O Crypto ID entrevistou Leonardo Carmona que compartilha insights sobre tendências e inovações que estão moldando o futuro da segurança bancária
Na última semana, tivemos a oportunidade de conversar com Leonardo Carmona, diretor de cibersegurança da Pismo. Com uma vasta experiência em reestruturação de ambientes de Infraestrutura e Segurança da Informação, Leonardo compartilhou insights valiosos sobre as tendências e inovações que estão moldando o futuro da segurança bancária.
Durante a entrevista, ele destacou a importância de uma abordagem proativa na identificação e solução de vulnerabilidades, além de discutir como a Pismo está utilizando tecnologias avançadas como Machine Learning e Inteligência Artificial para proteger os dados dos usuários.
Leonardo também falou sobre os desafios de gerenciar projetos internacionais e a importância da conformidade com legislações locais e internacionais.
Leia entrevista na íntegra!
Crypto ID: Com sua experiência em reestruturação de ambientes de Infraestrutura e Segurança da Informação, quais são as principais tendências e inovações que você vê moldando o futuro da segurança bancária?
Leonardo Carmona: Não é exatamente uma novidade, mas ainda acredito que temos uma jornada importante de cloud para completar. Hoje a maioria do sistema financeiro utiliza cloud computing, mas ainda longe da sua plenitude.
Vejo muitas empresas ainda bastante apegadas à ideia de acoplamento com provedores de cloud, e isso limita muito a evolução.
Seria muito difícil atingir os resultados encontrados pelos serviços gerenciados dos provedores. A única maneira é abraçar em sua plenitude o que está disponível e desenvolver o melhor produto possível.
Crypto ID: Você liderou a implementação de soluções de alta tecnologia em diversos ambientes. Pode compartilhar um exemplo de um projeto desafiador que você gerenciou e como ele impactou a segurança da informação na instituição?
Leonardo Carmona: Trabalhei em bureaus de crédito e participei do desenvolvimento do Cadastro Positivo. Construir sistemas e ecossistemas seguros para a proteção de dados de 150 milhões de brasileiros foi desafiador.
O objetivo da indústria era criar um sistema benigno que impactasse diretamente na vida do cidadão, sem comprometer sua privacidade e eventualmente colocá-lo em risco.
Acredito que o propósito foi alcançado. Hoje o sistema funciona e muitas pessoas estão se beneficiando do sistema de score de crédito.
Crypto ID: Com a crescente adoção de tecnologias como Machine Learning e Inteligência Artificial, como esses recursos estão sendo utilizados pela Pismo para melhorar a segurança e a proteção de dados dos usuários?
Leonardo Carmona: Na Pismo, utilizamos algoritmos de ML há pelo menos 2 anos e conseguimos extrair desses algoritmos tudo o que se propõem, em especial processos de detecção e resposta de incidentes cibernéticos.
Estamos, neste momento, nos aprofundando nos casos de uso para Gen AI. Acredito que até o final do ano teremos os primeiros casos produtivos para ajudar em casos de uso para gestão de acesso e identidades, automação de processos, gestão de vulnerabilidades e resposta a incidentes.
Crypto ID: Como vocês da Pismo equilibram a necessidade de inovação com a conformidade às legislações locais e internacionais e complementando, quais são as regulações que já deveriam estar homologadas no Brasil considerando o uso de novas tecnologias?
Leonardo Carmona: A tecnologia sempre chega na frente da regulação, é raro vermos o contrário. Existe uma discussão grande sobre Gen AI. Temos evidências de vieses nos modelos atuais, o que preocupa muito como esses modelos podem influenciar a sociedade.
Nosso trabalho é, em primeiro lugar, de educação. Explicar para os clientes e órgãos reguladores que vamos entregar uma solução diferente mas que foi construída com a mesma preocupação em relação a seguir as leis, proteger a privacidade e a segurança financeira do sistema.
Crypto ID: A Pismo é conhecida por sua abordagem proativa em segurança, com equipes dedicadas a identificar e solucionar vulnerabilidades. Pode nos contar mais sobre como essa estratégia funciona na prática e quais são os principais benefícios para os clientes?
Leonardo Carmona: É muito comum ver os profissionais construírem os processos de segurança em cima de um cenário conhecido ou de frameworks de mercado. Eu gosto de pensar em tudo que pode dar problema e partir para uma abordagem de se tudo der errado, como eu saio vivo da situação.
Parece discurso de roteiro de fim do mundo, mas a verdade é que esse exercício contínuo de modelagem de ameaças vai deixando o sistema cada vez mais seguro.
Estamos em 2024 e ainda se fala em ter o humano como elo mais fraco, risco de terceiros, eu gosto de iniciar o trabalho já colocando na conta que o humano vai falhar e que o terceiro pode ser comprometido, aí eu começo a modelar a arquitetura.
Crypto ID: A autenticação forte e a biometria são cada vez mais importantes para todas as áreas de negócios seja B2B ou B2C em especial para a segurança de transações financeiras. Quais são as soluções que a Pismo oferece nessa área e como elas ajudam a proteger as partes ?
Leonardo Carmona: Na Pismo, acreditamos que todos os processos de autenticação devem ser baseados em Zero Trust. Tem que validar tudo, sempre. A gente persegue essa ideia nos mínimos detalhes.
O nosso time ofensivo tem que provar que os sistemas estão neste nível de controle. Nós utilizamos alguns parâmetros para validar como os sistemas podem ser acessados, qualquer coisa fora disso vira alerta para o time de resposta a incidentes.
Crypto ID: A implementação de uma estratégia global de tecnologia é uma tarefa complexa. Quais foram os principais desafios que você enfrentou ao gerenciar times multidisciplinares em projetos internacionais e como você os superou e como isso te ajuda nos atuais projetos?
Leonardo Carmona: Para manter o espírito de startup e a manutenção da nossa margem, é preciso pensar em automação e escala o tempo todo. A nossa ideia era ter o máximo de padrões possíveis para evitar sair da nossa estratégia definida.
Quando começamos a contratar pessoas em outros países nós identificamos um gap no onboarding dos novos colaboradores devido a complexidade do sistema.
Partimos para a estratégia de enviar alguns brasileiros para essas novas localidades para acelerar o aprendizado da plataforma e reforçamos os processos de comunicação e controle para identificar possíveis desvios.
De maneira geral, o time se dá muito bem e trabalha junto. Tentamos criar um ambiente onde as pessoas e as suas ideias são valorizadas.
Crypto ID: Como a Pismo auxilia grandes bancos e fintechs a se manterem à frente das ameaças cibernéticas, especialmente em um cenário onde as ameaças estão em constante evolução?
Leonardo Carmona: Muitos dos profissionais que atuam nos clientes da Pismo são amigos e ex-colegas de trabalho. A gente sempre que pode, “troca umas figurinhas” e compartilha as ideias. Sempre nos encontramos nos eventos da indústria e temos a possibilidade de pensar nas novas abordagens e compartilhar a opinião de cada um.
Já aconteceu de termos recebido informação de uma empresa que foi atacada, e nos ajudou a priorizar imediatamente uma evolução da plataforma para não ficarmos vulneráveis ao grupo que estava realizando aquele ataque. Esse tipo de inteligência faz toda a diferença. Sempre, claro, resguardando a confidencialidade dos dados.
Crypto ID: O Pix tem se tornado cada vez mais popular no Brasil como uma forma rápida e prática de realizar transações financeiras. Quais são as principais medidas de segurança que a Pismo implementa para ajudar as instituições financeiras a protegerem suas operações e dados nesse meio de pagamento?
Leonardo Carmona: A Pismo tem serviços que apoiam os clientes nos processos do Pix. Não criamos soluções especiais para um serviço, mas sim para toda a plataforma. Processos de autenticação robustos e baseados em Zero Trust, monitoramento diário das vulnerabilidades da plataforma, processos de desenvolvimento seguro e validação dos serviços estão implementados em diferentes fases do processo de desenvolvimento e produção. Vamos eliminando as possibilidades e deixando o sistema mais robusto a cada novo deploy.
Crypto ID: A Pismo possui uma equipe especializada em atacar a própria plataforma para encontrar vulnerabilidades, enquanto outra equipe trabalha nas soluções. Como essa abordagem proativa contribui para a segurança geral da plataforma e a confiança dos clientes?
Leonardo Carmona: Nós acreditamos que as vulnerabilidades estão lá, você sabendo ou não, então a primeira coisa a fazer é ter a maior visibilidade possível. Saber o impacto dessas vulnerabilidades no nosso ecossistema permite que nós façamos uma priorização mais adequada, garantindo que os principais riscos estão sendo tratados.
O nosso time ofensivo tem como objetivo identificar e nos ajudar a priorizar a resolução. Também são responsáveis em testar casos de uso específicos para garantirmos que a segurança como um todo da plataforma está saudável.
Crypto ID: Quais são as melhores práticas que você recomenda para instituições financeiras que desejam fortalecer sua governança de identidade e acesso?
Leonardo Carmona: A indústria vem se aprofundando cada vez mais no conceito de Zero Trust. Eu recomendo fortemente que as empresas entendam em profundidade as ideias desse conceito e implementem das maneiras mais criativas essas ideias.
Entrevista com Helder Ferrão da Akamai sobre ataques a APIs e os problemas ocasionados por eles
Advogado especialista comenta sobre impactos para empresas anunciantes e usuários da plataforma X
Assista e leia outras entrevistas feitas pelo Crypto ID. Você vai gostar muito. Acesse a coluna IDTalks aqui!
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!
