito complexo, pode ser que ninguém mais saiba como ele funciona. Além disso, em algum momento a operação do processo de negócio não escala, devido a limitações dos próprios arquivos, como usuários tentando acessá-los de forma simultânea....