Qual a sua opinião sobre o futuro do papel do CISO?
Para as empresas que estão adotando a IA, o papel está mudando drasticamente. A maioria dos meus colegas que são CISOs há anos hesita em usá-la, e acho que essa hesitação é uma grande falha. A IA é a melhor arma que já vimos em cibersegurança. Estamos trabalhando para sermos capazes de entregar código livre de vulnerabilidades antes mesmo de chegar à produção. Eu não poderia ter dito isso alguns anos atrás. A tecnologia simplesmente não existia.
O que isso significa para a função é que os CISOs que adotarem a IA precisarão ser, em parte, líderes de segurança e, em parte, engenheiros. Metade engenheiro de IA, metade desenvolvedor. É preciso entender o que as ferramentas produzem e do que são capazes, porque, essencialmente, você estará criando aplicativos o dia todo. Liderar uma equipe de engenheiros de segurança que também são desenvolvedores é o futuro dessa área, e acredito que estamos chegando lá mais rápido do que a maioria das pessoas imagina.
As linhas que separam os cargos de CISO (Chief Information Security Officer) e Chief AI Officer (Chief AI Officer) estão se tornando cada vez mais tênues. Um CISO que realmente adota a IA e um Chief AI Officer que leva a segurança a sério, neste momento, desempenham praticamente o mesmo papel.
Você chegou ao cargo de CISO com um MBA e experiência em desenvolvimento de produtos e software, além de suas credenciais em segurança. Esse não é o perfil típico. Como essa formação mais ampla influenciou seu trabalho e você acha que o cargo exige mais conhecimento de negócios do que a maioria das organizações imagina ao contratar?
Fluência em negócios é fundamental para ser um CISO eficaz. Muitos dos líderes de segurança mais tecnicamente capacitados enfrentam dificuldades justamente porque saber lidar com um conselho administrativo e uma equipe executiva é essencial para alcançar resultados. Existe um estilo específico na cultura de segurança que se baseia no medo, na incerteza e na dúvida para embasar decisões. Essa abordagem tem sua utilidade, mas só leva até certo ponto. Ser capaz de entender o que a empresa quer e precisa, e então implementar medidas de segurança que atendam a essas necessidades, é uma enorme vantagem.
Ao mesmo tempo, não se pode ignorar o conhecimento técnico aprofundado. A falta desse conhecimento torna você um CISO bastante ineficaz, porque você não entende realmente os riscos que está gerenciando. Ser um CISO é brincar com fogo o tempo todo. Se você sabe o que está fazendo, entende os impactos, sabe o que pode dar errado e sabe o que fazer quando isso acontece. Sem isso, as coisas podem dar muito errado. Já vi isso acontecer com muita gente. Você precisa de ambos para ter sucesso.
Atualmente, a maior parte das discussões sobre segurança é dominada pela IA. O que eu quero saber é o que os CISOs com visão de futuro devem fazer hoje para se preparar para o risco que a computação quântica poderá representar em breve.
A análise quântica é complexa, e o motivo é estrutural. Os CISOs, por natureza, estão focados no incêndio atual. Certa vez, alguém descreveu a função para mim como ser jogado no meio de um incêndio florestal com a missão de encontrar a borda das chamas. Se algo não é urgente e crítico, a maioria de nós não presta muita atenção, a menos que estejamos sendo deliberadamente estratégicos.
A computação quântica se enquadra nessa categoria atualmente. Sabemos que, eventualmente, ela quebrará a maioria das criptografias. Os padrões de criptografia preparados para a computação quântica que estão sendo desenvolvidos são teoricamente sólidos, mas ainda não sabemos ao certo como eles se comportarão na prática. Atualizar a criptografia, migrar para chaves de acesso, fortalecer a autenticação de dois fatores — tudo isso precisará acontecer, e é um trabalho administrável. Pessoas inteligentes já estão definindo os padrões, e o resto de nós os adotará.
Sinceramente, acredito que as criptomoedas serão o primeiro alvo quando a computação quântica avançada estiver disponível. O primeiro país a alcançá-la provavelmente irá atrás do Bitcoin, e o alvoroço gerado dará a todos os outros tempo para organizarem seus sistemas de criptografia.
O que os conselhos de administração deveriam estar fazendo é perguntar aos seus CISOs quais são os planos deles em relação a isso. Os CISOs precisam estar bem informados. Pelo que entendi, existem aproximadamente oito problemas fundamentais que a computação quântica precisa resolver, e cerca de metade deles já foi solucionada. Temos algum tempo. E há um efeito colateral útil em navegar pelo atual momento da IA. A velocidade e a adaptabilidade que ela impõe às equipes de segurança são exatamente a preparação necessária. Um CISO que sobreviver a este período estará bem posicionado quando a computação quântica chegar.
A fronteira entre segurança e engenharia de produto parece estar mudando. Como você define onde termina a responsabilidade da segurança e onde começa a da engenharia?
São duas faces da mesma moeda, e isso não vai mudar. A engenharia de produto se concentra em fazer as coisas funcionarem bem e em melhorar a experiência. A segurança se concentra em explorar os limites de como as coisas são construídas e encontrar as brechas que os engenheiros funcionais não procuram. Ambas as perspectivas são necessárias, e nenhuma é melhor que a outra. Elas são apenas diferentes.
No início da carreira de um CISO, essa tensão pode ser difícil de administrar. Equipes de segurança aparecendo para dizer aos engenheiros que eles fizeram algo errado não é uma conversa bem-vinda, e a disputa subjacente geralmente gira em torno de tempo e recursos. Aprender a reformular esse relacionamento, a se apresentar como um parceiro em vez de uma função de auditoria, é uma das coisas mais difíceis que um CISO precisa descobrir. Levei anos para acertar.
O que acelerou essa mudança, além da experiência, foi a IA. Tarefas que antes consumiam semanas de trabalho de engenharia agora podem ser feitas em minutos. Quando a segurança deixa de ser um gargalo, a conversa com as equipes de produto muda completamente, e as barreiras que antes definiam esse relacionamento começam a cair por si só.
A confiança é a chave para o sucesso. Entender o que motiva as equipes de produto, a que elas resistem e tornar-se um parceiro, em vez de uma força contrária, é como se constrói confiança e, por meio dela, se concretiza. Simples na teoria, mas não fácil na prática.
Se você estivesse em uma sala cheia de CEOs e membros do conselho prestes a iniciar uma busca por um CISO, o que deveria estar no radar deles que talvez não estivesse?
Criatividade e capacidade de adaptação. Essas são as qualidades mais frequentemente negligenciadas.
Os riscos que os CISOs gerenciarão ainda este ano são riscos que mal começamos a considerar. Há um ano, a IA agente e o que ela poderia fazer em um ambiente corporativo quando conectada a tudo por meio de algo como um servidor MCP não era um risco que a maioria das equipes de segurança considerasse seriamente. Seis meses atrás, mal aparecia no radar de alguém. O ritmo com que novas superfícies de ameaça estão surgindo é extraordinário, e o CISO do futuro precisa ser alguém que consiga aprender rapidamente uma nova tecnologia, testá-la, descobrir como protegê-la e, em seguida, implementar essa segurança de uma forma que não sufoque a inovação que a empresa busca.
Isso exige muita criatividade. O interessante é que o caminho tradicional para a segurança — hacking, testes de penetração, equipes vermelhas — desenvolve exatamente esse tipo de pensamento. Você analisa um problema e encontra soluções inesperadas. Esse instinto é diretamente transferível. CISOs formados nessas áreas ainda representam uma forte fonte de profissionais qualificados.
Mas os conselhos precisam buscar explicitamente essas qualidades criativas e de adaptação, e não apenas verificar credenciais técnicas ou anos de experiência. A capacidade técnica é importante, mas é o mínimo exigido. O que diferenciará os CISOs que prosperam daqueles que não prosperam é a habilidade de operar em condições que não existiam quando começaram no cargo.