Segurança estratégica de Software: O que todo Gestor e Executivo deve saber |PPT Não Compila Podcast

0:00A inação não tomar decisões e deixar chegar um incidente é caro. É muito mais caro do que traçar uma estratégia de segurança. Normalmente a política é um troço chato que ninguém lê com um monte de regras para executivo falar. Aqui a gente leva a política de segurança a séria. Segurança acima de qualquer coisa. Mentira, velho. Se segurança tiver acima de negócio, já morreu o negócio. Já sei disso. Então, nenhuma empresa tem a segurança acima de qualquer coisa, porque senão os negócios estariam todos mortos. não tão. Se eles não tão, não é segurança a qualquer custo.

0:31>> Não faz bem para nenhum executivo levar problema operacional para conselho, velho. E isso acontece demais.

0:41Isso não deveria acontecer. Temos que fazer um episódio sobre cerveja no PPT no compil, desculpem meus amigos que mas que a cerveja do cara é muito boa. Luck bear em breve aí em campos do jornal.

0:54>> Muito bem. Muito bem meus amigos do PPT no compilid. Estamos aqui para mais um episódio movido a hidromel.

1:02>> Bebida viking.

1:03>> Uma bebida viking, né?

1:05>> De respeito, >> de respeito. Bom para um.

1:09Não vou censurar o o episódio logo na na abertura, né?

1:16Porque o YouTube briga com a gente.

1:18>> Mas muito bom.

1:19>> School, meu amigo.

1:20>> School. School é saúde.

1:23>> É o saúde dos vikings, né?

1:25>> É school. com meu amigo aqui, Rafael Lac, já esteve aqui, fez um episódio com a gente sobre modelagem de ameaças, >> que foi um dos episódios mais bem vistos, >> querido, que >> do Peptano com pila, cara, >> muito bom. E hoje a gente tá aqui com ele porque ele tá lançando um livro perfeito >> sobre >> segurança, estratégia, segurança e estratégia estratégica de desenvolvimento software >> e que, cara, se você é um coordenador, um desenvolvedor, a gente vai conversar sobre alguns tópicos aqui, mas eu acho que tem muito a ver sobre como a gente leva os nossos BO de tecnologia para a galera do negócio pro se level.

2:11Isso aqui não existe hoje um curso que fale sobre isso, né, LC?

2:18>> Perfeito.

2:18>> Fala um pouquinho sobre seu livro e dá um oi pra galera.

2:20>> Galera, obrigado pelo convite. Obrigado, W, né? Muito bom tá aqui. Até um lançamento, um pré-lançamento tá acontecendo aqui. Na verdade, a parte física eu tô até validando, já tem online para todo mundo aí disponível.

2:33Qual que era a ideia? Eu sofri muito na carreira por não ter essa consciência.

2:38Eu eu sempre fui muito adepto do desenvolvimento seguro, né? me criei no desenvolvimento, fui indo para área de segurança, adorava o desenvolvimento seguro, mas eu vi as frustrações que uma série de outras faltas de decisão, de conhecimento, de entendimento da cadeia produtiva, né, da cadeia de valor, acabava impactando o desenvolvimento seguro. Eu falava: "Putz, era para ser mais fácil, era para ser mais óbvio, era para est funcionando e o que que se o negócio é bom e é pro bem de todo mundo, mas por que que não vai pra frente? Aquilo não entrava muito na minha cabeça. E putz, fui aprendendo aos trancos e barrancos. E chegou um momento que eu decidi assim, por que não pegar esse aprendizado e essas batidas de cabeça e transformar num livro para no mínimo ajudar alguém a não, se tiver que sofrer, que sofra com uma novidade e que não com a mesma coisa, igualzinho, né? Por quê? tem uma simetria muito grande de informação. Ata gestão trabalha de um jeito, a gente de outro na e muitas vezes a gente entra na empresas meio que sem entender exatamente como esse organismo funciona.

3:45Qual que era a ideia do livro?

3:46>> Aproveitar, desenhar alguns casos, alguns cenários, discutir algumas métricas, colocar algumas coisas práticas e em cima de cenários e ir estudando e discutindo essa parte da estratégia de segurança. Por quê?

3:59Alguém não quer fazer um negócio seguro, alguém não quer não responder um incidente? Todo mundo quer na prática.

4:06Só que talvez a visão que você tem de como o que leva a um incidente, o que leva a um problema é diferente da que eu tenho, que é diferente do coleguinha, tem a própria história das métricas e das metas que conflitam e que a gente tem que equacionar tudo. Se a gente quiser ter uma boa convivência, a gente tem que equacionar tudo. Eu tentei aproveitar para mostrar tudo isso.

4:26Então, no livro tentar fazer um uma um compêndio mesmo, uma coletânea de tudo isso >> para tentar deixar claro que, óbvio que o que eu quero é o desenvolvimento seguro, mas tem toda uma quantidade outra de camadas aqui que eu preciso agregar para o desenvolvimento seguro se inserir de verdade na organização, porque se ele for cru, só ele ele entra, vira esteira e alguém desliga esse negócio da esteira porque não se sustenta no final das contas.

4:57O que o executivo, o que alguém quer é o resultado da segurança. Não é a segurança é o meio. É um meio para fazer um melhor negócio. E se você não conseguir exprimir aquela sua iniciativa em termos de um melhor resultado e tangível, né, pro executivo, >> fatalmente ao longo do tempo ele vai ser descontinuado.

5:18>> Exatamente. Então, aquele cara que pode est se sentindo frustrado, né, L seja um cara de e frustra, né, um cara que é muito técnico, tá ouvindo a gente, a gente tem um público técnico muito grande >> e que, [ __ ] mas cara, isso aqui tem que fazer e tal e ninguém entende, eu não consigo aprovar >> esse episódio para esse cara.

5:42>> Perfeito, né, >> né? A ideia é fazer pontes, é trazer um pouco mais de conhecimento pro executivo para ele entender a lógica do que tá acontecendo aqui. Então o convite é pros conselheiros e pros executivos também entender, >> mas principalmente para essa galera aqui de de média gerência, arquitetos, nessa galera toda outra que se degra todo dia e que às vezes uma simples maneira de conversar, >> não sabe se comunicar para cima.

6:07>> Então e isso atrapalha tanto é o que você fala: "Caramba, o cara não faz o que tem que fazer. Calma, ele tá entendendo que >> talvez ele não entendeu.

6:16>> Pronto.

6:16>> Então o convite desse episódio é você que é se leve ou que você é gestor, como que você entende que a necessidade a necessidade técnica? Você que é técnico, como se você como que você vai ter uma comunicação efetiva para que você compartilhe o risco >> perfeito.

6:32>> E a decisão com com o nível mais estratégico da companhia, né?

6:37>> Porque no fim do dia é isso, né? Você faz segurança para o negócio.

6:40>> Isso. E esse episódio é um trailer do que você vai encontrar aqui no livro do Lac, cheio de informações importantes.

6:47Então, a gente vai deixar o link aqui para para caso você queira conhecer melhor o livro. Ele se comprometeu quando o livro sair físico, ele vai doar pra gente aqui no PPTo Compila para sortear um uns livros para vocês aqui que tão que principalmente pros membros, né? Sem sem sombra de >> você é membro aqui, você vai ganhar um um livro do LCK, né? E vamos lá que o episódio tá muito bom, né?

7:15>> Bora >> de cima da pirâmide para baixo da pirâmide. Vamos melhorar essa comunicação que o episódio tá muito bom.

7:21Bora.

7:23[Música] Eu [Música] acho que é a primeira vez que eu gravo um episódio com a cerveja feito pelo próprio convidado, cara.

7:45>> Saúde.

7:46>> Saúde. Tem nome já?

7:49>> Essa aqui por enquanto chama Luck Bear.

7:51É a cerveja do meu casamento. Eu e a dona Breja a gente fez juntinho pro casamento.

7:56>> Cara, pra tô tomando a cerveja do casamento do cara. E ó, maravilhosa, parabéns.

8:02>> Muito obrigado, querido.

8:03>> E eu tenho certeza que além de tudo é uma cerveja segura.

8:08>> Com certeza >> é uma cerveja segura. Então tô tomando tranquilo. Não vai dar dor de cabeça.

8:14Muito bem, >> Rafa, cara, que bom te ver aqui de novo.

8:17>> Obrigado demais pelo convite, querido.

8:19Uma honra.

8:19>> Muito legal. Você vai estar aqui em breve de novo, mas a gente vai guardar esse segredo aqui.

8:26>> A pauta que é uma pauta bomba. episódio muito interessante que a gente vai fazer, então, >> tá aceito, querido.

8:33>> Vocês vão ver o like aqui em breve novamente na na no PPT, mas hoje a gente tá aqui para falar de um de um de um outro projeto seu, né, cara? Conta aí pra gente. Quero que você conte o que é e logo na sequência vou te perguntar o porquê. Tá bom? Eh, deixa eu começar com uma visão bem geral. É assim, ó. Eh, eu atuei muito tempo, né? O começo da minha carreira foi sempre como desenvolvedor e criando sistemas e tudo e vivendo do lado de, olha, vamos botar o negócio para funcionar.

9:02Do meio da carreira pra frente, mais ou menos, o meu foco ficou na segurança e eu fui migrando mais pra gestão.

9:09E você já reparou o quanto é complicado algumas coisas que você fala: "Puxa, era para ser mais simples? Por que que a gente não consegue tomar certas decisões? Por que que isso aqui é tão complexo para todo mundo? É >> por que que por que que não flui mais fácil um negócio que aos olhos às vezes de uma pessoa numa certa área fala isso é óbvio, talvez seja óbvio para você, querido. Não é tão óbvio quando a senhora na escala global.

9:34>> Posso te te dar um exemplo da minha vivência para você ilustrar?

9:39>> Claro.

9:40>> Eu passei a metade da minha carreira, eu estou no mundo corporativo e aí contando tudo agora, estamos falando de 12 anos, etc. Começo da minha carreira eu era eh as a service, digamos assim.

9:56>> Que chique.

9:56>> Eu trabalhava como como com ventury capital. Então eu pegava ali uma empresa no começo, cara com dinheiro e com ideia, montava o projeto, contratava o desenvolvedor, >> estruturava, >> estruturava, produto tava rodando, eu ia embora, montava equipe, equipe seguia, eu ia para outro canto. Então, nesse mundo de startup é mal na massa, velho.

10:21Mal. Você não tem comitê, você não tem >> é tudo contigo.

10:27>> É, é exato. Tipo, pô, tô com a senha do console aqui, vou resolver e tal.

10:31Beleza, cara. o maior choque da minha vida.

10:36E aí você já sabe onde eu vou chegar.

10:39Foi quando eu tive que sair desse mundo, porque eu tava fazendo meu mestrado, queria ter um pouco mais de estabilidade, aceitei para trabalhar na primeira grande empresa de seguros aqui do do Brasil como arquiteto de soluções.

10:52>> Bacana, né?

10:54>> Primeira vez que eu entrei no Warome.

10:56>> Uhum.

10:56>> Beleza. Warhome lá, pô. Não, mas tem isso aqui e tal, logo falei: "Cara, seu problema tá no banco. Eu tô vendo aqui, tem uma inconsistência ali e é para resolver. Vamos, vamos botar isso no ar.

11:10Me dá a senha do banco, cara. Eu entro aqui, a gente monta uma query, resolve, estabiliza o banco, depois a gente vê a causa raiz. Cara, ninguém me dava a senha do banco.

11:21E o negócio que era para ser resolvido para estabelecer o negócio em horas demorou dias. Mesmo a gente falando, a gente sabendo qual é a solução, mas você tem processos, você tem outras questões.

11:34Ali eu até questiono um pouco porque na War tem que abaixar um pouco o perímetro para poder estabelecer o negócio. Talvez não foi gerido da da forma que deveria, mas cara, quantas vezes nesse momento de transição eu falei: "Cara, para que essa reunião? Me dá um console, um VS Code, >> que eu brilho, >> a senha do console que essa [ __ ] tá pronta.

11:58né? E foi exatamente por isso, querido, que eu comecei a montar esse livro, porque eu falei: "Putz, tem uma dificuldade aqui que não é só segurança, porque eu entrei nesse mundo, eu vim do desenvolvimento, eu eu eu vim para esse mundo de segurança com uma paixão pela parte do desenvolvimento seguro, que em teoria é simplesmente fazer as mesmas coisas, só que um pouquinho mais bem feitinho, mais bem acabado, menos gambiarra para pra coisa ficar bem estruturada, para você ter menos dor de cabeça e para inclusive planejar processos de resposta.

12:29incidente para não virar um samba lelê quando a coisa apertar, porque você planejou, então você tá estruturado, você sabe mais ou menos o que fazer, você tem mais ou menos planejado. E a pior coisa que você pode virar e falar para um dono, para um acionista, é assim: "Não, não, não, não, não, não posso quebrar esses processos, irmão. Se não tiver dinheiro na mesa, não tem processo, não tem área, não tem empresa.

12:51Vamos acordar." Então assim, uma das primeiras coisas que eu quis quebrar é pera, mas o desenvolvimento seguro, por exemplo, muitas vezes paga o pato de um roda presa, como tantas outras disciplinas de TI, né? Paga um pato de roda presa, >> governança, arquitetura.

13:07>> É, sem ficar, exatamente, sem ficar judiando.

13:10>> Deu, deu, deu, deu uma dorzinha no coração, >> não é? Não, sem ficar paga paga um pato, será que precisa? Tá? Então, uma das primeiras coisas que eu quis desmistificar, falar assim: "Olha, tem um abismo, uma simetria de informação para um monte de entes que tem que tomar decisões em conjunto, porque isso aqui é [Música]

13:55Então mudou >> aí. Foi, foi, foi. É isso aí. Eh, aproveita e dá um ganho aí, porque eu sou meio surdo. É muito heav metal por muitos anos na orelha. Eu tenho um tem um débito aqui.

14:07>> E aí?

14:08>> Não, aqui para mim tá perfeito.

14:09>> Tá para você >> um pouquinho mais. Aí, aí, agora sim.

14:13Agora. Beleza. Obrigado.

14:16>> E aí, que que eu pensei em montar?

14:19Falou, deixa eu montar então um livro para tentar tirar um pouco essa simetria, porque essa galera precisa conseguir se falar, eles precisam entender. E tem uma coisa muito chata que acontece nas empresas que é assim: tem que ter uma humildade fora do normal. No ser humano médio não tem para baixar a bola e falar assim: "Cara, não sei, não tô entendendo. Fala mais devagar".

14:42Se você tentar ensinar alguma coisa para um conselheiro, para um CEO num momento de crise, num momento, nossa senhora, você errou Rud no momento ali, não é a hora, não vai funcionar.

14:55Então, dado que não funciona e dado que esse povo adora ler livro, eu falei: "Pera, eu achei um canal.

15:02Deixa eu ajudar essa, principalmente essa galera que tá longe desse tipo de informação, é entender que que é o desenvolvimento seguro, o que que isso pode entregar para eles, até para eles saberem assim, porque muitas vezes aparece, né? Se o gerente de segurança começa a defender um monte desses processos, é inerente, tem um conflito de interesses. Não dá para negar e falar assim: "Ah, não, tudo aqui é perfeito, é legítimo".

15:27Ele tá pedindo dinheiro e gente para dele até onde? precisa mesmo, porque é um é um cobertor curto, né? O negócio é um cobertor curto.

15:36>> Se eu te entregar todo o dinheiro do mundo, talvez uma campanha de marketing não exista, porque o dinheiro é um. Ou veio para cá ou foi para lá. Não, escolhas, né? Executivos, inclusive.

15:46Então fica essa pergunta. E se você não tem insumos nem base para tomar essas decisões, quem te falou que você vai tomar boas decisões? Porque no fundo, né, Rafa, o mundo corporativo, ele é um grande tabuleiro de tradeoffs.

16:02Você nunca vai atender 100% de segurança que você gostaria.

16:06>> Perfeito.

16:07>> Você nunca vai atender 100% de qualidade que você gostaria. Talvez você não atenda o lead time que você gostaria de lançamento produto.

16:15>> Perfeito.

16:17>> Mas você não pode negligenciar totalmente nenhum dos três e tem que chegar numa média. E quem toma decisão geralmente sobre isso, do da onde alocar e colocar mais força, é o cara que não tem 100% de conhecimento sobre segurança, não tem 100% de conhecimento sobre lançamento de produto, também não tem 100% de de conhecimento sobre qualidade de software. Então você nunca vai chegar no perfeito.

16:45>> Perfeito. Mas como é que você gerencia o tradeoff e o quanto tirar de cada um para chegar num nível aceitável que o mercado responda bem? Porque a gente tem que pensar aqui, beleza, eu não, se eu tiver um software 100% perfeito, 100% de qualidade e lançar do anos atrás do meu concorrente, não adiantou [ __ ] nenhuma.

17:08>> Ó, tem uma analogia que eu faço no livro e que vai casar com esse teu ponto que é assim, ó.

17:14Imagina que a gente tá aqui com o paciente, ele tá no caso crítico e vai pra UTI, né? É a empresa que tá tendo um mega incidente de 12 bilhões indo voar, né? Ah, 12 bilhões resolveram sair voando aqui. Ah, nossa. É, é UTI. Você concorda que na UTI meio que tudo é aceitável? Se você falar bloqueio todas as senhas, feche, tudo é meio aceitável porque, cara, é a crise da crise. Não tem crise depois dessa.

17:41>> Tudo é meio aceitável. E esse que é o drama. Muita coisa de segurança se constrói. Exatamente. Que e isso é um jargão de mercado. Eu escuto muita gente de segurança, ah, só aprende quando tá uma porrada e aí faz tudo. Só que esse faz tudo muitas vezes é demais, vai além do modelo de ameaça, que é a pergunta. A gente precisa de tudo isso porque eu posso ir até um limite que você fala assim: "Nossa, ficou perfeito só que agora o custo operacional do produto ficou tão caro que mercadologicamente ele já não faz mais sentido." Eu jamais tomaria essa decisão fora de um momento de crise que era assim: "Era isso ou a imagem da empresa aí belel?" Então a gente não pode confundir os momentos em momento UTI, a primeira uma das primeiras analogias que eu faço, tudo é aceitável, porque assim, se o paciente morrer, qualquer outra discussão é até dinheiro para cara, mas eu nem tinha dinheiro para pagar, mas faz no cartão.

18:37>> Uhum.

18:37>> Mas por quê, cara? Porque se falecer tanto faz como tanto fez, o resto é secundário, não interessa muito.

18:45Vírgula, melhorou, saiu da UTI. Opa.

18:50Então, cadê a estratégia? Cadê todo o resto? Porque se a gente não alicerçar tudo agora, as outras, os questionamentos tê que vi. Qual que é o drama? Muitas vezes o gato tá tão escaldado que demora a vir. Que eu tô falando do auto executivo, >> tá tão escaldado que demora a vi >> e aí não vem. E lá na frente o cara começa a olhar, fala: "Hum, pô, mas investimos tudo isso e não tem como". E aí começa a reduzir. Só que se ele reduz fora do incidente, não acontece nada.

19:17Aí volta para uma outra inércia ruim que é então desliga isso, diminui aquilo, tira aquilo. Aí >> ele começa a tirar coisas que >> aí de novo, beleza?

19:27>> O que eu posso tirar até onde pode?

19:29Porque tem um limite que você fala: "Cara, não cruza essa linha daqui para lá e para esse".

19:33>> O cara saiu do te, pô, será que eu preciso tomar esse remédio mesmo? Esse remédio é caro. Calma, amigo. Você acabou de sair do TI.

19:40Será que eu preciso fazer esse exame? E aí começa, né? É, >> então assim, tomar as decisões sem uma base bacana para mais gera custo e a bobagem. Você tá matando o negócio, você tá pior que o atacante, para menos você pode estar alejando a empresa no ponto que ela vai voltar pra UTI, ela custa caro demais. Então a inação >> não tomar decisões e deixar chegar um incidente é caro. É muito mais caro do que traçar uma estratégia de segurança.

20:10Então por onde que eu fui no livro?

20:12Deixa eu contar um pouquinho essa história. Deixa eu falar do que é o desenvolvimento seguro e por que ele é mal visto muitas vezes. Por quê? Não é só o auto executivo ser humilde, conseguir descer 10 níveis e tentar entender um pouquinho o dia a dia da galera, mas também a galera fala assim: "Que tipo de decisão que um autoexecutivo toma? É sobre investimento? É sobre alocação? É sobre recursos? É sobre imagem?

20:33Porque se der tudo errado pra gente, ué, eu vou pro LinkedIn, você vai também próximas, né? Vamos embora. Auto executivo responde no CPF, irmão, se der tudo errado, esse cara pode puxar a cadeia.

20:44>> É diferente a abordagem. Ele enxerga diferente aquele negócio. É outro brinquedo para ele, >> tá? Se ele tá, ele entra com o couro, né? Ele tá, né? Não tá entrando com o ovo, lembra do ovo, né? Tá entrando com o bacon ali, né? Ele tá entrando com o couro.

20:58>> Ele tem todo interesse nisso.

21:00>> Um couro pra gente, >> né? é não ser censurado no YouTube.

21:05>> Mas assim, você concorda que essa galera aqui de baixo também tem que saber como traduzir e fala assim: "Olha, em vez de você levar vulnerabilidades, tá? Mostra qual que é o impacto de negócio de tê-las". Então, o teu, eu tenho certeza que o teu auto executivo entende, por exemplo, métricas que falam lá do funil, o quanto custa um custo de aquisição de cliente, o funil de vendas, tá? Tá, tá, tá, tá, ele sabe disso, tá?

21:28E se o cliente esbarra no login, esbarra na vulnerabilidade, tá esbarrando num monte de coisa que tá atravancando ele, o teu custo de aquisição do cliente tá subindo. Por que que você precisa colocar um sistema decente de autenticação para no mínimo ter consistência e fluidez naquilo que você planejou? Senão você tá matando o cara no meio do caminho.

21:46>> Em vez de brigar pela segurança, por que que você não briga pelo pelo indicador de negócio que fala assim: "Olha, eu não vou sozinho, ô brother de vendas, vem comigo, dá aqui a mão, ó. Eu vou te contar que números que lá do meu lado vão te ajudar ou te atrapalhar e a gente vai vender isso aqui junto porque no fim do dia estamos vendendo negócio e agora todo mundo entende.

22:05>> Então você vai ter que escrever um outro livro, cara. Além da cervejaria LAAC, a gente vai ter a editora LAAC, porque isso é uma falha da média gestão de TI.

22:17>> Eu tenho certeza.

22:18>> A média gestão de TI não sabe falar negócio.

22:20>> Eu tenho certeza. não sabe falar do impacto que aquela área que ele gere que ele tem que resolver impacta no negócio.

22:29>> Uma das coisas que eu sempre faço em modelo de ameaça é tentar mapear a cadeia de valor, como que essa empresa entrega valor, aonde que tá aqui o final, porque é isso que eu tenho que proteger. Só que não pode deixar quantos caminhos tem para chegar aqui e o que que é que o botton neck mesmo, sabe? Que que aqui tem aquele ponto que velho é ponto único de falha se esse troço aqui parar? Tem um monte de ramo, sim, mas tem uma hora que a funila aqui que Hum.

22:51sistema financeiro brasileiro. Se a CIP não abrir o arquivo às 6 da manhã e liberar pro sistema financeiro funcionar, pode est todo mundo no ar. O mercado não abre. Então tem um tem um gargalinho aqui. E ele depende do quê?

23:04De um arquivo, >> tá? E se esse arquivo não existir, vai aparecer a Chiquinha, sabe? Aham.

23:10Aham. Aham. E cara, não existe a possibilidade política, mas vamos falar técnico, tá? E se esse arquivo não tiver lá? Então, >> não sei se o arquivo tá corrompido.

23:22>> Então, não abre nada. Opa, pera. Então, ten que fazer um mega modelo de ameaça na empresa inteira? Não, nesse pedacinho. Que que me garante que E como que eu saio desse rolê se putz, entramos. A crise não pode ser um um evento do barata voa do, né, do do urso do picu ali correndo para tudo. Não, que que a gente faz? Tem que ter método.

23:42Como que entra, como que sai, como que termina. Então a ideia aqui, principalmente pra média gestão, é aonde você se alicerça, porque se você tiver inclusive bons indicadores, eles funcionam não só paraa venda, mas para você fazer aquela gestão de processo, gestão de saúde, porque eu tenho um monte de indicadores que vão inclusive falar assim, ó, hum, temos muitas vulnerabilidades.

24:02Hum, tá bom.

24:05É, mas a gente nunca escaneou esse ambiente jamais. Apareceu agora. Pô, ué, então tem muito ou ter pouca. A métrica de saúde tá me dizendo que esse indicador não tá saudável de verdade.

24:14Ele simplesmente brotou. E brotou com o passado horroroso. Ele é um legado.

24:18>> Uhum.

24:19>> Isso não quer dizer nem que tá bom, nem que tá ruim, nem que falta investimento, nem nada. Então, cuidado com a decisão que você toma, porque se tiver só um número que é um número total de vulnerabilidades, você pode est sendo tão iludido, tão enganado. Tem uma arte em gestão que eu acho meio horrorosa, mas que é assim, a galera taca isso no Excel, tortura, tortura, tortura os números até eles dizerem aquilo que você queria no final das contas. Já viu isso? Eu tenho um episódio que eu que eu lancei com o Rud semanas atrás, que é a arte de torturar os números, que a gente fala justamente como eles fazem isso em ciência de dados.

24:52>> Mas dá >> o do todo dash, ele é um cubo, >> sim.

24:58>> Que dependendo do lado que você olha, é só inverter a matriz e e isso fica muito mais. Então você, se você quer entender um pouco melhor isso, a gente pegou o exemplo do, só para atrair aqui, quem que eu quem quem gostaria de ouvir, o Primo Rico fez uma postagem, >> pô, bacana, >> que foi criticado por vários cientistas de dados no LinkedIn.

25:22>> Vixe, >> porque tinha uma linha que dizia e a tinha a renda média de homens solteiros.

25:30>> Uhum. homens casados e mulheres casadas e mulheres solteiras.

25:37E a renda média de homens casados era muito maior.

25:42E aí ele que simplesmente interpretou o gráfico e colocou: "Quer melhorar de vida?" Case.

25:47>> Case.

25:48>> Ué, mas tá errado.

25:51>> Tá.

25:52>> Mas calma.

25:53>> Por quê? Aí que tá. Da onde vem isso?

25:56Qual é a relação de causa efeito? E é isso que a gente discute lá. Será que os homens de alta de que tem mais renda, eles se casaram porque já tinham renda e são casados?

26:08>> Perfeito.

26:10>> Ou vou Ô, ô, beleza. Quer ficar, quer ficar rico, case. Mas eu sou um [ __ ] Só porque eu casei, eu continuo, eu eu vou começar a ter renda. Então não é bem por aí. Então é a questão de causa efeito. Aí eu lembro que eu respondi esse episódio, eu falei assim: "Cara, pera aí. Então, se eu plotar a quantidade de renda pela quantidade de cerveja consumida no mundo, eu vou chegar a à conclusão que se eu colocar Alemanha e, sei lá, a >> Inglaterra também eles bebem que nem >> Calo, eh, e colocar a renda e países que bebem mais e a renda, eu vou chegar a conclusão que eu posso eu vou ficar alcólatra aqui no Brasil e vou ver se eu fico rico. Mas não é assim que funciona.

26:53>> Perfeito. Mas quanta Mas o ponto é esse.

26:56Quantas vezes na empresa >> assist o episódio, o link tá aqui, ó.

27:00>> Quantas vezes na empresa você vê exatamente esse comportamento de números que se eu distorcer o suficiente, fala assim: "Putz, o raciocínio não tá errado, mas ele padece de um mal. Eu tô te induzindo ao erro, te fornecendo informações ruins, porque elas me beneficiam e tá levando para uma decisão que a que eu queria que você tomasse.

27:19Isso é horroroso. Eu tô te induzindo. E tem um cenário pior ainda. Aí, sem maldade. Uma das piores reuniões que eu já participei foi com o pessoal da da do conselho fiscal que o cara olha e fala assim, ó: "Vocês têm dinheiro suficiente?" Fala: "Nossa, caramba, mas tem 60 milhões aqui, como não tem suficiente?" Não, porque a gente tal aqui tá aqui para decidir para te ajudar. Hum. Aí eu olhei todo o material que a gente tinha levado, falei assim: "Cara, o que que eu trouxe aqui para ajudar essa galera a entender o que que já tem de investimento, o que que não tem, o que que faz falta?" Falei: "Velho, eu trouxe só para justificar o que já tava fazendo". Meu Deus, que maldade. Eu acabei de matar os caras.

27:59Eles não têm utilidade. Eles não vão tomar decisão nenhuma além da que eu quero que eles tomem. E isso é horroroso porque na hora que a bomba estourar, o cara pode olhar, falar assim: "O dia que eu tava junto para te ajudar a resolver, você me deixou de fora, né, bonitão?

28:14Agora eu vou resolver você".

28:16>> É, então esse negócio também do tentar manipular a informação, porque eu sou o detentor dos dados e aí eu posso torturá-los e eu posso contar a historinha muito maluca e falar: "Não, mas obviamente aqui homens casados ganham só casar que vai num primeiro momento". Pela, lembra aquela da simetria de informação, por ausência de conhecimento dos algoritmos e processo? Pode ser que eu olhe e fala: "Cara, tem lógica. Eu tenho bom senso, isso tem lógica. Normalmente o que tem lógica tem uma boa chance de ser verdade. Vamos >> Uhum.

28:45>> Vou escolhi confiar em você." E aí que tá o drama >> aí, meu amigo.

28:51>> Porque aí o problema não é mais a decisão, é você. Você tomou ela sozinho.

28:54Você me comprou com uma boa argumentação e vamos que vamos. Que que eu tentei fazer no ali? falou: "Não, pera, eu quero explicar para todo mundo como certas decisões são tomadas e o que que tá alicerçando cada uma". E tem um capítulo que eu faço quase que nem jograuzinho, velho. Acho que é o quatro ou cinco, que eu vou que nem jograuzinho. E aí o Siso falou: "E aí, né, parece a Bíblia, ah, tá, tá, tá". E eu vou indo no cenário um por um, atravessando uma crise de fio a pavio e voltando pro investimento e saindo da crise. E quem são os personagens e como eles estão interpretando informação.

29:25Inclusive o CFO ficando pistola. Putz, mas esa então aqui você jogou sujo com o dinheiro para cair a ficha da galera, eles começarem a fazer esses links, fal assim: "Putz, aqui é para todo mundo". E mais pro finalzinho do livro é que eu vou fazendo o link com a galera técnica.

29:40Então, a ideia do livro é para todo mundo de fio a pavio, pro técnico aproveitar a modelagem de ameaças para saber o que exatamente precisa proteger de verdade.

29:48>> Uhum. e vim de baixo e construindo, mas tentar entender e entrar na mente da galera e no jargão também de como estruturar como negócio, porque no fim do dia é negócio, né?

29:57>> Tudo que não tangibilizar negócio, você falou na linguagem errada, assim, tipo, não vai, eu não consigo aferir se isso é bom, se isso é ruim, solto no espaço tempo aqui, cara. me contextualiza >> qual impacto que isso tem ou o que que isso traz de benefício ou que me tira de risco.

30:16>> Porque tem tanta informação numa empresa que é irrelevante que se eu for prestar atenção em tudo, eu executivo, né? Vou prestar atenção em tudo, eu morro louco.

30:23É impossível, humanamente é impossível, não vai acontecer. Eu tenho que escolher no que eu presto atenção. Aí vai a habilidade da galera de levar e não leva. E aí, pelo amor de Deus, e aí tomar aquele mega cuidado assim, eu não posso levar nada que te induza, porque eu não quero. Eu quero levar aquilo que te ajude a tomar boas decisões em conjunto comigo pra gente achar o melhor caminho, porque isso é perene pros dois.

30:47O cenário em que eu te conduzo. Em algum momento você vai ficar magoado e achar que eu te induzia a um erro para me favorecer.

30:55No minuto seguinte, eu era, eu era o melhor afina a flor da graça divina num dia, no outro dia eu sou o filho do do anticristo. É, >> exatamente.

31:05>> Eu já tô na pior dos pior e tchau.

31:07>> Por você induziu o cara a tomar uma decisão que na visão dele depois passou a ser errada. Então aí quebrou a confiança. Se a única coisa que você tinha no diálogo todo era confiança, você saiu do 100 pro zero.

31:19>> É >> porque só tinha isso. Então por que construir esse caminho todos indicadores, fazer o técnico falar de negócio, fazer o negócio entender um pouquinho do técnico, das dificuldades?

31:30Por qu eu tenho um capítulo que eu falo só de políticas, por exemplo, e eu acho que a gente no mercado usa política de um jeito tão tosquinho, tão gosto dessa cerveja por lindo.

31:40>> Pelo amor de Deus. Tem o hidromel também, viu? Você tem cara de viking, se você resolver. Só se for o anão do viking. Viking é de RPG.

31:48>> Era viking também. Não >> tinha viking também na RPG.

31:51>> Tinha.

31:51>> Anão guerreiro é o clássico. Ele tem cara de vi barba. E aí um machado.

31:56>> Pô, quer mais viking que isso?

31:58>> [ __ ] maravilhoso. Tom hidromel. Só deixar as trancinhas. Meu cabelo tá faltando.

32:02>> Ah, meu amigo, ali tem dois tipos. Ou o cara faz trancinha ou fica careca, faz aquela, né? Faixa do e sai louco. Pula do barco. Ah. Sei, gostei, gostei doereo.

32:13>> É, então assim, eu montei esses capítulos de política, por exemplo, para tratar assim, ó, como que o mercado trata? Normalmente a política é um troço chato, que ninguém lê, com um monte de regras para executivo falar: "Aqui a gente leva a política de segurança a sério, segurança acima de qualquer coisa". Mentira, velho. Se segurança tiver acima de negócio, já morreu o negócio. Já sei disso. Então, nenhuma empresa tem a segurança acima de qualquer coisa, porque senão os negócios estariam todos mortos. Não tão. Se eles não tão, não é segurança a qualquer custo. Ela tem que fazer algum sentido.

32:46Tem zero, zero empresas que eu já passei, que eu vi, que eu dei consultoria, que se você perguntar para qualquer fulano assim, ó, o que que tem na sua política?

32:56Nunca vi, não sei. Nem auditor que audita não sabe a política de fio. Então fala, então esse negócio perdeu um pouco sentido. Não, não tem como ter assim essa tábua dos 15.000 mandar, porque são 15.000. Não são 10, né? Isso que é triste. Dos 15.000 mandamentos e você vai ter, hum, para quê? Então eu proponho inclusive uma reestruturação que é assim, ó. Vamos deixar claro aqui qual que é o postulado. Ele tem que ser super curtinho e normalmente numa linguagem fácil. Então, ó, todo acesso à produção deve ser de forma indireta.

33:27>> Beleza?

33:27>> Perfeito. Qual que é a ameaça? a produção não pode parar e um acesso direto posso levar surjeira a minha para lá e tudo e os dados que estão na produção não podem parar em Aracari. Eu tenho que ter um controlezinho do que sai também. Então porque tem essa ameaça, eu tenho esse postulado, né? Vai para lá. Tá bom. Como que eu vou medir isso, cara? Eu vou olhar aí, tem que ter a métrica junto. Como que eu vou medir a a assertividade dessa política que você não mede? É uma polícia serviu para nada. Como que eu vou medir esse troço aqui? Então, vou medir acessos. Se o seu acesso foi direto, se for indireto, eu vou entrar aqui no mérito. Ah, mas pera aí. E se for uma crise? Hum. Então tá.

34:03Quais são as excludentes de ilicitude aqui que fala assim, ó? Tá, você não pode acessar direto porque o ambiente não pode parar. Problema um. E porque o dado que tá lá não pode sumir e aparecer em aracari. Problema dois. Tá. Qual que é uma excludente natural? Se você não tiver nenhum dado que se estiverem todos em Já estão todos em Aracari, não nenhum não tem nada privado, é tudo bagunçado, tudo público já. Eu não preciso ficar te cobrando que você acesse de forma indireta, >> tá? E se esse ambiente é um ambiente aleatório de teste, é uma coisa de poque, tá? E você dono do prof assim, cara, se isso aqui ficar um ano fora do ar, não tô nem aí. Tem problema nenhum de negócio é irrelevante.

34:42Para que que eu segurança vou ficar gastando tempo, dinheiro, energia, monitoração, >> licença, >> estabelecendo ali.

34:49>> É, >> é burrice até para mim.

34:51>> Sim.

34:52>> Eu tô gastando energia, agenda no lugar errado, pro negócio é errado. E se eu levar o diretor para ficar analisando porque que você fez isso naquele ambiente, eu tô jogando contra você, contra mim, contra o negócio.

35:02>> Sim. Você tá criando um overhead processo sem resultado.

35:05>> Nada. Então, qual que é o ponto da política? Fala assim: "Não, então vamos criar essa essa quadrinha." Então assim, ó, eu tenho que ter lá o qual é a regra e normalmente tem que ser uma frase. Não pode vir aquele texto de 52 páginas do Banco Central.

35:16>> Não, tá aqui, ó, uma palavra, velho, de preferência.

35:22>> Quero falar com você agora que ainda não conhece a Clever. Clever é uma empresa que já tem mais de 3 milhões de usuários em 30 países com 30 idiomas diferentes, que tem trazido soluções em blockchain, criptomoedas e ativos digitais. O objetivo da Clever é te dar liberdade financeira para operar esse mercado de cripto. Então, se você acredita nisso, se você acredita nessa liberdade, você já pensa como a Clever, vai conhecer os caras, é clever.O. Estão contratando também pessoal para trabalhar com cripto, com blockchain. Então, se você tem interesse, se você tem conhecimento nessa área, procura a Clever. Se você gosta de criptomoedas, se você opera no mercado, você precisa conhecer a Clever, precisa conhecer as soluções da Clever.

36:02Então o endereço tá aqui embaixo no vídeo. Para quem não tá no YouTube é clever. Vai lá, vai conhecer que realmente é um mercado sensacional.

36:13[Música] >> Fazer uma pergunta honesta agora que até de de curiosidade mesmo.

36:19>> Manda aqui.

36:20>> Quando a gente tá falando de políticas assim, eles são para situações normais, certo? Tem política de risco, tem política de incidente, tem várias políticas. A ideia seria assim, ó. você construiria essas quadrinhas e iria aprovando elas nos comitês, porque as pessoas inclusive tem que falar assim: "Pé, >> eu não olhei a política intera, tem um tweet, tem uma frase, eu sou o cara de produtos, quer dizer que o meu time não pode acessar a produção de forma direta". Eu não tô discutindo todas, a gente vai sentar nessa reunião para discutir esse item. Tudo bem, eu consigo fazer. Ou, ô, pera. Eh, pô, mas is na crise, como é que a gente faz?

36:57Aí você já amarra o rolê inteiro.

36:59>> Sim, porque tem crise que crise, convenhamos no mundo corporativo, é uma situação normal, né?

37:07>> Você você não poderia, ó, vamos lá, você não poderia tratar a quebra, que é uma coisa corriqueira como a normal. Sim.

37:13>> Então você deveria ter as políticas defend.

37:15>> É, é tipo, cara, tô com problema em produção, pode ser uma crise do produto, mas esa aí, ainda tá dentro das minhas políticas de segurança. Eu tenho que eu tenho que tá eu tenho que ter talvez condições diferentes >> para tratar aqui a crise. Tô dentro do do conjunto de regras ali da política.

37:34Mas eu eu o o meu minha dúvida é mais em questão de eh um DR, por exemplo, eu tô num DR, >> desastre recover mesmo, >> parou o meu Cyberc ou qualquer outra ferramenta que me dá acesso em direto à produção parou também.

37:52E aí, meu amigo, eu tenho uma outra porque assim, em negócio a gente fala muito da política de continuidade de negócio.

37:58>> Perfeito.

38:00>> Que aí eu tenho eu tenho minhas políticas pra empresa em condições normais e tenho uma outra política de como agir em questão de que o negócio tá em risco. Eu tenho duas políticas nesse caso também ou uma política só prever as duas situações. O ideal é que você quando chegar nos detalhes da política de DR, você volte nessas aqui para ajustar eventuais necessidades ali de exceções e deixar tudo alinhado. Você não poderia ter, porque vamos lá, se você tiver um mandamento lá, não matarás e o outro, nunca deixarás ninguém atentar contra a sua vida, tá? E aí o cara vai atirar em mim, que que eu faço?

38:37Atiro ou não atir? Você não pode ter dúvida, tá? Então você não pode, em teoria para funcionar bem, não pode ser o ultrajurista para julgar o que, não dá tempo de parar para levar para judandar para STF de julgar qual dos dois pecados eu cometo.

38:51>> Rola, não rola. Então assim, tem que tá alinhado. Então qual que é o trabalho desses comitês? Inclusive a ideia de ser um tweet é o quê? A alta governança, inclusive conselho, eventualmente tem que aprovar. Fala por quê? Porque quando a gente escolheu fazer isso, significa que talvez eu tenha que ter um site DR com uma ferramenta na nuvem para garantir que nunca, né, fique tudo fora do ar e isso vai gerar custo. Então não é a política aleatória falando, você nunca acessa, mas tem ADR, mas então como é que a gente complementa? Mas então tem custo? Mas então o custo eu tiro da onde? Da orelha.

39:23>> Uhum.

39:24>> Não. Vamos alinhar esse processo inteiro e ver. Inclusive o acionista entende que faz sentido fazer desse jeito? Porque se ele entender, irmão, ué, tá resolvido.

39:35No fim do dia ele que responde, lembra?

39:37Ele responde no CPF. Se ele topou, tá resolvido. Agora, se ele entender assim, hum, entendi. Só que fica caro demais pelo meu custo do operacional, tá de um jeito que o produto ficou inviável. Se eu colocar essa margem no produto, ninguém mais compra. Tá fora de mercado, tá fora de carro. praia sim tá toda errada, tragam alternativas, tem outro jeito ou então eventualmente vamos assumir um risco. Mas olha que diferença numa discussão de políticas que exercita processos e regras de convivência que não podem aparecer durante a crise, porque se durante a crise eu quiser discutir a política fal assim: "Eu já falei que ninguém, não pode ser genérico, eu já falei que ninguém pode acessar, mas ninguém quem, em que situações?" Pode ser uma linha no meio de um monte de texto e que eu acho claro tem que estar na cabeça de todo mundo, tipo brigado em incêndio.

40:23>> Então que que, por exemplo, no nível, eu gastei um capítulo para falar de um tema que em geral a gente negligencia brutalmente, que é assim, tá, a gente se preocupou com as políticas e mais a gente mede, porque se eu olhar as políticas e falar assim, nossa, a política aqui é é leonina, aqui é é ferra e fogo, tá, mas dá 99% de aderência o tempo todo, porque eu tô medindo o tempo todo e tá perfeito, o negócio roda. Pô, que maravilha. Se eu consigo ter um negócio lucrativo, redondinho, que entrega resultado para cliente final, que é o que interessa na ponta da linha, atender o cliente, entrega e eu consigo trabalhar ali com a engrenagem ajustadinha, super apertada e roda. Monto ideal. Só que eu posso não, mas para ter essa eficiência de custo operacional aqui, eu vou ter que abrir mão um pouquinho dessa engrenagem, tá bom? Essa decisão não é do cara de segurança, não é do cara de produto, não é nem só do alguém lá no conselho inclusive pode falar assim: "Beleza, vamos assim, mas vamos medindo". Porque nessa condição de temperatura e pressão que tá hoje, eu topo. Mas se mudar, eu preciso saber que mudou.

41:29>> Uhum.

41:30>> Mas nem antes pra gente eventualmente mudar essa decisão. Tudo bem? Porque isso não tá gravado no mármore, porque o mundo não deixou de girar.

41:38Ele tá desse jeito hoje, pode ser que amanhã esteja diferente.

41:42>> E eu quero, eu quero me reservar ao direito de mudar de opinião, dado que o insumo mudou.

41:48>> Se a situação é outra, minha opinião pode ser, minha decisão pode ser diferente.

41:51>> Maravilhoso. Então assim, se eu trabalhar a política desse jeito completamente diferente, ela passa até uma coisa viva. Aí fala: "Quem que não conhece?" Cara, como não conhece? Vocês são medidos sobre todo mundo conhece, pelo menos você sabe dos impactos.

42:03Quando você transgrediu uma, inclusive veio a notificação que ué, você acessou direto a produção do seu not velho. Por quê?

42:09[ __ ] legal. Mas ó, tá aqui, não faz, tá? Por quê? Porque correu esse risco assim, assim assado. E sabendo que inclusive não é todo mundo, você esse dia cometeu um erro. Eu disparei um processo de só que eles investigaram a tua máquina. A gente já viu que você fez tudo de boa, índole, não fez maldade nenhuma, não vazou nenhum dado, não acessou nada que não devia, mas nós puxamos só capivara inteira, nós olhamos tudo, tá?

42:32Beleza, então evita pra gente não ter que ficar te virando do avesso. Tudo bem? Us aqueles JP que você tem paga ali, >> então aqueles MP3 ali e tal, se você não achar tão importante, >> pode apagar.

42:46>> Ia ser legal. Aproveita, >> cara. Mas eu fiquei pensando aqui, Rafa, enquanto você tava detalhando esse eu me interesso muito por assuntos que eu não conheço muito, como esse tipo de de modalidade de política de segurança, etc. Cara, deve ser uma complexidade absurda fazer isso, porque eu tava pensando aqui, [ __ ] beleza, eu tô num caso de DR e na minha opinião, eu eu comecei tipo disparar várias trads aqui enquanto você falava.

43:17>> Entendeu? Porque ela tem que ser pequena.

43:18>> Sim, >> porque aí você pega uma, Legal. Aí vamos colocar a segunda do DR, tá? Como que elas interrelacionam com o acesso DR?

43:25Resolvi só esses dois, tá bom? Vamos falar de vazamento de dados e proteção, porque às vezes a discussão do se eu libero ou não WhatsApp, ela tem a ver com mas qual a chance de um dado sigiloso tá na mão das pessoas, nas máquinas das pessoas? Não, a produção tá hermeticamente fechada, libera o WhatsApp, tanto faz, eu não preciso proteger.

43:42>> Mas eu pensei até em outro caso, por exemplo, eh, eu eu fico pensando na consequência e na decisão natural que pessoas não preparadas poderiam tomar.

43:53Por exemplo, cara, tô com DR.

43:56Caiu a produção, sei lá, criptografaram a produção, o banco fodeu.

44:03>> Hansw, mas ninguém sabe o que é handsw.

44:06Parou, >> parou, >> parou a produção. Ativei meu sítio de DR. Aí o cara fala: "Porra, bicho, precisamos subir, precisa configurar su, precisa rotar, rota do zero, sei lá, Cyberc tá lento, desliga o Cyberc, acessa direto, o ROR tá na máquina do cara que faz. Hum.

44:29>> Tre foi pr os caralhos junto.

44:32>> Então assim, você entende, esses tradeoffs eles tem que estar todos combinados e com a visão de risco.

44:38>> Mas é difícil para [ __ ] pensar em todas essas situações, velho. Eu não tenho dúvida. Por isso que eu tô falando esse negócio de um fulano senta e escreve uma política, vai num fórum e aprova e o conselho fala que achou maravilhoso. Isso não existe. Porque então eles não pensaram em nenhum desses cenários e logo a política não tá servindo para muita coisa.

44:55>> Sim. Por DR, a produção parou, ninguém tá sendo atendido, desliga, deixa todo mundo entrar e configurar. Se é um caso desse de Hanser, tu tu fodeu o TDR depois. Então, nesse você teria que falar, cara, não existe essa possibilidade porque vai sair mais cara a emenda que sonito. Quantas empresas você viu Brasil que passaram por um ransor, limparam e assim que voltaram, ele voltou a propagar e voltou a travar e ficou um mês brigando com isso e foi uma ladainha no país inteiro, lembra?

45:22>> Uhum. Então assim, sem criar polêmicas, então tem certas coisas que se você não planejar de verdade, então assim, se você transforma a política num processo desse, que é basicamente um modelo de ameaças, olhando para cada pedacinho e compondo a de infinitum, porque o negócio vai mudando, eu vou tendo que revisitar tudo isso, a política tá viva. Eu não tenho que auditar, auditoria vai ver se as pessoas não se, cara, tem números. A diretoria acompanha números, a diretoria audita. Mas por quê? Porque ela entendeu o reflexo disso no negócio. Aí é completamente diferente, né?

45:57Porque ela tá medindo, na verdade aí, o risco que ela tá tomando. Fer, >> eu combinei um um apetite de negócio e um risco. Se eu tô olhando o número e tá me dizendo aqui que a galera de negócio tá topando um risco muito diferente daquele que eu tinha apiti, falou: "Per pera, volta, volta, gente, quem responde no CPF sou eu." Não dê autorização para ninguém ficar tomando risco. E meio que você já acaba um pouco com aquele problema do hum o outro lá fala amém para qualquer coisa e vamos indo e tudo a gente aceita. T t até que exploda. Aí ele sai e quem fica que fica para resolver, que esse é o clássico motivo pelo qual um monte de áreas coloca um monte de barreiras e fica travando. Porque sabe o seguinte, fala: "Cara, eu tô aqui a cinco gerações de city, cada alienígena que passa aqui, né, chega num cometa, fica aqui seis meses, >> desce com a nave espacial, cheio de pompa, gelo seco por trás, assim, maravilhoso >> tudo." E aí fico eu arrumando depois 3 anos que em 6 meses essa bênção trouxe aqui, né, pro ambiente. Já é o terceira versão dele que eu vejo aqui, né, sacanando que que eu faço?

47:06>> Começa a travar ruim, porque aí se chegar pro dono, parece que tem um A brigando com o B aqui e ele não entende nem o linguajar de A, nem o linguajar de B.

47:17Que que vocês estão ajudando pro dono?

47:18Nada. Então você não quer brigar, você quer dar número, você tá quer dar visão.

47:22Então qual que era a ideia do livro inclusive nessa parte?

47:25mostrar que esse cenário, por mais que você fala assim: "É legítimo, tô magoado, você toda hora vem aqui e zoa o meu parquinho, eu vou te dar uma travada aí para você parar de zoar o meu parquinho, porque zoar meu parquinho dá errado e eu tenho que te dar uma freada mesmo.

47:39Tudo bem, mas não tudo bem. Se você for nessa linha, no médio prazo, você só vai criar um caos e uma confusão ali que pode sair ruim pr os dois. Você já viu quando a mãe não entende? Tá os dois >> Uhum. as duas bênçãozinhas ali, >> põe as du os dois filhos de de castigo.

47:54>> Te amo. Você entendeu exatamente e é o que eu mais vejo acontecer. Seis nucos dois.

48:00>> Sim, isso leva um uma coisa que é muito comum a gente ver dentro da da de grande grandes corporações, né, que é um excesso de processamento, um excesso de esforço intelectual, de trabalho interno que não gera nada para fora.

48:19>> Sim. entender o meu ponto. Então, >> [ __ ] que pariu, isso é, isso me me >> Então, você quer ver >> me dói no pâncreas, velho. O que que muda naquela política, por exemplo, que tinha exceção, cara, se o seu ambiente nem tem dado produtivo e nem tem problema de ficar fora do ar, então para que que eu vou colocar ele no DR? Então, o cara do DR não tem que ficar brigando com você, que você tem que seguir certas coisas para estar aderente ao DR. Você já tinha topado, >> tá? Mas então, então eu consigo tratar os diferentes diferente. E aquela coisa, por que que muita gente não aprova políticas mais restritivas? Vai f aquela seleuma na empresa? Eu não tenho como.

48:54Se eu aprovar esse troço, eu vou estar errado no dia seguinte. Eu não vou aprovar esse negócio, tá louco. Eu não tenho como est compliant com isso aí.

49:00Não esquece, não vai acontecer.

49:02Tá, mas se você deixa claro as exceções e o cara se vê e fala assim: "Não, espera, entendi. Isso vale pro geral. O meu é essa exceçãozinha aqui, porque eu lido com tudo público e tá tudo bem. eu fazer por como lido com tudo público, o meu valor do meu ativo também é muito baixinho e meu custo operacional não pode ficar alto, senão você me arrancou do mercado na hora. Eu eu tenho que custar no limite quase zero para ter algo para vender, porque eu eu ganho no milhar. Se eu vender só um, não funciona, eu tenho que vender 1000 para dar alguma coisa aqui para girar uma casinha. Você não tá entendendo. Eu eu ganho no cento, eu ganho no milhar.

49:35Putz, se você vier com um arsite, um não, não, calma. Sim. Não vem com parafernalhas >> que não vai. Ah, vai usar o Cyber Arc para dar aqui a monitoração do Calma, irmão. Eu não tô aguentando fazer a VPN aqui. Eu já não pago >> não. O maior exemplo, cara, em todas as empresas que eu passei até hoje, a minha primeira briga em sempre quando eu chego é porque geralmente eu eu que geralmente a TI ela não tem uma um PID, né?

50:06>> Perfeito.

50:07>> Então é operação geral. E eu sempre sou o cara fala: "Não, gente, vamos fazer um PD aqui, né? Como eu sou responsável por montar solução, eu não tenho coelho na cartola o suficiente para tirar um em cada reunião." Então, eu preciso de um time ficar testando coisa, fazendo pesquisa e trazendo coisas do mercado pra gente testar. E a minha primeira briga sempre, eu tenho certeza, se eu sair da empresa que eu tô hoje, eu vou para outra, primeira briga vai ser essa.

50:32Eu preciso de um sandbox com liberdade para testar produto.

50:38Eu não posso abrir um ticket pro cara criar uma máquina para mim na nuvem e se eu errar o teste que eu tava fazendo, eu ter que abrir mais um ticket com SLA de 24 horas pro cara desligar e pro cara ligar de novo.

50:53>> Ué, você é arquiteto. Então vamos lá. E se a gente tivesse as políticas todas ajeitadinhas e planejasse, inclusive, aí vai mais paraa parte do modelo de ameaça, arquitetura mesmo. Fala assim: "Olha, pera, pera". Então, vamos lá. Tem um ambiente produtivo aqui, tem uma rede aqui que a gente vai chamar de rede de deploy, que onde estão as ferramentas de C, CT, tudo que chegam lá.

51:12>> Isso.

51:13>> E daqui pra frente, W, a produção é hermética. Nenhum dado de cliente, nada, ninguém toca. Só que você fica com a obrigação de toda vez que você implementar alguma coisa, você vai escrever um serviço de exportação de dados. Para que que serve isso? Porque eu aqui da pipeline vou colocar só um pedidinho. Você dono de produto, vou colocar aqui só um pedidinho. Exportar dados. E lá no ambiente de dev, que sabe o que tem na produção de modelo de dados, de banco, de tudo, mas sabe inclusive aquela tabela nova que vocês estão testando. Ele não só faz o extract que iria quebrar, ele faz o extract, faz a transformação para aquela tabela naquele formato que vai dar load de verdade >> e sobe. E lá eu já mascarei o que eu precisava mascarar. Logo, faz a brincadeira que você quiser, mas eu não vou quebrar sua vida. E ninguém tocou em nada. Por quê? Porque como passou por um um serviço de stract, um serviço de load e isso tudo é controlado e não passou na máquina de ninguém, eu tenho certeza que não vazou. E eu posso me dar o luxo da a liberdade via arquitetura, né? e via este de deploy mesmo.

52:15>> Isso, exato. E e cara, nem às vezes nem tanto, não precisa nem tanto. Às vezes, tipo, o que a gente pede é preciso de um Sand box, eu não preciso de conexão com VPN, eu não preciso de falar com leg com, não preciso nem ter contato com ambiente de desenvolvimento.

52:31Pode ser uma VPN, uma VPC exclusiva na nuvem que não fale com nada, só com a internet.

52:38>> Mas normalmente eu faço isso, só qual que é a sugestão?

52:40>> E deixa lá, cara. Cria isso, mas cria alguma coisinha. Por quê? Se a gente tá assumindo que isso pode ser rançorado, né? Zoado, quebrado a qualquer minuto.

52:51Pô, tem poques e poques, né? Pode ser que na sua poxa ficar seis meses sem olhar nada. Fala: "Tá bom, nem tanto ao céu, nem tanto a terra". Queria um pouquinho da Code aqui que minimamente é assim, eu subo de novo novas máquinas, eventualmente até numa conta nova, dropo aquela, vai pro lixo, perdi dinheiro, perdi dinheiro, >> dropa aquela, vai pro lixo, sobe uma nova e faz de novo o stractoad. Por quê?

53:14Porque aí em segundos >> isso, vai embora, >> o ambiente tá de volta. E se o cara é muito chato, como tinha falha antes, vai ter de novo, vai cair tudo de novo e ele vai ficar no seu pé. Só que você fica assim, ele derruba, você sobe, ele derruba, você sobe, ele der: "Ô, cansou, valeu, obrigado, já gastei um dinheiro contigo, valeu." Ou no limite tá, tá muito chato, ou não a consertada aqui o porque não tá dando, velho. Eu sou, ele derruba.

53:33>> Mas até, eu até prefiro que quando isso toma corpo para virar uma poque, para virar um um piloto que vá para ambiente governado de desenvolvimento.

53:47Eu acho até recomendável, mas às vezes eu preciso instanciar o produto, saber o que que ele faz. Perfeito.

53:53>> Entendeu? Tipo, não preciso de dados, né?

53:55>> Isso é, eu preciso subir, testar, ver o que que isso faz e tal. Então, pô, preciso ligar uma máquina, preciso entrar no SSH dela para saber o que tá acontecendo sozinha, tipo desconectada.

54:06Quantas vezes na cadeia de valor você deixou claro isso e falou assim: "Olha, veja bem, ó, não é só desenvolve homolog e produção. Calma, tem aqui a experimentação, tem não sei o que, isso aqui ajuda a ter ideia pá. E vamos combinar as políticas de governança dessa cadeia toda aqui. Por quê? Porque normalmente você tem política para dev, homologan.

54:27>> Se você chega com troço que não encaixa fatalmente o cara vai te carimbar em alguma na >> ele vai te botar numa caixinha que ele conhece, entendeu? Meu irmão, >> é, é isso.

54:37>> Mas até você faria isso. Fala, cara, eu preciso te enquadrar por senão não tem regra, não posso abrir o ambiente, porque o ambiente aqui tá escrito no Dev Cob.

54:45>> Que ele é o carimba. Eu eu tenho que taguear, tem que taguear a máquina. Ela é homologue, ela é dev, ela é prod.

54:53E tem uma regra de da galera de de Finops aqui, irmão, que assim, se não tuiar não sobe. Então, você vai me ajudar a enfiar numa dessas caixinhas?

55:04Se você não me ajudar, não sobe. Putz.

55:07Então eu preciso falar dessa cadeia e dessa política.

55:10>> Então e por isso que isso tem que ser num nível maior de responsabilidade.

55:14>> Por que que a política vai para cima?

55:16Que é assim, então vocês aceitam o conselho, que coisas aqui podem quebrar, que coisas aqui podem ser hackeadas, que coisas aqui vão custar e isso não vai pro cent de custo de ninguém. Porque se essas decisões ficam mal mapeadas e ficam sem política, nego contra e fala assim, ó: "Você vai criar esse ambiente, não vai tagueiar, tá bom? Eu separo isso aqui, levo como exceção a norma lá para falar no conselho que o L é um capetinha.

55:40>> Isso é aí, aí leva a informação errada.

55:43>> Aí eu te arrebento, aí você fala assim: "Não, veja, esse aqui foi a poque do produto que estourou de vender esse mês." Aí fica aquela coisa que o conselheiro fala assim: "Pera, vocês dois vão pro cantinho?" Você se entende?

55:55>> Na hora que vocês se entenderem, você percebeu que todo mundo passa vergonha, não ficou bom para ninguém.

56:00>> É exato. Exatamente.

56:01>> Por que que eu discuto tanto esse modelo de ameaça? Porque inclusive ele cruza com risco. Porque toda vez que cruzar com qualquer coisa de risco, a decisão tá lá em cima. A única pessoa que responde por risco é quem responde no CPF.

56:13>> Normalmente tu tá do do presidente para cima.

56:16>> Então é esses caras que vão ter que decidir, >> pelo menos estatutário, né?

56:19>> Estatutário, que às vezes vai no VP ali, né? Mas assim, é dificilmente tá abaixo disso, raramente.

56:25>> Então beleza, essa galera no fim do dia tem que estar contente, porque se tudo mais der errado, o rolê é com eles.

56:33>> E cara, não faz bem para nenhum executivo levar problema operacional para conselho, velho. E isso acontece demais. Isso não deveria acontecer.

56:45>> E quer quer saber o que que é mais chato?

56:46>> Dá mais um guarda dessa cerveja.

56:49>> Tem um restinho aqui, ó. Tá boa demais, cara. Imagina você, você vai experimentar dessa outra aqui, ó.

56:55>> Não, mas eu quero terminar aquela.

56:56>> Imagina que ela tá quente já.

56:58>> Não, manda, eu mando. Eu, eu. Eu. Manda, manda. No aqui aqui no PPT não se desperdia cerveja.

57:05Tá louco, velho.

57:06>> Que dó.

57:07>> Cerveja boa dessa >> e quente.

57:11>> Cerveja boa não precisa estar trincando.

57:13>> Ó, essa aqui é uma dark stronge. É uma variação daquela, só que é mais forte ainda. Só que essa tá gelada, ó.

57:21tá dirigindo hoje.

57:23>> Eu espero que ele não esteja dirigindo.

57:24>> Eu não estou dirigindo. Eu sempre.

57:25>> Se ele estiver dirigindo, >> estragou o rolê.

57:29>> O cara tá perguntando se eu tô dirigindo hoje. Me enchou cu de cachaça todo, todo, todo podcast. Aí hoje que eu tô tomando uma cerveja boa, degustando.

57:39>> A hora que você resolveu o hidromel tá aqui.

57:41>> Ai cara, >> isso aqui é bom demais cara.

57:47>> Ó, >> cerveja dos Vicks.

57:48>> Vale a pena. Só não esquece. É 16% de álcool. Então >> é, é um vinho, cara.

57:52>> Viking não é uma coisinha à toa, né? É um é um nego bruto.

57:56>> É, é um pouquinho além do vinho. Vinho geralmente o quê? 14.

57:59>> É, >> então eu tomo uma dessa e fico bom, eu acho.

58:04>> Mas fica maravilhoso. Opa. Depois, depois de uma dessa não tem quem, não fique, mas ser a fina flor da gra. Você escuta até a Aurélo aqui. Ah, meu irmão, >> você vai ouvir Valrala.

58:17>> Você fica espetac bom. Sou eu. Você fica espetacular.

58:22>> Ah, voltando para você que tá aí escutando esse episódio bacana e quer levar toda essa tecnologia, essas novidades pra sua empresa e não sabe como, chama o time da VMBERS. A gente pode ajudar vocês com desenvolvimento de software, com arquitetura de soluções, a entender os problemas que vocês estão vivendo e sair do outro lado com uma solução bem bacana. E se você tá escutando o podcast para aprender coisas novas, faz o seguinte, manda um e-mail pra gente no peoplecare@vems.

58:56E você pode fazer parte também do nosso grupo de talentos. Valeu.

59:01Agora o time do Relações Públicas vai gostar mais de mim.

59:10Mas lá, pô, a gente perdeu um tempão aqui nessa questão de políticas e relações executivas, porque é um assunto que eu gosto muito, >> só que ela ela ela ela amarra. Então assim, eu queria só que você entendesse essa relação que assim, porque a gente resolve mal esse problema, o auto executivo e o conselho perde capacidade de decidir, porque quando chega para ele são só essas briguinhas >> e que ele não entende e que muitas vezes tem a ver com uma transgressão daquela política mal feita e que tem regras esquisitas e que não leva nada. Se eu tiver uma política que tem métrica, que tem revisão de risco, que expõe o problema, minimamente eu embaseio na própria política, porque ele não tem tempo de ficar analisando todas, ele vai olhar aquele pequeno recorte que tá amarrado nos grandes recortes da empresa inteira e numa cadeia de valor. E aí eu tenho chance de levar algo útil para um conselheiro tomar uma decisão que fala: "Hum, entendi, precisamos mudar a exceção ou precisamos mudar a regra".

60:02Op, fantástico, troca o postulado.

60:05Então, agora qual que é o próximo?

60:08Isso não atende. Mas eu levei de um jeito que ele é capaz de digerir e decidir. Se ele participar da decisão é diferente do vem os dois brotherzinhos para brigar para ele pôr no cantinho para depois que eles pensarem.

60:20>> Evita um monte de dor de cabeça para um monte de gente. Qual é a principal que o livro trata? As que estão relacionadas ao desenvolvimento seguro. Por quê?

60:28Quando que você vai ter alguma coisa, que você não vai ter vom ou vulnerabilidade ou risco. Cara, tudo tem. É inerente se você comprar um produto de terceiros, né? Diga lá o Banco Central. Deixa eu fazer >> comprar um produto de terceiros. Fazer um resumo aqui pra gente fechar esse capítulo.

60:45>> Claro, querido.

60:46>> Eh, primeiro o Bart, bota aqui pra gente o o livro. Deixa deixa um tempinho fixo aqui na tela a capa do livro.

60:57Eh, lições aprendidas dessa dessa dessas últimas desses últimos 30 minutos.

61:04Aprenda a falar com o executivo.

61:06>> Importantíssimo.

61:07>> Não influencie o executivo, mas leve os insumos e explique o porque você tá tomando aquela decisão, mas deixa aberto que a decisão é dele.

61:17>> Porque é >> porque é, né? Então não leve só o seu lado da moeda, leve os dois lados da moeda e coloque uma decisão meio que compartilhada, né?

61:26>> Perfeito.

61:27>> E quando a gente tiver falando de política, que ela fique clara e não fique ambígua. tem que ser >> para que isso aconteça, né? E capacite a sua média gestão para entender sobre isso, porque se a política for questionada no momento da aplicação, ela não tava clara >> no com certeza.

61:48>> Foi um bom aluno nesse >> excelente, querido.

61:51>> Vou aplicar pra vida. E assim, ó, tem uma outro capítulo que eu entro um pouco mais em métricas e aí eu falo de algum de algumas falácias que a gente comete, que é assim, >> o cara de produtos leva as métricas mostrando que o seu controle de acesso arrebentou todo o o funil dele, tá tudo bagunç, agora ninguém mais entra. Agora você o é prevenção a fraude, o é prevenção a vendas, não vende mais nada aqui dentro.

62:15>> É prevenção >> a vendas, né? Prevenção FR. Legal.

62:18Instalou aqui as ferrão, nunca mais se vendeu nada dessa sem empresa. Falá, calma.

62:23>> Aí vai o cara de segurança e fala assim: "Não, calma. Desses 400, os 300 que eu barrei eram 300 fraldadores que eu deixei de arrancar de dentro do ambiente. Isso aqui melhorou, na verdade, não piorou. Só que qual que é o grande erro do cara de segurança até de prevenção? Eu mostro só o meu número também. Aí ele mostra só o dele e aí a gente sonha que o conselheiro vai conseguir juntar tudo, cara. na política ele tá conseguindo fazer isso. Calcula se nos números soltos ele vai conseguir.

62:51Então, qual que é o outro grande erro de métricas?

62:53>> Leva as métricas compostas. Qual que é a tendência disso? Então, tá, colocando o controle de acesso, eu tiro esses 300 fraudadores, mas isso aqui gera sim um atrito com o cliente que entra não botava nada, agora tem que botar a cara, >> tá? E a galera que tiver um celular que a cara no filme direito, mostra tudo para o cara tomar uma decisão embasada e falar assim: "Olha, eu tenho 100% de melhora na prevenção a fraude e eu tenho 10% de perda aqui no onboarding.

63:20E eu tô feliz e tudo bem.

63:23Se você levar o quadro fechado de verdade, inteiro da cadeia de valor, não tem o que, você não você não deixou nada pro cara de, para nenhuma outra área, não cara de produto. Tô >> até porque na cabeça do executivo, se a sua se o seu sistema antifraude faz ele vender 50% menos para prevenir 1% de fraude, tu vai falar: "Cara, [ __ ] teu sistema de fraude. Não quero.

63:50>> Eu vou vender 100% e eu assumo os 2% que eu vou ter de fraude.

63:54>> E ele tá errado.

63:56>> Ele não tá errado.

63:57>> Aí agora de novo, métricas completas. Aí eu mostrei esse onboarding, mostrei lá que eu tô limpando 50% da grade de entrada e que o custo para arrancar ele daqui, a quantidade de fraude que ele gera bate muito mais do que o custo médio e aquisição. [ __ ] aqui meu orçamento de prevenção à fraude é 8 milhões para perba. Então a gente saiu de um orçamento ano anual de 80 para 8 porque você colocou essa ferramenta.

64:21Então tem 72 que sumiram de fraude do ambiente porque você arrancou 50% da galpa, entendi.

64:30Agora eu quero a prevenção a fraude.

64:31Sim, porque assim, não tem nada na aquisição do cliente que vai me trazer 72 milhões de porque fraude é lucro, né?

64:38Não é não é entrada, não é revenue.

64:40Porque é depois que desconto imposto, a fraude é fraude, você perdeu, é em cima do lucro.

64:46né? Depois que era custo operacional, tudo isso foi porque para que saça, né?

64:50Você tem que pegar o net, o limpo.

64:52>> Tá, quanto eu tenho que fazer de resultado limpo para pagar 72, né? E eu já trabalhei numa empresa que a gente teve esse resultado, sai de 80 para 8.

65:02Fala: "Não, então pera, então isso interessa. Mas criou um atrito?" Criou e é legítimo. E é verdade. Criou mesmo, tá? Tô olhando aqui o número junto com o cara de produto e deu 10% aqui de gente que se atrapalha. Tem que ter um atendimento treinado para ajudar esses 10% que eles estão batendo cabeça.

65:17>> Uhum.

65:18>> Ajuda. Ajuda a falar pro cara que lado que é direita, que lado que é a esquerda, sabe? Ali.

65:21>> Sim. Sim.

65:22>> Ajuda. Enfim. E é o que dá para fazer.

65:25>> Sim. Mas se o resultado na ponta justifica você ajudar esse cara, >> mas a métrica tem que est completa. E você ficar discutindo um por um aqui do funil, você já foi pro lugar errado.

65:36Então, de novo, analisa cadeia de valor, onde começa, onde termina. Porque às vezes você pode achar alos onde você não esperar, falar assim: "Não, pera, pera, porque eu deixei de entrar com esses 300 fraudadores aqui no funil". A minha central de atendimento que antes tinha 380 ligações, hoje tem 80.

65:53>> E o meu TMA de >> E o meu custo operacional hoje é metade.

65:57E o meu TMA tá maravilhoso, nunca foi tão bom. Opa, pera. Indiretamente eu melhorei a vida do guri ali mais um bilhão de vezes. O cara do atendimento me ama, me chama de irmão, né? me chama pro churrasco do final de semana da casa dele.

66:15Eu tenho que montar a cadeia de fio a pavio e aproveitar inclusive essas coisas, porque às vezes fal assim, talvez eu nem diminua tanto em prevenção, mas operacionalmente o teu atendimento ficou tão melhor, os teus processos jurídica, tá sofrendo tanto menos e tem tanta coisa reclamando de entrega menor. Se você somar essas pequenas fal, então na verdade introduzir esse elemento na entrada muda tudo isso nessas saídas.

66:40retirar esse elemento volta tudo isso.

66:43Não espere que o executivo vai formar tudo isso número na uma vez. Não, >> até porque >> estrutura e leva.

66:49>> É porque ele tem uma ele tem uma visão muito mais orientada a negócio.

66:52>> Perfeito.

66:53>> E ele não tem muitas vezes até pelo perfil que pode não ser um cara de exatas, essa essa visão de consequência e causa, que é muito claro para nós como sobre profissional de TI e o cara não é.

67:05>> E vamos lá. Só que essa galera tem uma visão de investimento também que é diferenciada muitas vezes, né?

67:10>> Exatamente. E aí tem que tem que aliar as duas visões para chegar numa no que é melhor paraa empresa, né?

67:15>> Investimento e risco. Então assim, tomar muito cuidado porque assim, ó, eu já passei por muita consultoria de segurança também. Não é incomum você pegar relatório de consultoria que tudo é crítico, tudo é o fim da vida, tudo.

67:27>> Ah, cara, é o que eu mais recebo. Então, >> pelo amor de Deus. Só que se tudo é o fim da vida e não tá acontecendo, acaba caindo em descrédito. Fala assim: "Ô, >> se tudo é urgente, não é urgente, cara." >> Pronto. Então eu vou escolher o que eu quero fazer, porque se tudo é crítico, eu eu pego o primeiro do do da balaio que você me trouxe, o primeiro que eu puxar tá certo, se tudo é prioridade, nada é prioridade, né?

67:47>> Então esse é o grande erro. Então assim, se você conseguir nessas métricas chamar a atenção de verdade para aquele talvez um, dois, que sejam 10, 10 itens que são realmente problema e falar e temos outros 70 itens, mas que não são realmente o fim da vida, mas que nós vamos precisar discutir depois desses 10 e poder jogar limpo com a empresa inteira é completamente diferente, >> que aí entra uma visão de negócio, né?

68:12Porque se você olha, pô, às vezes é um splot babaca que uma criança de 2 anos poderia explorar. É, aí o cara bota lá com risco alto, porque ele ele é ele é extremamente explotable, digamos assim.

68:24Mas o impacto pro negócio é mim, não faz nada. Pra essa [ __ ] não é crítica, né?

68:28>> É aquele esquema, ah, mas tá rodando no blog.

68:31>> É, >> cara, tá. E se o blog for queassça, tá bom. Baixa e sobe outro.

68:35>> Isso. Exato. Sobe o um WordPress.

68:38Backup. Isso. E um mais um outro ponto até pra gente encerrar esse esse grande capítulo que a gente fez aqui, que foi muito bom, é que você trouxe a visão de métricas em cima das políticas de segurança.

68:55>> Precisa >> isso, cara. É muito raro da gente ver.

68:58Extremamente raro.

68:59>> Na verdade, eu tentei implantar onde eu passei e eu não vi em lugar nenhum, tá?

69:02Não é comum.

69:02>> Eu também nunca vi. E eu vou te falar, Rafa, isso é extremamente importante quando a gente tá falando da nossa cozinha de TI, da nossa operação de TI, que é onde a segurança geralmente ela é vista como vilã. É o cara que não quer me dar acesso à base para eu poder fazer meu trampo, é o cara que não me deixa fazer o deploy, entendeu? E a gente tem hoje uma visão de, eu como entusiasta, claro, não sou especialista em segurança, que a operação de TL é a mais visada, porque >> as nossas aplicações hoje para fora com criptografia, a gente tem muita ferramenta, a gente tá praticamente blindado de fora para dentro. Ninguém pega o URL do teu site e tenta invadir teu site. Mas o cara quer a senha do teu do KitHub do teu desenvolvedor. É muito mais interessante, é muito mais eficiente, né?

69:52>> Por que que eu amo o modelo de ameaças?

69:54Ó, então vamos olhar lá atrás a gente dava o nome de bichinho, de rock, de cantor pras máquinas de produção. Lembra quando você tinha lá o Beethoven, Mozart? Cara, você você você ia lá com a flanelinha, você lustrava os leva. Nessa época era muito mais poética. É, então não, você lustrava os LED ali e tal, ah, o Iron Maiden ou não sei o qu tal. Não, o que que é isso aqui? Os viros, os phos que protege servidor, mas aqui é rock, aqui é punk. Tinha até uma lógica para dar os nomes. Cara, hoje a produção é o EB327.

70:25Você nem sabe o que raio é naquele nome.

70:28>> E se você trocar o último dígito por um outro número, você cai no outro servidor >> que tá lá no caixa prego, não tem nada.

70:34Perfeito. Então assim, lá atrás fazia todo sentido. O atacante esperto, ele que tentava cair para esse ambiente porque ele sabia que você tava ali passando flanelinha no LED e aquele ia ficar não ia sair, não ia sair dali.

70:47>> Isso.

70:48>> Hoje a máquina não pode efêmero hoje.

70:50Agora o processamento agora tá daqui a pouco tá para tá no Google, mas tá rodando na água.

70:56>> É, foi, né? Aonde? Não sei para que que esse cara vai querer invadir o lugar.

71:01Não, a produção hoje não faz menor sentido. Porém, a produção é construída através de um lugar agora que é uma meta produção, que é quem? A pipeline.

71:11>> Uhum.

71:12>> Cara, o atacante inteligente, ele vai gastar zero minutos indo na produção.

71:18Ele vai tentar pegar o seu pipeline e cair lá para dentro. E no limite, para que que eu vou meter um hamster no seu pód. Eu posso pegar só o seu repositório de imagem aqui? Já era.

71:27>> Não preciso arrancar mais nada.

71:29Vou pegar só isso aqui. É meu. Perdeu, >> cara. Entra no teu registre do teu do teu cubernet.

71:34>> Perdeu. Perdeu. É meu. Você concorda?

71:37Você não instancia mais nada. Os po que for morrendo, acabou. Acabou. Sua produção vai se autodesligar daqui a pouquinho >> sem você ter entrado em uma máquina.

71:46>> Eu não entrei em nenhuma máquina. Eu ganhei um serviço.

71:48>> Você só se o str register.

71:50>> Tá. Qual que é o nível de segurança que a galera tá colocando nessas ferramentas de pipe?

71:58Quem tem acesso, quem gerencia acesso, como eu gerencio o acesso de terceiro?

72:02Você já viu alguma empresa que não tem algum desenvolvimento terceiro que se plugue ali? Ou você faz tudo em casa, você inclusive pega areia na praia e faz o silício com você não imprime chipe, né, né? Em algum momento você confia em alguma empresa que fez que te entregou alguma coisa ou numa biblioteca ou num troço gigantesco.

72:21>> Por que que eu preciso invadir o seu pipe? Se eu posso, eu sei que você usa certas bibliotecas open source, eu posso invadir lá aquele repositório e uma vez que eu plantar lá, teu próximo deploy me enfia na produção.

72:32>> É, você vai no barquinho.

72:35>> Então assim, se você modelar a ameaça direitinho, você vai ver que >> E quantas empresas tem um SAS Dust decente para fazer isso hoje?

72:43>> E não é só SAS DAS, olha que triste, tem muito mais processo que eu tenho que colocar por, ó, veja, lembra que você falou do DR que é tão importante?

72:53Então eu não posso ter só um um uma fonte verdade do artefato. Eu tenho que pegar esse artefato do mercado, jogar para um lugar que ser um repositório intermediário aqui.

73:03>> Sim. Um mirror.

73:04>> Porque um mirrorzinho, porque se tudo se o mundo lá fora c uma bomba atômica, eu não posso parar no dia seguinte porque eu não consigo mais buildar.

73:11>> Essa é uma boa prática de de arquitetura.

73:14>> Legal.

73:15>> Você tem >> Só que o que entra aqui já não pode ser tipo: "Ah, se atualizou lá". Não, não, calma. Você atualizou lá? Não, pera.

73:22>> Sim, tem que ter um >> fluxos, tem um corte. Aí eu tenho que validar este cara. Eventualmente eu posso dropar e falar: "Não, não, não, não, não, não". A última versão é, não põe não. A última a última. Ei, rapaz, a última versão não põe não. Você consegue viver com a versão anterior? Vamos assim por enquanto >> que eu tô de olho.

73:40>> Quem que tá monitorando esse mirror? Não é nem o teu registre, é o mirror, cara.

73:45Pera, isso aqui é o que você consome no mercado. Entendi que devo continuar a usar a versão atual e que você está monitorando quem está de olho no mirror e não no meu registro.

73:55>> Que bom.

73:56[Risadas] >> Foi a minha gemai.

74:00>> Foi.

74:00>> Olha só >> que legal. Não sei se >> ela já aprendeu alguma coisa. Dá meu livro para ela ler.

74:09>> Olha só. Muito exigente. Parabéns, G.

74:11>> Muito bom.

74:12É, mas e cara, esse papo que ele tá falando pouco do livro, mas tá batendo muito papo sobre isso.

74:20>> Mas a modelagem de ameaças tá lá no finalzinho. Por que que eu apresento o conceito do modelo de ameaça? Que eu tenho que olhar de trás para frente, falar: "Tá, se o cara quer travar o ambiente, quais são todos os caminhos?

74:30Um deles é fazer você me instalar na produção. Quais são todas as opções para você me instalar? É eu ganhar uma biblioteca que você usa, eu ganhar uma linguagem que você usa, um framework que você usa. Eu tenho caminhos, >> cara. Isso é tão fora da realidade da maioria das empresas, Rafa.

74:46>> Mas não é sofisticado, M. Você quer ver, >> cara? Não, mas não é. Mas o risco é eminente. Quantos caras não declaram dependência Maven em Java, por exemplo, lá ou biblioteca Node, etc. Que a própria máquina do cara tem acesso direto a repositório público na internet. Esse cara gera uma imagem docker na na na máquina dele >> e sobre pro registre.

75:10>> É isso aí.

75:12>> [ __ ] você >> E o que que você levou de dependência? E mais louco, não é dependência direta.

75:17Quantas bibliotecas você já analisou? É que ela ela depende mais duas. Essas duas dependem mais três. Falou: "Nossa, se eu olhar em seis níveis, >> cara, eu não uso uma biblioteca, eu uso umas 36 mais umas 20 de operacional".

75:30>> Rapaz, é assim, é assim. É esse o número de interdependências. E e aí, cara?

75:35[ __ ] isso é uma é é >> essa é a superfície de ataque. Aí quando você fala assim, qual a superfície de ataque sua? É o su RL.

75:44Por isso que às vezes você tem que fazer um hardenzinho que é assim, putz, tinha um troço lá no PHP que chamava Image Magic, que é maravilhoso para fazer algumas coisas visuais, né?

75:52>> Usa até hoje no Linux.

75:54>> Qual que é o drama? Aquilo lá, se você fizer um pain test fino, aquilo é um Scale Injection que tem funcionalidade, né? que ele tem mais falha de segurança do que função.

76:03>> É mesmo.

76:04>> Nossa, ele é terrível. Eu já passei apertado com ele. Legal. Ele horrível de segurabilitar o DMZ do meu do meu H.

76:10>> Calma. Ó, vamos lá.

76:12>> Lembra de um design pattern idiota que a gente tinha antes que a gente falava assim: "Cara, que que esse cara faz aqui? Gang of War, lembra do livrão?" >> Sim. Aham.

76:19>> Tá. É o facade. Lembra do facade? Quem quem que é um animal que vai fazer uma fachada e que fala assim: "Legal, desse objeto inteiro eu quero usar esse um método." Então, na verdade, eu vou encapsular ele e eu vou expor no meu objeto que instancia este objeto só esse um método.

76:33>> Isso. Pronto. todo o resto que tava mais escorrendo vulnerabilidade, só de eu fazer esse uma eh ele único objeto, único acesso em memória possível através desse um método que é meu >> e que eu, inclusive, se eu perceber que um parâmetro aqui pode ser atacado, eu posso ir lá e posso no facade fazer um tratamentozinho aqui antes.

76:54>> Eu matei as vulnerabilidades, elas não são mais críticas, por quê? É inacessível, é impossível. Não tem como um objeto certo, >> você só você não tá expondo mais o asset que tá vulnerável, você tá colocando um >> Então, Jesus amado, >> uma fachada.

77:07>> Em vez de você depender de 20 bibliotecas, por que que você não queria faides para todos objetos que você importar?

77:13>> Sim, >> você nunca usa mais que 10, 12 m, então cria um facete com aqueles 10 12. É aquilo que você usa. Se ali tiver uma merda, você tá lascado. Sim. Mas caramba, quantas vezes você pegou um image magic inteiro que tinha, sei lá, 30 m de objeto e você usava o carrossel.

77:30>> É verdade.

77:30>> Fala, irmão.

77:31>> O crop.

77:32>> Pô, irmão, você usa uma função de 500, você tá correndo o risco de 500 por causa de um. Cria pelo menos um facadezinho, porque aí assim, ó, se não for naqueles cinco parâmetros daquele um método que você usa, não tem como explorar.

77:49>> Sim, você ainda tá exposto, mas a sua superfície de exploração ficou muito menor >> disse tamaninho. Então, olha o tanto de processo e regra que surgiu no mirror.

77:59>> Uhum. Porque ele faz parte da cadeia de valor e porque eu tenho que entender como isso cria produção. Aí fala assim: "Adianta eu colocar a regra do nunca se acessa a nada em produção se eu tenho um backdoor instalado na biblioteca de travels".

78:12>> Que tá levando da máquina do cara direto pra produção?

78:15>> Tá na produção. Ela faz qual backback, irmão. Ela que chama o o ataque mais lindo que eu já vi foi assim, ó.

78:23Os sistemas Oracle eles tinham uma funcionalidade de você poder fazer backup, né?

78:27>> Uhum. Inclusive você aponta, ele inclusive usava o web service, então você apontava vir service para um troço qualquer em qualquer lugar de nuvem e pedia para ele assim, ó, manda os metadados, manda os dados porque era o backup.

78:41Mas em >> o cara não furtou os dados >> em rede pública assim, >> ele ele entrou numa máquina Oracle e programou o backup via da o web service W services lá, né? O WSá, o objeto dele de web service para ficar sincronizando com a nuvem dele. Ele tinha todos os dados online o tempo inteiro porque sincronizava o metadado e quando você fazia um pacote, tô falando, levou anos para achar o cara. Por quê?

79:09Porque saia picadinho, pedacinho por pedacinho.

79:12>> É, cara, não tinha uma relação de confiança, sei lá.

79:16>> Quando você tá falando dessas máquinas na nuvem e serviços em nuvem que tem tudo nome maluco, como você acha um um perdido maluco desse e pior, não era o ataque vindo, era o ataque saindo, era a sua máquina >> saindo. Ele entrou e apontou para aquela máquina, mas antes ele fez a, ele estabeleceu a relação uma vez.

79:36>> Ah, tá. Então ele estabeleceu relação de confiança, tudo normal, só que ninguém viu.

79:40>> Uma vez, uma vez ele caiu na máquina, tudo que ele fez foi ligar o backup, >> viu o web service pra máquina dele.

79:48Levaram anos para achar esse cara, porque depois inclusive o tráfego era peanuts, nem pesava no banco de dados.

79:54Quando você fazia um deploy, ele ainda sincronizava o metadado.

79:58>> [ __ ] >> é inteligente, pá, burro.

80:02Tenho que mapear isso no modelo de ameaça. Tenho. Por que que a gente faz o controle? Mas aí tem controle de verdade, né? De produção, de teste, de Então não pode ser só uma política assim, ah, fez a Gemmud, cara. Gemud é um meio, mas não é isso.

80:19>> E posso ser honesto, posso ser honesto, >> pode.

80:24>> Gimude é um documento que passa na mão de gente que não tem contexto, que aprova sem saber o que tá fazendo.

80:31>> É isso, cara. A gente voltou no começo do livro que é assim, como que você toma decisão? Porque em teoria é legítimo alguém avaliar. É, o cara que avalia tem condição.

80:41>> Se a se a resposta for não, não é esse o processo que você devia ter feito.

80:46>> Mas é isso assim. Não, pô, só sobe se o diretor prova. O diretor era aquela gemude fala: "Meu amigo, eu não se não leio grego a prova".

80:55>> Mas esse é o ponto. E sabe o que é pior?

80:56O cara vai te perguntar assim: "Me explica o que você fez." Cara, se eu te explicar o que eu fiz, não tá vendo. Concorda, querido?

81:04>> Exatamente.

81:05>> Eu fiz, eu fiz uma coisa maravilhosa.

81:07Isso aqui é espetacular, ó. Eu me daria um aumento se eu visse eu fazer.

81:12>> Exato. Eu não sei por você não aprovou ainda.

81:15>> É, óbvio. Você tá me dependo. É lógico.

81:18>> Prova. E é por isso que eu sempre digo que processos mal estipulados que não têm contexto e que não tem valor de avaliação, é só uma maneira de colocar porcaria no ar mais lenta.

81:35>> Então assim, ó, por que que eu falei tanto daquelas políticas daquele jeito?

81:38Eu aprendi com um cara de governança que o melhor desenho de processo ele tem a ver com mapear bem aquelas, sabe, os losanguins, decisões e os insumos para boas decisões e menos as atividades.

81:50Ninguém tá preocupando, ninguém tá preocupado com as atividades. E se eu desenhar o seu processo meio que travando as suas atividades, eu te matei na sua criatividade. O senior não consegue ser mais sênior e o júnior talvez nem fique, o processo não é suficiente para tutelar o júnior e não é leve o suficiente pro senior poder exibir a sua senioridade, porque ele tá travado naquelas atividades. Então que ele falou assim, ó, joga fora desenho de processo com a atividade. O que eu quero entender é quem e quais decisões são importantes e como que elas são tomadas.

82:19O resto é secundário. E eu percebi que isso é super legítimo pra segurança.

82:23Funciona que nem uma luva, acho que vale para tudo. Na verdade, que é assim, tem três decisões importantes que é o que pode pra produção, tá beleza. Como que eu tomo essas? Qual é o melhor insumo? O que que vale de verdade? A atividade em si de registrar isso é secundário, porque se eu tomei uma decisão muito boa, com insumo maravilhoso, o que sai disso é bom e é leve.

82:44>> E se for registro só R, que assim, a gente entende que algumas empresas são auditadas. Perfeito.

82:49>> E que precisam ter registro. Ah, tal artefato com tal resto.

82:52>> E as auditadas são invadidas do mesmo jeito, tá?

82:54>> Sim. Mas isso eu posso automatizar. Eu não preciso registrar que tal has rest foi aprovado por um diretor que não tem o menor contexto e que só sobe se o cara apertar um botão. Não, cara, esse cara não tem que tomar essa decisão. Ele não tem condição de tomar essa decisão.

83:10>> Ah, então agora eu gostei. Então assim, ó, a primeira coisa que ele fazia nesses processos era quem toma a decisão é a pessoa certa. Porque se não for, a gente já começa a discutir que fal esse processo não tá, não serve, nós não vamos continuar.

83:23>> Mas para isso temos que quebrar um paradigma de que o cargo mais alto é o mais certo para decidir as coisas.

83:29>> Mentira, >> porque isso isso é uma falácia.

83:31>> Falácia. Mentira. Não é. Ex o cara que vai tomar essa decisão, ele precisa ter que insumos e que precisa ter que capacidade, porque inclusive, ó, o problema, o cara que vai decidir isso, a gente vai, a gente já definiu aqui que é um diretor e que o RH vai contratar sem skill técnico por uma função que vai ter que pegar um monte de insumo técnico.

83:50Quem que errou?

83:52O próprio planejamento. Então, um dos capítulos eu falo de governança de acessos, que é o quê? E olha que louco que ninguém faz também.

83:59Nenhuma área brota do chão. Alguém teve que sentar, fazer um planejamento, teve que mostrar como que aquilo agrega na cadeia de valor. Então, na verdade, eu não devia discutir acessos das pessoas depois que elas existem. Eu deveria já discutir assim, na cadeia de valor da empresa, a área do faz o quê? Onde que ela compõe? Porque os acessos que eu vou dar para ele são para fazer a função que faz sentido aqui. E o RH deveria olhar junto e falar assim: "Olha, entendi o que esse cara faz. Eu sei que skill que eu preciso procurar no mercado.

84:28>> Eu não posso achar um skill incompatível porque senão eu vou dar um acesso para um leigo >> que vai tomar péssimas decisões com a sem acesso e nós vamos ter um problema do mesmo jeito.

84:37>> Sim.

84:37>> Então não é o controle de acesso que vai resolver a leuice.

84:41>> Então já tem essa parte aqui do do que a gente fala de cadeia de valor que tá amarrada ali com a função da empresa.

84:47>> Ah, legal. O gestor aqui tem que definir, tem que estar confortável com as responsabilidades nesse processo, que assim, eu aceito tomar essas decisões, faz sentido a minha área tomar essas decisões, é ela que toma >> isso.

85:00>> E o cara que é responsável pela área no seu nível, eu estou confortável com que esses caras tomem essas decisões?

85:07>> Opa! Porque, ó, em teoria, as decisões que você toma não são para você, elas vão desaguar em outra área. Então, provavelmente vem insumos de outra também, porque, a menos que você seja o cara muito da ponta aqui da aquisição do cliente ou lá da entrega, >> Uhum.

85:19>> Você tá no meio do caminho que você recebe, você entrega para alguém.

85:22>> Sim. E você, como maior arquê superior, você tá delegando aquelas decisões pro cara que tá tomando a decisão para você.

85:27Tudo isso que você mapeou tá mapeando todo mundo que participa de alguma decisão que teria que para ter decisão tem que ter algum acesso, alguma tipo de informação. Isso tudo tinha que ser mapeado antes >> Uhum.

85:39>> de eu implantar o controle de acesso.

85:40Porque quando eu implantasse e olhasse para esse mapa que fala assim, ó, responsabilidades e áreas todas definidas, áreas aprovadas junto com o RH e junto com a cadeia aqui de valor da empresa, junto com o conselho. Todo mundo sabe como é que a empresa gera valor. Legal. Agora desmembrar isso para processos em sistemas, aonde eu vou vir aqui e vou mapear aqui, olha, esse sistema entrega essa responsabilidade mapear, porque às vezes eu falo assim, ó, workflow e aprovação de pagamento.

86:06Pode ser feito no SAP, mas tem um outro workflowzinho que a gente comprou, cara.

86:09Podia ter em TI, pode ter cinco ferramentas.

86:12>> Qual que a gente vai usar? Como que é o que entrega melhor essa responsabilidade para essa área? Porque ainda tem a ver com com o dado, né? Não é só o mapear o clique.

86:20>> Quem que enxerga o dado?

86:21>> É o que ele o que ele visualiza, né?

86:23decisão. Como é que você toma a decisão?

86:25Baseada em quê? Essa informação tá onde?

86:27Eu não preciso também, sabe? Tipo, SAP só tem um jeito, né? O jeito dele. Eu não preciso travar tudo para entrar no SAP de um jeito que alguém clique, >> fala: "Cara, pior decisão que você pode ter tomado é essa de arquitetura." Mas vamos sa agora. Vamos lá. Só que então você mapeou tudo isso, o controle de acesso sai no mijo. Aí dessa discussão inteira que eu fiz contigo, qual que é o drama que eu vejo nas empresas que aparece lá no livro do capítulo de acessos?

86:53Na hora que alguém vai conceder o acesso, o fulano já passou pelo RH, já foi contratado, ele sabe ou não sabe o que ele precisava saber para fazer a função, ele veio porque, né, passou em outros. Aí depois alguém vira pro cara de acesso e fala assim: "Se vira, dá os acessos pro cara agora." >> Agora, cara, >> uma certeza eu tenho. Você já matou a minha decisão. Eu não tenho mais como fazer isso aqui direito. Eu já tenho certeza. Vai dar errado.

87:18>> Pois é. Pois é.

87:19>> Por quê? Porque não foi respeitado esse timing de como as coisas acontecem na cadeia de decisões todas de acesso, porque na última milha eu deveria falar assim: "Olha ó que louco, lá atrás eu tinha lá no mundo de 1980, né? Eu já eu tinha lá um CPD com três processamentos em cartão e tinha 300 pessoas usando. Eu locava as pessoas nos perfis, né? Porque eu tinha 300 para três, era fácil. Hoje, quantas APIs você acessa? [ __ ] >> pô, tem 1 bilhão de APIs. Então assim, hoje em dia eu deveria alocar APIs, funcionalidades em perfis, na >> tem que estar atrelados a cadeia de valor da onde o cara vai atuar >> que tava aqui. Por quê? Porque de novo, ó, na quando você pensar na empresa e no perfilamento dela, talvez você tenha 8.000 funcionários. Você não pode locar em pessoas direto também, porque você vai ficar morrer louco, cara. Não consigo conhecer 8.000. Mas numa entrega de valor, às vezes vai ter o cara de um de atendimento, um de vendas, um de tá beleza. Se eu estratificar em perfilamentos, eu vou ter 20, 30. É algo, é um número razoável, palatável para discutir a empresa. E se toda a PI for construída e ela sabe, eu sirvo o atendimento. Bateu um outro cara aqui, velho, é de Adenai no bom dia. Eu não sei quem é você. E >> Senhor, chegamos esse momento. Chegamos um momento. Amém. Aleluia. que um cara, isso, um cara de segurança entendeu a importância do trabalho que a arquitetura corporativa faz o mapeamento de cadeias de valor da companhia. Meu irmão, mas eu sempre soube porque assim, ó, se isso não for feito, na verdade, >> cara, isso é um BO que você tá, você fez o o o paralelo perfeito do BO de controle de acesso que usa em sumo de mapeamento de cadeia de valor de de arquitetura corporativa, que é um de 1 milhão que a gente resolve na empresa.

89:08>> Eu tô ligado. Mas lá que, cara, ó, o acho que um dos pontos que você colocou aqui que é importante é essa correspondência de entender como a empresa funciona, >> quase >> e como os processos são derivados de como a empresa funciona. E aí eu falo sobre arquitetura corporativa, porque eu já falei isso aqui no podcast, são, a gente vai fazer 4 anos de podcast, acho que eu devo ter falado umas 452 vezes.

89:37Eu vi que você gosta >> que a arquitetura corporativa não é uma área de arquitetura de solução que entende que atende a corporação, mas arquitetura corporativa é aquela que entende a corporação, que entende como o negócio funciona.

89:51>> Então não é uma arquitetura estritamente técnica. Tem um viés técnico, mas ela entende quais são os processos, quais são as áreas. Eh, é muito mais sobre modelagem de negócio e de processo do que sobre tecnologia. Perfeito.

90:06>> E é o ponto que você colocou. Se eu tivesse uma contratação de um cara onde eu já sei onde ele vai atuar, eu já tenho a cadeia de valor, uma piada do que que ele vai fazer. Cara, isso me ajuda a saber quais são acessos desse cara, qual perfil de rede que esse cara vai ter, >> cara. O onboarding desse cara é muito mais suave, é muito mais e e a análise de risco em cima disso é muito mais simplificada. Concorda? E pro candidato também é muito mais justo, porque assim, eu sei exatamente o que me espera lá.

90:33Eles conseguiram me descrever, ó, o que eu tenho que tomar de decisões, como é que funciona, como é que eles me a avaliação fica muito mais clara, facilita o trabalho do RH. É que a galera foge um pouco de fazer esse trabalho, de fazer essas pontes, porque inclusive, ó, deveria funcionar assim: "Ah, o tava aqui com uma área de arquitetura corporativa, mas a gente quer dar mais isso aqui para ele." Opa, calma.

90:54Que responsabilidades que estão vindo juntos. Entendi. Tá, isso tá mapeado em sistemas como porque eu tenho que eu tenho que inclusive consentir com as duas coisas. Eu posso entender que em termos de responsabilidade, decisões tomadas, tá certinho, mas o mapeamento que o meu antecessor fez de de acesso aqui, tá muito permissivo, tá esquisito.

91:15Não tenho confiança nesse time para operar desse jeito. Vamos dar uma ajustadinha nesse negócio. E e eu preciso fazer isso porque se eu não tive essa chance, qualquer merda que der falar: "Opa, TI deu acesso, acesso deu acesso, sei lá". O problema de alguém não é nunca meu, nunca de ninguém. Não é do RH, não é de ning Eita, isso é horrível. Aí começa o samba lelê ali, dá, tá ruim.

91:37>> Então o mundo ideal tem que ter essas três camadinhas. Então assim, a pontezinha aqui das responsabilidades, eu tenho que mapear e tem que estar amarrado na cadeia. Eu tenho que ter uma tradução funcional aqui para isso. E no final do dia aqui, eu tenho que ter como que isso tangibiliza dentro de sistema.

91:52Então tá bom. Como é que isso foi mapeado em sistema? Se eu fechar as três cadeias, que é o que eu descrevo no livro, o controle de acesso sai no mijo.

92:01Aonde que saem as brigas? Que no momento que o cara acabou de chegar, precisa de acesso, ninguém sabe descrever direito o que que ele precisa. Ele não sabe o que ele precisa. Como é que eu vou exigir dele saber o que ele precisa pedir?

92:12Nossa. E aí ele fica seis meses na empresa se batendo.

92:15>> O cara acabou de chegar para tentar trabalhar.

92:17>> O cara acabou de chegar. Fala, me fala quais os acessos que você precisa. Não, não. Você quer ver que você quer ver que horroroso? Que que vocês quer alguém me explica onde é o banheiro e o café primeiro?

92:25>> Horroroso é quando o chefe dele fala: "Copia o acesso tal". Fala: "Cara, >> [ __ ] que pariu." >> Então ele é um clone. Não, não tô entendendo. E que que o acesso tal faz?

92:35Nem ele sabe. Fala: "Cara, você sabe o que você tá me pedindo? Você nem sabe o que você tá me pedindo. Copia o acesso, tal, irmão. Que acesso? Calma, calma.

92:43Então assim, essa estrutura antiga, ela não funciona no mundo novo. A gente tá sofrendo essas >> essas contrações aí desse nascimento desse mundo novo.

92:54>> Ele vai ter que acontecer porque agora teve uma explosão, explosão de número de funcionalidades, de funções, de pódios.

93:00Quanto mais abstrato for ficando, mais importante vai ter essa essa essa a governança mais fiel, >> porque senão amanhã vai ter um incidente, fal assim: "Cara, a gente não sabe nem por onde começar a olhar". Que é o que tem acontecido. Acontece um incidente, velho, é um barata voa porque o cara não sabe nem por onde começar. E quem que tá feio na foto hoje? Só o cara de segurança >> que >> que terceiriza no minuto seguinte, que é assim, >> é o cara que sofre nas duas pontas, né?

93:27Eu não autorizei liberar isso desse jeito. Aí >> é o cara que é o cara que apanha porque ele não deu acesso, que o cara não consegue trabalhar.

93:35>> E é o cara que apanha depois quando acontece um problema porque ele deu um acesso que não deveria ter dado.

93:40>> Perfeito. Só que aí começa um samba alemão a briga gaiada e não resolve a vida de ninguém. Por isso que eu bato nessa tecla de estruturar assim. Olha, e eu usei o capítulo de acessos para mostrar o quanto essa cadeia e esse modelo funcionam, mas funciona para um monte de outras coisas. otimização de processo, porque você tá amarrado na cadeia e você vê assim, cara, vamos lá. Eu peguei isso num incidente.

94:02Ah, o governo decidiu que agora em vez dos PJs receberem e terem que fazer o informe deles uma vez por ano, todo mês vai ter que fazer o informezinho deles aqui, porque o governo decidiu que ele quer olhar a taxação e, né, quer olhar tudo todo mês.

94:17Aí alguém vira e fala: "Não, tranquilo".

94:18pego o atendimento e libero o atendimento para todo mundo do atendimento poder pedir esse troço pro cliente. Ah, legal, entendi. Aí olha a cadeia de valor. Mas quem que implementa isso? Aí a gente descobre que tem lá o cristossomo e um estagiário que geraam isso. Uma vez por ano, funcionava todo mês. Então quer dizer que eu vou ter 300 caras de atendimento pedindo para dois fulanos, um é estagiário e vocês acham que vai dar tudo certo? Não, calma, calma, calma. O problema não é de acesso, gente. Vamos olhar para essa cadeia de valor, ela não faz sentido, né?

94:49>> Uhum.

94:49>> Porque se eu se eu tô dizendo que antes ninguém do atendimento pedia e agora 300 vão pedir para dois fulano, um nem tá aqui 8 horas por dia, que ele é estagiário ainda. Vocês acham que vai dar certo? Porque o cliente não quer receber só o informe dele, ele quer, né?

95:04Ele não quer receber um informe, ele quer receber o dele.

95:08>> Já imaginou se esse cara mandar o errado pro lugar? falou: "Calma, vamos pensar melhor na solução, porque esse problema não é de acesso." Então, às vezes a gente confunde e parece que é assim, libera aí a console, calma, calma, calma, >> calma, é um problema de solução, >> vamos desenhar a cadeia de valor, porque aí eu governo e em cima da cadeia de valor da governança, eu consigo estabelecer a política, aqueles outros itens todos. Hora que eu amarrar tudo isso, fazer desenvolvimento seguro sai sozinho.

95:38>> Mas cara, a se eu alejei tudo isso, é isso que eu mostro. F assim, cara, se você se alejou tudo isso e falou, mas eu pus a pipeline, fal, >> eu vou, cara, claramente a gente não discutiu 10% aqui do conteúdo do livro.

95:55>> Mas que bom, sinal de que tinha muito conteúdo, você vai poder ler depois com calma.

95:59>> Ex. Não, e a gente você vai ter que voltar aqui porque vamos >> embora. É, tem um episódio surpresa que a gente vai contar com o Lac aqui, que vai est em breve aqui, mas >> a gente vai voltar a falar desse assunto porque, cara, e agora você mexeu aqui na na na carótida que é essa questão de mapeamento de processo e de cadeia de valor, porque quando e é muito bonito quando a gente fala, eu quero ter uma discussão franca contigo pra gente gravar, >> combinado >> porque, cara, é é lindo. Quando a gente fala, pô, tenho minhas cadeias de valor aqui, eu sei o cara que faz esse processo, eu sei o cara que tem esse processo, eu sei o cara que tem esse processo, pô, esse cara, eu tenho uma aplicação que atende essa cadeia de valor, essa cade, essa aplicação tem esse banco de dados, ela tem essas APIs, tal. Esse é o mundo de Alice corporativo.

96:52>> Perfeito.

96:52>> A prática é essa cadeia de valor tem uma sobreposição com essa daqui que as duas fazem a mesma coisa e eu tenho um conflito de duas áreas por tomada de decisão, porque eu tenho uma sobreposição aqui, eu tenho uma aplicação que as duas fazem a mesma coisa, principalmente em empresas que elas não foram construídas baseadas em alicerces de arquitetura e de segurança. sólidos, >> com certeza, >> e foram crescendo organicamente, você tem muita sobreposição. E aí, como é que a gente resolve isso? Não fala, você vai tá combinado. E você quer ver que é pior? Ó, eu vou adicionar um solzinho aí. É pior que isso. Você vai ter sobreposição, você vai ter sistemas e na hora que você olhar a cadeia de verdade, falar assim, como é que você mapeou? Não tem alguns mapeamentos de ponte. Que que a área faz? É o civirox no nível hard brasileiro, pulsando no coração mesmo.

97:47Extrai desse sistema. bota numa planilha, batuca, batuca, batuca e sobe no outro >> e sobe no outro.

97:52>> Quando secatar áreas operacionais, que tem um monte de gente lá, piloto de Excel, pode ter certeza que a cadeia de valor tá quebrada e tem duas ou três áreas, fala assim, ó, o dado não chega para mim do jeito que eu consigo, eu tenho que tratar, tratar, tratar. Agora eu tomo alguma decisão e agora eu passo pra frente.

98:06>> E aqui a gente nem colocou o salzinho principal, que é o Shadow YT, que tá cada área que tem autonomia tá lá.

98:11>> Pronto. E eu e eu considero, ó, de verdade, a Shadow é um nome bonito pro novo, tá? Eu considero esses Excel do passado tudo shadow IT porque concorda que é um sistema e que tem lógica de negócio. Exato.

98:22>> Porque aí não atendeu.

98:23>> Pronto.

98:23>> É isso.

98:24>> Pronto. Já existia de 1980 já tinha Shadow Hit.

98:28>> É isso aí. Episódio sobre Shadow Hit e segurança. Tá convocado já.

98:32>> Combinado. Combinado, querido.

98:33>> Beleza. Agora, primeiro, me dá mais essa cerveja boa.

98:38>> Taca pau.

98:39>> Essa é a Dark, né? É Dark Strong Aile. É uma é uma >> Belgian Dark Stronge.

98:46>> É, é uma belinha. Então você vai ver ela bem lupular. Ela tem um lúpulo, mas ela tem muito aroma. O copo ficou quente, querido. Agora conforme fori esquentando vai ficar triste.

98:57>> Eu não vou fazer aquela piada respeitosa com você, porque a tua cerveja é muito boa e eu servi errado porque eu não inclinei o copo.

99:05Mas sempre quando meu copo enche assim, eu falo que se eu gostasse de espuma eu bebia shampoo.

99:10>> Mas ó, >> fique em paz. Fique em paz.

99:14>> Mas você não merece essa piada, >> não? Fique em paz, porque assim, o ideal inclusive é você deixar o pr para que que serve, né, isso aqui na verdade, né, que lembra eu fiz aquela formação lá, quando você tem o oxigênio entrando em contato, a minha é artesanal e tem levedura, ela vai capturar o oxigênio, mas o oxigênio oxida.

99:34>> Então, quando você forma a espuma, ela é uma bolção de CO2 que não deixa o oxigênio entrar. Então ele tá protegendo oxidação. A cerveja que você vai tomar aqui no finalzinho é igual aqui do começo.

99:44>> Se a cerveja tá limpinha, não tem nada, ela tem que ter algum colarinho.

99:47>> Ela vai oxidar nas na ponta e você vai ter um sabor diferente do que tá embaixo.

99:51>> Desgraça do oxigênio é que ele entra na molécula oxida e vai pra próxima. Então assim, um oxigênio já faz um estrago. Se tem 10 minutos de oxigênio, ele já arrebentou tua cerveja se não tem colarinho. Então ter um colarinho não precisa ter tanto, lógico.

100:05>> Mas ter um colarinho é bom. E outra, o gás carbônico vai se desprender assim que ele aquecer.

100:12Se tiver bastante, porque tá bem carbonatada, se tiver bastante carbonatada, é melhor que aconteça um pouco no copo, porque senão vai dar aquela empapuçada no seu estômago. Sabe quando ela >> aquilo é carbonatação voltando, ela dá aquele estufamento, você fica cheio, não é tão legal também. Então o copo mesmo fazendo essa artezinha, ele tem seu motivo e tá a tua cerveja vai est intacta, você vai ver sem, ó, primeiro que você vai sentir muito mais aroma.

100:37>> Sim, >> ainda você sente bastante mesmo, ela já tando com seis meses.

100:42E o gosto tá divino, >> maravilhosa.

100:45E pergunta, >> nessa você sente o chocolate, já reparou?

100:48>> Sim. Pergunta curiosa pros meus amigos do PPT antes da gente voltar pro livro. Perdão. É, >> por que que o a gente tem a percepção de que a carbonatação do chope é mais fina do que a cerveja posteriorizada?

101:06Parece que as bolinhas são menores assim, >> ó.

101:10>> E o e a cerveja parece mais com refrigerante.

101:13>> Então, depende do processo. Você tem um processo que a galera coloca não é carbonatação. Isso aqui é CO2 normal, né? Isso. Inclusive isso aqui é é biológico, né?

101:22>> Sim. Porque isso aqui vem da própria >> a levedura quebrou o açúcar e liberou CO2.

101:27>> Isso.

101:28>> Você já viu aquele Brama Black?

101:29>> Uhum.

101:30>> Aquele é nitrogênio. Então é outro gás.

101:32>> Ah, >> ele é muito mais fino, tanto que dá aquela cremosidade. Então você pode usar outros gases inertes também.

101:38>> Nitrogênio é 70% do área nitrogênio. Não faz diferença nenhuma pra gente. Pode tacar ele aí que dá tudo certo.

101:44>> Uhum.

101:44>> E ele carbonata também, dá pressão e ele vai desprender também. Então você pode usar estratégias de composição.

101:51>> Hum. Hum.

101:51>> Então você pode sim, mas não é uma regra na indústria em geral.

101:56>> Mas mas a pasteuização ela não interfere na carbonatação.

102:01>> Você quer ver que coisa louca? Ó jogando super limpo contigo. A shopen é uma medida alemã que quando a galera tava nas primeiras cervejarias aqui no Brasil escutava os alemãozinha pedindo um a shopping. Eu quero um chope também.

102:16É só uma medida. Não existe diferença prática nenhuma de cerveja para chupe.

102:22>> Ah, é tua pasteuização, né?

102:24>> Não, a cerveja também é posterizada. A garrafa inclusive >> não, mas o chope, o chope, chope em essência ele não é posteriorizado.

102:30>> Ou se é >> ele é não, mas aí não é chope, >> é pasteurizado.

102:34>> Aí é cerveja com com pressão, né, velho?

102:37>> Eles pasteorizam também. Porque assim, ó, quando você vai colocar isso, >> porque o chope shop ele tem que ser transmitido gelado e consumido rápido, né?

102:46Ele consome rápido, mas assim, ó, qualquer coisa, porque o que você faz controle na indústria alimentícia é controle microbiológico, não é esterilização, não existe isso. Você nunca vai ter nada em indústria alimentística que fala assim: "Isso aqui tá estéreo".

103:00>> Não existe estéreo porque senão você matou tudo também, até os nutrientes.

103:03>> Então você tem controle microbiológico.

103:05Você pega as bactérias ruins e dá uma isolada nelas, vão ter pequenas colônias.

103:10Então você faz uma bela de uma sanitização nos barris, você pasteuliza também, a garrafa também. Por isso que muita garrafa quebra, >> porque ela esquenta e esfria, né?

103:19>> A partir de 60º você tem 61 é uma unidade de pasteuização, 62 é duas e você tem uma quantidade, aí você tem uma quantidade de calor e tempo.

103:28>> Uhum.

103:29>> Dá a quantidade de unidades de pasteolização. E a diferença entre o esquenta e esfria também.

103:33>> Uhum.

103:34Normalmente você passa aquilo num num trilho, ele vai passando e no shop também você dá um choque térmico nele, dá uma trancada nas bactérias e isso vai só a diferença é que vai para um barril e aí naquele barril >> aqui na garrafa, a aquela lá é transparente, tá vendo? Ali dá light stroke.

103:55>> A luz passa, todas as frequências entram na cerveja, você envelhece cerveja.

104:00>> Ah, tá. Alguém descobriu que a garrafa Amber, ela filtra exatamente o espectro de luz que desnatura a proteína da cerveja e dá o envelhecimento na cerveja. Então essas garrafas, as as marronzinhas, só as marronzinhas, evitam isso.

104:14>> O barril é inerte, né? Não acontece nada, >> cara. Mas o sabor é muito diferente de chope para >> É muito diferente por se você tiver boas condições de armazenamento. Porque por outro lado, latinha também e barril tem é alumínio. Concorda?

104:28>> Aham. Tudo que esquenta, esfria, esquenta, esfria muito rápido, envelhece. Sim.

104:32>> Então, o calor também envelhece. Então, se você pegar um barril que o cara deixou do lado do fogão, >> o chup vai ficar uma droga em uma semana.

104:39>> Que eu sempre comparei com o suco de laranja pasteurizado, que é uma, >> mas o processo também dele é bagunçado.

104:47Depois te explico, >> tá? Enfim, tem >> tem umas coisas. Temos que fazer um episódio sobre cerveja no PPT no compilo. Desculp, desculpem meus amigos que mas que a cerveja do cara é muito boa. Lisb em breve aí em Campos do Jordão.

105:01>> Campos do Jordão.

105:02>> Eh, cara, a gente deu uma mergulhada muito grande nessa questão de políticas porque eu acho que é muito importante.

105:08>> Sim. Eu acho que é um destaque essencial aqui no livro, porque eh, cara, eu com anos de área executiva de TI, aprendi um monte aqui contigo. Então, acho que quem tá ouvindo a gente aqui, cara, lê esse livro.

105:24>> Fico muito feliz, querido.

105:26>> E o que mais a gente encontra no teu livro?

105:28>> E eu tento fazer o de fio a pavio. O que que acabou acontecendo? A gente já tava chegando em 500 páginas, eu e o André, né? O Gaio, ele ele também trabalha comigo. Ele é professor lá na F. Uhum.

105:39>> E a gente queria fazer um defio a pavio, sabe? Que chegasse assim até no dev e explicasse para ele a esteira, que ele fizesse exercício e tal. Deu um pouco mais de 1000. Aí falou: "Nossa, >> [ __ ] >> ficou indigesto". Que que a gente fez?

105:54>> Se tivesse mais de 1000, vocês iam ter que trocar a capa.

105:56>> Não dá para imprimir, >> não. Ia ter que trocar a capa, botar um bicho.

106:00>> É, não, não dá para Riley, né?

106:03>> Tem que botar um bicho de E ia ter que ser um livro da A editora não aceita.

106:08era 700. Aí eu falei: "Putz, então o que nós vamos fazer?" Tá, então ele virou o principal lá do livro dois, que ficou muito mais focado na implementação, por exemplo, das esteiras, dos exercícios lá. Você pode baixar, via QR code, você baixa os exercícios, você faz o exercício e tal, com esteira, com tudo que, >> né, que a gente discute aqui. Só que eu falei, então deixa eu fazer a contraparte que é assim, tem muita gente falando de esteira, deve ser cops, de ferramenta, isso tem um monte. Falei, Andrezinho, deixa eu falar desse outro lado, que é essa parte mais política, mais organizacional, que fica mal resolvida e a empresa implanta, se amargura com o resultado e tira.

106:45>> Aí quantas esteiras você já viu, El? O cara vai lá e fala assim: "Desliga um pouquinho o SAS, tira não sei o quê".

106:50Cara, se você tá escolhendo tira e põe já não é esteira. Tá errado.

106:56>> É, sabe? Imagina, você tá fazendo, >> você tem um processo que você tira pedaços dele de vez em quando, cara.

107:02>> Não, na Coca-Cola. Ô te desliga lá o negócio da da do sabor lá que eu preciso eu preciso mandar esse lote pra produção.

107:08>> É, não põe o pretinho não, põe só água e vai fal engarrafalba então, né? Bom, enfim. Então, qual que era o ponto? Aí chegou um um um pedaço que eu fui, como eu capitanei muito essa parte de modelagem de ameaças, até o método que eu descrevo aqui é o método que eu criei, que eu fui juntando pedacinhos e fui formando um que falei assim, ó, isso aqui é prático, isso aqui eu aplico. Eu apliquei isso desde 2008 num monte de empresa, mas ele é um negócio não é muito de mercado. Ele pega pedaços de coisas de mercado, mas ele tem uma boa parte do piniquin mesmo que a gente montou aqui para falar assim, ó, vamos pro prático.

107:43>> Porque todo modelo de ameaça ele é teórico e ele cai sempre no plano da explosão de caso, né? Quando você vai assim, primeiro nível, tem um, um vai para dois, dois vai para quatro, quatro fala, se eu descer seis níveis, fica impraticável entender o que do >> Uhum.

107:55>> Calma, espera.

107:57Ele serve para para desenhar um problema e para mobilizar uma solução, tá? Então aí tem umas regrinhas de ouro que eu coloquei no meio do caminho ali para tentar falar assim, ó, no prático não, você não precisa desenhar tudo isso. Tem casos aqui que você vai só marcar isso aqui, é impossível, você para ali, não evolui, tá tudo certo e não vai dar problema nenhum. Mas no livro eu explico com um pouco mais de decência do que numa frase que nem eu fiz aqui.

108:19>> Então eu fui até essa parte da modelagem e eu uso muita modelagem para explicar a decisão executiva e falar assim: "Olha, se você levar diferente pro executivo pensando na modelagem, você tá levando risco. Você >> porque você não vira briga?

108:34>> Você conseguiu escrever um livro para uma média alta gestão tratar com TI?" >> Eu queria, eu queria de verdade. Sabe por quê? Porque senão fica só aquela briguinha ali da esteira.

108:47>> Sim.

108:48>> Que ela não desenrola. Por quê? Ninguém dali vai tomar aquela decisão. Não tá no nível certo.

108:53>> E cara, isso daqui o site da Lur ensina o cara a fazer pipe.

108:58>> É verdade.

108:59>> Tá ligado? Mas como lhe dá isso internamente?

109:03Trazer valor, levar pro conselho e tangibilizar negócio.

109:10Cara, tá aqui, ó. segurança, estratégia, >> estratégia de software, >> Rafael Lac e André Gaio.

109:17>> Perfeito, é meu coautor. E aí ele foi o capitão daquele segundo livro que focou muito mais na implementação de fato, porque a gente queria fazer mesmo de fio pavil, mas ficou querido, a gente enxugou tudo que deu.

109:28>> Mas então tem um outro volume, >> tem um segundo volume que aí é focado muito mais na implementação que aí o André é o capitão e eu que fiquei como coautor. Então a gente >> E quando é que a gente vai fazer um episódio sobre o volume dois? Assim que você quiser, querido. Assim, >> [ __ ] >> a gente fez um aqui que já quase não deu tempo.

109:47Já quase fé, >> [ __ ] Car, >> mas eu acho que vale. Vale, sem dúvida.

109:51Por quê?

109:52>> Porque tem alguns desse feixo daqui que às vezes você fala assim: "Olha, tá, vendemos pra outra direção agora, tá todo mundo topando, legal". Aí vem a pergunta: "E como é que a gente faz aí para não ter o?" "Ah, >> legal, vendemos o sonho, agora eles querem comprar o sonho, eu não tenho como entregar".

110:05>> E como é que eu faço agora, né?

110:07>> Aí tem todo o outro desenrolar que vai te tutelando.

110:10>> Sim, sim. E cara, esse aqui é um é um é um livro que, na minha opinião aqui, pessoal, eu tive acesso ao livro do Lac em primeira mão. Eu confesso que eu não li todo ainda, mas eu passei por todos os tópicos, falei: "Cara, não tem não tem nada que que fale sobre isso".

110:30E que para as pessoas hoje que são coordenadores, gerentes, de média gestão e que tem dificuldade para lidar com conselho, com se lev, etc. Cara, isso daqui ele vai ele vai te trazer uma visão de como lidar com negócio ITI, que não importa se você é da área de segurança, se você é da área de delivery, se você é área de de arquitetura, se você é de qualquer área de tecnologia, fazer esse paralelo com métricas e com exposições de negócio é saudável para todo mundo.

111:08>> A técnica é a mesma.

111:10falou tudo >> e >> porque essa técnica não era de segurança, eu roubei ela dos outros, na verdade, né? Eu aproveitei melhores práticas dos outros para trazer pro meu nicho. Mas, querido, é gestão.

111:21>> É gestão. E e eu acho que a média gestão ela é mal treinada, cara. Ela tem esse, a gente, a gente ainda tem no Brasil um problema de ou você pega um cara que não é de tecnologia e é um gestor e bota para gerir tecnologia e aí ele não sabe fazer isso porque ele não sabe o que tá acontecendo para traduzir, levar pra frente, ou você pega um excelente técnico >> que não consegue gerir, >> que não sabe o que um o que pensam ser level.

111:52E isso daqui, gente, é ouro.

111:55>> É, a ideia era fazer a ponte, porque era onde eu vi muita gente sofrendo. Eu mesmo sofri horrores, assim, eu não tô escrevendo do caso de sucesso, tem muita coisa aqui que é assim, são as tristezas, a analogia mesmo que eu fiz ali da da UTI, putz, foi minha realidade durante muito tempo, beleza, como tentar? Então tem muito aprendizado de muito tempo e a ideia era, eu até conversei um pouco disso com alguns colegas, falei: "Putz, eu nunca, pode até existir, né, mas eu nunca vi um livro focado nisso." Eu falei: "Cara, eu já bati muita cabeça, então vou fazer, tô com tempo, tô com vontade, vou fazer o livro para deixar aí pra frente >> eventualmente a galera não bater a cabeça no mesmo lugar que eu já bati." >> Só e sabe o que é [ __ ] e que é maravilhoso? ao mesmo tempo. Isso não ensina em faculdade, isso não ensina em pós em pós-graduação.

112:49>> Isso é experiência, né? Você passa por esses momentos, você passa por vivências de reuniões desse level, você passa por reuniões operacionais e a gente cria um meio de comunicação.

113:04>> Perfeito.

113:05>> E a gente entende como fazer isso. E você colocar isso no documentar, transformar isso no meio acadêmico para que as outras pessoas entendam.

113:17Cara, parabéns.

113:18>> Muito obrigado, querido.

113:20>> Isso é excelente. É. Eu conversei com Humberto esses dias, o Humberto Rostilá, um grande colega, ele falou assim, ó, putz, acho que uma das coisas mais nov, ele falou, né, uma das coisas mais nobres que a gente pode fazer é escrever um livro. Falei: "Ó, então já fiquei feliz porque eu escrevi um.

113:33>> Tenho duas, Gabriele e Maite".

113:35>> E você já plantou uma árvore?

113:37>> Eu tô em vias de porque eu tenho um terreninho ali de eu fazer a coisa que eu é porque assim, ó, isso aqui é hidromel, >> sim.

113:43>> Só que no meu hidromel eu não gosto de colocar química. Eu tenho medo, né?

113:47Porque assim, pequenos erros na parte química, você pode fazer um estrago.

113:50>> Entendi.

113:50>> Então, o que que eu faço? Não é só água e mel. O meu hidromel é mel. Então, ele vai água, mel, maçã, uva. Só que a hora que você adiciona esses açúcares de fruta, aquela levedura que ia ficar ali meio inerte, meio meio malemolente, não vai, >> ela come o açúcar da fruta, já fica frutose, >> né? ali as oriçadona e ela vai para cima do mel, que é um pouco mais complexo, e termina o processo porque ela tá em um volume absurdo. São alguns bilhões de células depois que ela tá no meio do caminho. E eu vou plantar algumas macieiras do meu terreno porque daqui pra frente eu não vou comprar a maçã, vou fazer o meu hidromel com a minha maçã. Eu não trouxe para ti, mas assim, então subproduto, eu separo a borra da maçã que sobe uma quantidade, é, são 12, são 16 kg de maçã para fazer 50 L de hidromel.

114:33>> [ __ ] é maçã pr [ __ ] >> porque você tem que pegar só o suco, né?

114:36Ah, >> e aquilo gera muita popa. Eu fiquei com morrendo de dó. Olhei aquilo, falei: "Cara, não posso jogar isso fora. Faz [ __ ] monta uma fábrica de geleia de maçã.

114:43>> Eu fiz eh vinagre de maçã, velho. Mas aquilo ficou bom porque ainda mais tem a uva, tem mais o mel. Cara, mas ficou bom.

114:53>> Minha mãe é fissurada no Ela intercepta quase tudo que eu produzo. O que sobra eu tava eu ia te ia trazer, ia botar numa garrafinha mística para você depois experimentar, cara.

115:03>> Tá intimado a trazer na próxima.

115:05Espetacular. E louco, o processo é açúcar é uma molécula que quebrada vira álcool, que transformado o álcool vira vinagre, né? O ácido acério. Isso.

115:16>> Então você precisa passar por todo o processo >> e não e ela tá no ar. Só que não é fácil você cultivar a [ __ ] O segredo foi depois de um ano brincando, as primeiras receitas não ficam tão legais. É você montar sua cultura de bactérias que faz, né, a mãe do vinagre que faz o e ir guardando uma espécie, sabe aquela isca que a vótinha da isca de coalhada? Aham.

115:35>> que aquela é a sagrada que ninguém mexe e fica fazendo sempre.

115:38>> Aham.

115:39>> Cara, fazer vinagre é a mesma coisa.

115:41Guarda sua isca >> e você vai fazer um vinagre maravilhoso.

115:45>> Isso. Isso é a teoria da evolução em uma um potinho, né, >> cara? Mas é verdade, velho.

115:51>> Porque você tá funciona >> você tá criando gerações daquelas gerações que funcionam >> e que as bactérias que não funcionam ficaram para trás. Agora você tem só as bactérias especialistas. A diferença da primeira pra terceira leva é gritante.

116:07Fala: "Nossa, esse último vinagre ficou espetacular".

116:09>> Sabe que esse é o mesmo >> e aí eu não joguei nada fora.

116:11>> Zero.

116:12>> Sabe que esse é o mesmo princípio do do porque a gente tem que tomar quando cuidado com o antibiótico, né?

116:18>> Perfeito. Porque você seleciona, >> você seleciona. Se você não fez o tratamento inteiro, >> não faça isso.

116:23>> E sobrou só um pouquinho de bactéria que não morreu com com antibiótico, meu amigo.

116:28>> Tu tá lascado. É melhor matar logo essas. Eu tô bem ligado nisso, >> porque as que sobrarem vão vi muito mais fortes, né?

116:38>> É, porque parte da pós-graduação teve a ver com essa avaliação microbiológica. A gente estudou. Nossa, meu amigo, se você viu os disquinhos de petre lá com as colônias, dava medo de ver as infecções.

116:47Ah, >> [ __ ] >> Dava medo.

116:49>> [ __ ] hein?

116:50>> Não, microbiologia é muito legal.

116:52>> É muito louco, né?

116:52>> É louco, velho.

116:53>> Que legal.

116:54>> É uns alienígenazinho que faz essa mágica acontecer. Isso aí. Maravilha.

116:59Saúde >> L. Obrigado novamente, cara. Quem tiver interessado aqui com o livro, onde ele pode encontrar?

117:07>> Casa do autor. Depois eu vou te mandar os links, por favor, divulga junto com o episódio.

117:11>> Tá aqui, ó. Tá aqui embaixo.

117:12>> Opa, boa.

117:13>> Aqui embaixo no no vídeo aqui e vai tá embaixo no link também.

117:19>> Perfeito.

117:19>> Casa do autor, >> que aí você tem a a opção do digital e no físico, né? Quando chegar o físico, você vai mandar pelo menos uma umas unidades aqui. Não tenho dúvida.

117:29>> Pra gente sortear pros nossos ouvintes do BPT no comila.

117:32>> Combinadíssimo. As três primeiras eu mando para ti, >> ó. Que coisa, o cheirinho de livro novo, cara. Obrigado novamente, cara.

117:40>> Papo contigo é sempre [ __ ] para [ __ ] cara. É muito bom.

117:44>> Obrigado demais, querido.

117:45>> Obrigado mesmo. Gente, tá aqui, ó.

117:47segurança e estratégia de software, modelagens de ameaça e tomadas de decisão executiva. Você que é gerente, você que é coordenador, você que aspira aí uma uma posição que tenha mais contato com o negócio, cara, eh, eu não li o livro ainda, mas pelo conhecimento desse cara e o papo que a gente teve aqui, você tem que ter tem que tomar cuidado, tomar contato com esse tipo de de conteúdo. Faz falta.

118:16>> Faz falta. E a gente passa por isso tem uma uma curva de aprendizado que isso aqui pode ser uma escada, né?

118:24>> Sem sombra de dúvida. É, era exatamente essa ideia. Uau!

118:28>> A escada é sensacional. Aprenda, aprenda com quem já se fodeu.

118:32>> Não, não, não. Você, você, você pode aprender na você sempre pode aprender na dor.

118:35>> Sim. É, mas aprender com quem já se fodeu é é muito melhor, né?

118:40>> Mas é legal, né?

118:41>> Muito mais legal. Cara, obrigado pelo pela cerveja maravilhosa.

118:46>> Imagina. da última vez. Eu lembro que eu falei, eu ia trazer, >> é, não trouxe tenho certeza. Quando o Luxbear voar e derrubar a Baden >> lá em Campos, ela vai virar patrocinadora oficial e só vamos tomar a cerveja laxir aqui no PPTo com pila.

119:05Tenho certeza.

119:06>> Gratadíssimo.

119:07>> Meus amigos, muito obrigado pela audiência de vocês. Procure o livro do do do Lac Lac. Obrigado, cara. Sempre >> obrigado demais, cara. Vocês vão encontrar esse cara num episódio muito [ __ ] aqui e muitos outros ainda que ele vai vir, mas tem um surpresa aqui que vão ter um um discussão excelente sobre uma coisa que aconteceu no Brasil e que a gente precisa discutir, né, mano?

119:32conta comigo. V chamar >> gente, muito obrigado pela pela audiência de vocês. Se você gostou desse episódio, se você acha que a gente traz um bom conteúdo e que pode contribuir com a sua carreira profissional, você pode ser membro do PPT no CPIL e você vai lá no lado do inscreva-se tem seja membro, você vai contribuir com um valorzinho para o PPT no CPIL aqui todo mês através do YouTube pra gente pagar uma cerveja um pouquinho não tão boa quanto a do Lac enquanto ele não fica famoso pra gente manter a produção.

120:07manter aqui a nossa o o a toda a nossa estrutura. E então, se você quiser ser membro do PPT no compil, você já ajuda bastante a gente aqui para manter um conteúdo de qualidade para você. Se você não pode, você já ajuda demais colocando.

120:26Agora pode pegar e mandar direto pro seis, né? Esse livro sem sombra de dúvida.

120:29>> Pega, pega esse episódio, manda pro time de segurança, manda pro time de É isso.

120:34Põe no Teams, põe no Teams geral. falou: "Galera, vamos refletir aqui, ó, sobre essas coisas. Esses assuntos são muito bons. Então, divulgue e faça a nossa comunidade crescer, que isso já ajuda demais o nosso trabalho e a gente tá aqui para poder contribuir com você e vocês vocês contribuírem com a gente.

120:53Obrigado pela audiência de vocês, Lac.

120:55Obrigado novamente.

120:56>> Obrigado, querido.

120:57>> Tô ficando bêbado com a sua cerveja maravilhosa.

121:01>> Eu também.

121:01>> Valeu, galera.

121:03Obrigado.

121:09[Música] [Música]