*Por Glauco Sampaio
Entre dias 28/04 e 01/05, aconteceu em São Francisco, EUA, a RSAC Conference 2025, aquele que para muitos (inclusive para mim) é o maior e melhor evento de Cyber Security do mundo. Esse ano tivemos novamente recorde de inscritos, foram 43.500 pessoas, segundo a organização, de mais de 140 países, 450 sessões dos mais variados temas e 650 empresas apresentando suas tecnologias, produtos e serviços. É algo realmente muito grande e que deve ser celebrado.
Assim como também deve ser celebrada e destacada a participação dos brasileiros no evento! Somos o país estrangeiro com maior quantidade de pessoas inscritas, ouvir português em todos os cantos vem se tornando algo bem comum. É muito legal destacar também a presencial de algumas empresas brasileiras apresentando suas tecnologias aqui, dentro de um mercado tão competitivo e cheio de opções. Isso é muito importante para mostrarmos ao mundo que somos capazes de desenvolver tecnologias, produtos e serviços que competem em pé de igualdade com os outros centros de desenvolvimento. Quem sabe em breve não tenhamos um grande estande no evento, assim como diversos países fazem, para que mais empresas do Brasil possam expor seus produtos no evento. Seria muito bacana ver a bandeira do Brasil representada assim!
Falando um pouco sobre o tema do evento “Many Voices, One Community”, novamente a questão da importância na união dos profissionais e empresas de segurança foi um foco destacada, e com razão. Precisamos entender que no mercado de segurança não há competição entre as empresas. Nós, sim, lutamos todos para proteger nossas empresas e a sociedade como um todo. Suportando o tema do evento, houve muitas apresentações onde o tema central eram formas de compartilhamento de informações organizadas, utilizando estruturas de ISACs regionais e globais. O resumo das que eu assisti sobre isso me deixam cada vez mais certo de que transformar informações obtidas do mercado e de empresas é uma responsabilidade de cada um nós dentro de nossas empresas. Em uma das sessões fechadas um CISO disse: se você gasta dinheiro com serviços de “inteligência” e não faz nada com aquelas informações, ou você só quer dar o check na auditoria ou realmente está só gastando dinheiro à toa.
Quem também não podia estar em foco total no evento era o uso de IA em segurança! Ano passado já tinha muita gente e empresas falando sobre isso, mas ainda com pouca visão prática e exemplos. Esse ano o assunto já deu uma aterrizada e começamos a ver mais tecnologias usando IA de forma tangível. Me chamou a atenção o caminho do uso do tais Agentes de IA para diversas coisas dentro da segurança, seja para as mais simples automações de triagem de incidentes como para desenvolvimento seguro de código, gestão de acessos e privilégios, mas também para orquestração de diversos agentes dentro de processos complexos de investigação e resposta a incidentes. As empresas que atuam no mercado de gestão/tratativas de incidentes estão investindo pesado nisso e já mostrando resultados práticos. Acho interessante para quem ainda não começou a olhar para isso, que dê uma atenção, pois pode estar perdendo oportunidades. Ainda falando nesse tema, uma pergunta continua (e vai continuar na minha visão) preocupando a todos: quem vai fiscalizar os agentes de IA para evitar que eles alucinem e causem danos? Será que precisaremos criar os agentes auditores de IA para fiscalizar os outros agentes… parece besteira, mas é algo que ouvi de algumas pessoas aqui que estão atuando e vejo bastante sentido em pensar nessa linha.
PQC (Criptografia Pós-Quântica) também foi algo relativamente bem falado aqui, muita preocupação com o rápido avanço dos hardwares que viabilizarão o uso desse tipo de tecnologia e com isso, os impactos que acontecerão para as empresas que precisarão se adaptar a essa nova realidade, seja por questões regulatórias como por necessidades técnicas reais (incidentes principalmente). Vi diversas empresas oferecendo plataformas e serviços de inventário de ativos de criptografia e seus respectivos algoritmos que talvez seja o pontapé inicial para quem precisa (e deve com urgência) começar a se preparar para essa mudança. Faço um paralelo aqui com o Bug do Milênio (os mais “experientes” lembrarão), onde foi necessário investir uma grande quantidade de esforço e dinheiro para mudar o tamanho dos campos de data dos sistemas, agora imagina ter que trocar todos os algoritmos de criptografia, que nós de segurança com razão brigamos tanto para que fossem implementados, realmente não vai ser uma tarefa fácil. Fora que a tecnologia da computação quântica pode (e provavelmente irá) habilitar o acesso à enorme quantidade de dados criptografados que já foram vazados!
Esse ano também tive como objetivo me aprofundar e conhecer um pouco mais sobre o ecossistema dos fundos de investimento que focam em produtos ou teses de cybersecurity (algo que no Brasil é ainda é bem tímido se compararmos com a maturidade dos EUA e até mesmo da Europa). Foi uma experiência legal, ver o quando os grandes investidores estão olhando para nosso mercado com grandes expectativas. Durante a RSA foi mencionado que somente no mês de abril, empresas do segmento de segurança levantaram 1,7 bilhão de dólares em rodadas de investimentos.
Assisti a um painel com a participação de representantes de 4 fundos de investimento que cobrem desde empresas que ainda estão nascendo (uma delas inclusive foi a vencedora do RSAC Inovation Sandbox 2025 e levou um cheque de USD 5 milhões), até um dos fundos que era investidor da Symantec quando essa foi adquirida pela Broadcom e que não entra em investimentos menores que 50 milhões de dólares. Foi muito legal enxergar o pragmatismo com que os investidores analisam as empresas, se for muito pequena, o que realmente importa é quem está por trás, os fundadores e a equipe, se forem maiores, métricas financeiras e de mercado, mas é uma visão de negócio fantástica, sem emoções! Um ponto que me chamou a atenção foi que durante essa conversa eles disseram que provavelmente daqui a 3 ou 5 anos, a maioria das empresas que estão apostando tudo em IA, infelizmente terão desaparecido do mercado por não ter conseguido encorpar sua carteira de clientes, e com isso teremos uma nova geração de empresas de IA que terão uma probabilidade muito maior de ter longevidade. Esse último ponto deve servir de alerta para quem está apostando em empresas inovadoras, pode ser um risco para sua estratégia, então vamos com calma com a empolgação.
Nas conversas com investidores, pude ver o quanto eles têm interesse na visão e experiência de cyber do Brasil, mas também a nossa pouca tradição no desenvolvimento de tecnologias afasta um pouco o apetite deles em investir em empresas brasileiras, precisamos trabalhar para mudar isso com urgência!
Fechando aqui, não podemos deixar de citar o fantástico networking entre os brasileiros que sempre acontece por aqui, mas que todo o ano vem ficando mais robusto, desde o pedal do nosso amigo Sergio (Coxa) que esse ano teve uns 90 participantes, às visitas quase que diárias para encerramento das noites no Tap Room que sempre estava lotado de brasileiros! Esse tipo de movimento só reforça a importância de nossa comunidade e de nossos relacionamentos! Espero que possa continuar acompanhando esse movimento por muitos anos e muitas RSAC ainda!
*Glauco Sampaio é profissional da área de SI há mais de 25 anos, sendo CISO por mais de 14 anos, atuando em grandes empresas como Cielo, Banco Original, Banco Votorantim, Editora Abril e Banco Santander. Hoje, atua como conselheiro consultivo com foco em segurança, prevenção a fraudes, privacidade, tecnologia e inovação em empresas de diversos segmentos. Cofundador e CEO da Beephish, além de professor na FIA e no curso de cybersecurity para conselheiros do IBGC. É host do Podcast Conselho & Conselheiros, e palestrante nos principais eventos do Brasil e exterior (RSA Conference).
