Segurança Legal

Guilherme Goulart e Vinícius Serafim
  • 4.0 (7)
  • TECH NEWS
  • UPDATED MONTHLY

O podcast da BrownPipe Consultoria

  1. JAN 6

    #410 – Retrospectiva 2025

    Neste episódio fazemos uma retrospectiva dos assuntos mais importantes tratados em 2025 no Segurança Legal. Você irá descobrirá os principais temas que dominaram o ano em inteligência artificial, segurança da informação e direito digital. O episódio traz uma análise sobre o aparecimento do Deepseek, explorando como a inteligência artificial transformou o cenário de segurança cibernética. Você irá descobrir os riscos de atrofia cognitiva causados pelo uso excessivo de IA, a importância da proteção de dados pessoais com a LGPD, e como os backdoors em modelos de linguagem ameaçaram a supply chain. O podcast também aborda questões de vigilância digital, as novas regras do Banco Central após fraudes bancárias, a inconstitucionalidade do artigo 19 do Marco Civil, a aprovação do ECA Digital, vulnerabilidades no gov.br e a questão crítica do analfabetismo funcional digital. Esta retrospectiva cobre ainda aspectos geopolíticos da IA, regulação de inteligência artificial, conformidade com políticas de proteção de dados, e o papel das bigtechs em 2025.  Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Imagem do Episódio – Por trás do tempo – Guilherme Goulart 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao episódio especial de retrospectiva do Segurança Legal. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? >> Olá, Guilherme, tudo bem? Olá, aos nossos ouvintes. >> Bom ano novo para você e para os ouvintes também. >> Valeu, cara. (00:23) Muito obrigado para ti também, para os nossos ouvintes. Um maravilhoso 2026 cheio de surpresas que virão, né? Na verdade, ele já começou com algumas surpresas bem interessantes, né? >> É, já começou com várias surpresas interessantes e importantes, aí, né? Bom, eh, sempre lembrando, né, que para nós é fundamental a participação de todos com perguntas, críticas e sugestões de tema. (00:44) Então vocês já sabem, estamos à disposição pelo e-mail podcast@segurançalegal.com, YouTube, onde você pode ver esta transmissão, se é que já não está vendo no YouTube, Mastodon, Bluesky, Instagram e TikTok. Eventualmente alguns cortes dos episódios vão também para TikTok e para o próprio YouTube. O YouTube tem priorizado muitas vezes os vídeos shorts que ele chama, acho que é, né? Então você também encontrará alguns shorts lá no nosso YouTube. (01:12) Bom, a ideia, né, é que as retrospectivas geralmente são feitas no finalzinho do ano, né, de 2025, mas a gente, né, por questões de um mini descanso que fizemos no final do ano, vem agora a retrospectiva, porque não tem problema, né? Não há problemas. Então, a gente vai fazer uma revisita aos temas mais importantes, os grupos de temas na verdade mais importantes aqui de 2025, que foram os episódios 384 a 408, então foram 25 episódios aqui, né. (01:49) >> Muita inteligência artificial, mas também bastante segurança, né, e aspectos jurídicos, como a gente vai ver aí na nossa retrospectiva, sem se esquecer, Vinícius, que você também pode, se quiser, e a gente conclama que você faça, apoiar o Segurança Legal pela nossa campanha de financiamento coletivo lá no Apoia.se. (02:09) Apoia.se/segurançalegal do Segurança Legal, você estará ajudando a manter um projeto independente de produção de conteúdo de proteção. Então, já começamos direto, Vinícius, no tema que dominou o ano. Esse tema é muito impressionante, tem muitas características e uma das características desse tema é que ele funciona quase como um buraco negro. Ele vai atraindo a atenção das pessoas de uma forma quase que mágica, às vezes, né? Bom, vocês já sabem, a inteligência artificial. E uma coisa que eu vou destacar, o primeiro item aqui, já te passo a bola, é o momento Sputnik e o nascimento, ou não sei se é bem o nascimento ali, né, mas o aparecimento do Deepseek lá em janeiro de 2025. (03:02) E é interessante a gente notar o ano, né? Bem no início do ano. >> Bem no início. Um dos primeiros ali. Cara, parece que faz muito mais tempo, né? >> Sim. >> E não faz um ano. >> E não faz um ano. E quando a gente fala disso, e aliás, vai fazer um ano amanhã, pelo o episódio é o 385 de, ah, não, 6 de fevereiro, né? É, é, >> é o que chama a atenção aí. (03:26) Bom, primeiro que sim, essas aplicações acessíveis ao grande público, né, desde 2022 para cá tem sido inaugurado com ChatGPT. Realmente, cara, 22 parece que faz muito tempo em termos de soluções e de quanto melhorou a gente sabe no nosso dia a dia. É uma coisa realmente absurda. A gente usa desde o dia zero lá em 22, a gente tem utilizado e acompanhado e o Deepseek em si, por si só, né, o modelo em si, é interessante e tal. Eu não uso, tá? Eu fiz alguns testes naquela época, depois não acompanhei mais. Eu tenho uma certa preferência pelos modelos da Anthropic. (04:23) Mas o que chamou bastante atenção foi que o Deepseek conseguiu com uma fração do custo da OpenAI, que era na época 100 milhões de dólares que ela gastou para fazer o GPT4, estimado porque ela não abre esse valor exato, tá? Enquanto a OpenAI teria gasto aí mais de 100 milhões para treinar o GPT4, o pessoal do Deepseek, né, conseguiu fazer com 5,5 milhões de dólares, tá? (04:48) >> E ainda por cima, utilizando os chips da Nvidia que não estavam sob embargo, tá? Uhum. >> Porque os chips H100, os mais avançados, os H200 e tal, agora H200, ã, mas esses chips estavam embargados e continuam, né? Algumas coisas ainda não podem ser vendidas para a China. (05:09) O governo chinês, o pessoal na China já está revoltado. Isso é uma atualização, tá? Eles estão cada vez mais tentando treinar com alternativas, tipo Dansé, não vão ficar dependendo de uma empresa que pode ora vender, ora não vender. E então assim, tem coisas que já estão fora do embargo e não estão sendo compradas como se esperava, tá? E isso, naquela confusão toda do modelo precisar muito menos recurso para ser treinado. (05:39) Ah, num dia a Nvidia perdeu 600 bilhões de dólares de valor, porque assim, meu Deus do céu, então a gente não vai precisar de tanta coisa, né, o mercado enlouqueceu assim, não. Então, para isso, os caras fizeram com uma fração dos recursos. A Nvidia não vai vender tanto assim, então as ações da Nvidia despencaram e tal, mas depois ao longo do ano a Nvidia voltou a subir e tal, vai precisar de GPUs da Nvidia de qualquer jeito. (06:00) >> Então não vai ter >> não, não vai ter mais saída nesse sentido. >> Isso destaca esse aspecto econômico, né? Eh, e geopolítico também, né? O nome sugere Sputnik da coisa da corrida espacial, né, entre os Estados Unidos e na época União Soviética e tal. >> E a gente está vendo hoje, né, essa uma reconfiguração política e geopolítica. (06:24) E a IA está no cerne disso, né, com o governo Trump. E >> e eu acho que a gente começou bem o ano ali, porque isso meio que ditou muito da geopolítica global, né? Não somente isso. Agora a questão do petróleo, Venezuela e tal, mas a inteligência artificial. Quer dizer, até isso, né? Tecnologia de maneira geral, né? É a tecnologia de maneira geral, né? >> Mas o papel das terras raras para a produção de chips é interesse dos Estados Unidos também, né? Então, sim, sim, sim. (06:52) >> Essa corrida está bem, está ficando cada vez mais estranha, né? >> Bom, depois, Vinícius, a gente segue com outras análises aqui envolvendo inteligência artificial. A gente falou sobre IA e pensamento crítico, que é um baita tema também. E quando a gente começa a envolver educação, né, não somente educação, mas a forma como as pessoas vão passar a usar. Ninguém sabe direito ainda quais são os impactos da IA no psicológico das pessoas e também na forma como elas vão aprender, né? (07:11) Tem diversas formas aí de você se beneficiar delas, mas também a gente sabe que, sendo utilizada de uma forma errada ou sem saber exatamente como utilizar, ela pode trazer uma série de malefícios. E um desses malefícios é a redução do pensamento crítico. Num estudo que ficou bem famoso ali da Microsoft, “The Impact of Generative AI on Critical Thinking”. Vou ler só esse pedaço aqui porque o título é muito grande, né? (07:33) Eh, e basicamente a gente falou sobre isso lá no episódio 387. Ou seja, quanto mais tu usa, quanto mais tu confia, menos o teu pensamento crítico vai ser habilitado… (07:57) Eh, e isso é crucial no âmbito da educação. E também a gente aprofundou um pouco isso lá no 406, com estudos, né, um outro artigo, mas que >> falava sobre aquela ideia de atrofia cognitiva. Ou seja, quanto mais o sujeito vai usando, mais ele vai perdendo certas capacidades. E essas capacidades ficam naquela ideia de dívida cognitiva acumulada, né? Você para de usar IA e demora para retornar àquilo, né? (08:34) Mas sabe que a gente não sabe, né? É pouco tempo ainda para a gente estudar os impactos disso, né? Até da própria internet muitas vezes a gente não sabe direito os impactos na educação. Então agora, com a IA isso fica bem mexido também. É, esse segundo artigo no episódio 406 é aquele episódio que tem 206 páginas, tá? Foi utilizado eletroencefalograma e tal. Ele é bem mais completo do que o estudo da Microsoft que a gente falou no 387, mas ambos chamam atenção para esse perigo, né? (09:09) Esse perigo não é que toda tecnologia tem risco, né, Guilherme? >> Uhum. >> Toda tecnologia tem, a gente começa a se acostumar com ela ali, a gente vai mudando o nosso comportame

    1h 33m

  2. 12/16/2025

    #409 – Para além do endpoint

    Neste episódio conversamos como Willian Oliveira e Fernando Andreazi, da Kaspersky, sobre a evolução das ferramentas de segurança que vão além do endpoint, abordando a mudança no cenário de segurança e a necessidade de enfrentar ameaças cada vez mais sofisticadas. Você irá aprender sobre XDR, também conhecido como Extended Detection and Response e o MXDR, ou ou Managed Extended Detection and Response. Willian e Fernando trarão toda a sua experiência na área para lhe ajudar na escolha da melhor solução de segurança para o seu negócio. Este é um episódio patrocinado pela Kaspersky. Conheça o Kaspersky Next Optimum – Segurança em níveis projetada especialmente para solucionar vários desafios de negócios  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing

    1h 4m

  3. 11/18/2025

    #408 – O primeiro ataque realizado por IA?

    Neste episódio, comentamos o primeiro ciberataque realizado por inteligência artificial, uma operação que atingiu 30 empresas e foi atribuída a um grupo de hackers financiado pelo estado chinês. Você irá aprender como os criminosos utilizaram agentes de IA para automatizar as fases de um ataque, desde o reconhecimento de alvos e levantamento de vulnerabilidades até a exploração e o movimento lateral dentro das redes invadidas, com o uso de ferramentas open source e o modelo de linguagem da Anthropic, o Claude. Discutimos como essa abordagem, que utiliza o Model Context Protocol (MCP), permite que a IA controle ferramentas de varredura de portas, análise de código e exploração de vulnerabilidades, representando uma mudança significativa na forma como os ciberataques são conduzidos. Abordamos também a importância da segurança para as empresas que desenvolvem sistemas de IA, a criação de agentes e as implicações futuras dessa tecnologia, incluindo o surgimento do “vibe hacking” e a capacidade da IA de encontrar novas vulnerabilidades (zero days). Por fim, analisamos o relatório da Anthropic, que detalha a operação e as lições aprendidas, e como a automação de ataques pode levar a um aumento de ameaças, permitindo que pessoas com menos conhecimento técnico realizem ataques complexos.​ Convidamos você a assinar, seguir e avaliar nosso podcast para não perder nenhuma discussão sobre segurança da informação e direito da tecnologia. Continue se informando sobre as novas tendências e ameaças do mundo digital.​ Esta descrição foi realizada a partir do áudio do podcast com o uso de IA, com revisão humana.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Disrupting the first reported AI-orchestrated cyber espionage campaign AI: What Could Go Wrong? with Geoffrey Hinton | The Weekly Show with Jon Stewart Imagem do Episódio -Eisenwalzwek (Moderne Cyklopen) de Adolph Menzel 📝 Transcrição do Episódio (00:07) Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, o seu podcast de segurança da informação e direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Olá, Guilherme, tudo bem? E nossos ouvintes e aos internautas que sempre esqueço que nos acompanham no YouTube. (00:29) Claro, sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Então você já sabe, basta nos contatar se quiser no podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky, Instagram e agora o TikTok também. Você consegue fazer e assistir alguns cortes lá dos episódios que vão ser publicados lá também. E também a nossa campanha de financiamento coletivo lá no apoia.se/segurançalegal. (00:55) A gente sempre pede também que você considere apoiar esse projeto independente de produção de conhecimento. É bastante importante que você apoie para que esse projeto, para que o podcast Segurança Legal continue existindo, Vinícius. OK. Perfeito. Nenhuma vírgula. Goulart, eu vou começar com uma pergunta. Você já viu ali o título, enfim, já sabe do que nós vamos falar aqui. (01:26) Mas a pergunta é: será que nós estamos diante, será que nós testemunhamos, a humanidade acabou de testemunhar o primeiro ataque, o primeiro ciberataque realizado por inteligência artificial? Será que a IA da Anthropic um dia acordou e falou assim: “Eu vou fazer um ciberataque aqui atingindo algumas empresas e tal”? O que que o relatório da Anthropic, que é a dona do Claude, o que que esse relatório envolvendo essa avaliação de um ciberataque que houve, que teria havido a participação da IA, o que que ele nos colocou aqui? Guilherme, quando tu faz esse questionamento, ele é bastante relevante porque a gente já teve outros dois casos em que a coisa foi meio deturpada, foi colocada com, foi feito uns caça-cliques aí na internet. (02:05) A primeira delas foi aquela situação em que o Claude tentou chantagear um engenheiro que queria desligar ele. E para chantagear ele usou e-mails desse engenheiro aos quais ele teve acesso e que ele ali tinha um caso extraconjugal. Ele então ameaçou o engenheiro de que iria entregar se ele desligasse, se o engenheiro desligasse a IA. E na verdade, a coisa não, sim, aconteceu esse negócio de chantagear, isso de fato aconteceu, mas isso foi num cenário controlado. Os e-mails eram falsos. Eles criaram para simular uma situação. E de fato a IA tentou chantagear o engenheiro. (02:32) De fato isso aconteceu, mas no ambiente controlado. Não é uma coisa que saiu solta por aí, fazendo coisas desse gênero. E teve alguns outros parâmetros do teste também que modificaram um pouquinho a realidade, mas enfim, de fato aconteceu num ambiente bem controlado. Só para também destacar, eu acho que a gente ainda não entrou de vez na era dos agentes, de uma IA autônoma, no sentido de ela tomar decisões. Ela ainda é muito dependente do que a gente pede para ela fazer. E esses movimentos aí que a gente tem visto nos últimos tempos de que mexe no browser, que faz compras, eu acho que a gente tá ainda dando os primeiros passos rumo a uma autonomia maior da IA. Isso aconteceu aqui ou não? (03:44) Ah, tu diz nessa situação aqui? Aí só deixa eu citar daí um segundo caso que também fizeram um pouco de alarde fora do que havia sido colocado, que é o seguinte: que é botar uma máquina de vendas lá na Anthropic. E essa máquina de vendas, ela gerenciava que produtos ela iria vender, por qual preço e obtinha esses produtos também de fornecedores. E aí o pessoal fez logo uma matéria aqui no Brasil, inclusive, saiu a IA, que botaram a IA para gerenciar um mercadinho, uma coisa assim, e uma empresa e ela quebrou a empresa. (04:17) Na verdade, não é uma. São aquelas vending machines, sabe? Aquelas máquinas de venda que tu coloca dinheiro e compra. E de fato a máquina deu prejuízo ali. Mas não é uma coisa que agora alguém teve a ideia de botar IA para gerenciar o negócio e a IA quebrou o negócio. Aí fica aparecendo. E agora a gente tem nesse relatório, a gente tem uma outra situação mais avançada, bastante interessante. Mais avançada e com um uso principalmente de agentes. Eu acho que cabe a gente dar uma rápida explicação nessa questão de agentes, de ferramentas para conseguir entender. Quem é da TI e já tá usando IA, já tá estudando IA, já vai ter uma noção. Mas boa parte das pessoas… (05:25) E eu acho que antes disso também, Vinícius, o que que é o modelo em primeiro lugar? Até chegar no agente. Vamos lá. Então, o modelo é o que você poderia chamar de cérebro da IA. Esse modelo é o que tem que ser treinado e é o que as empresas levam meses para fazer e gastam um monte de dinheiro com eletricidade, GPUs, inclusive na aquisição de conteúdo para treinamento. Gastam um monte de dinheiro, fazem o treinamento desse cérebro, desse modelo. (05:58) Uma vez que tá feito o treinamento, a gente passa por uma fase de inferência, mas esquece o nome. O que importa é que a gente passa para uma situação que a gente consegue utilizar para uma nova etapa. E aí é que você entra quando você usa o ChatGPT, quando você utiliza um Claude AI ou Gemini, etc. São ferramentas que usam esses modelos já treinados. Em essência é isso. Acontece que esses modelos já faz uns, acho que um, já faz uns dois anos, se não até mais para cá, eles começaram a ser preparados para usar ferramentas. O que que é esse usar ferramenta? (06:42) Então, o ChatGPT há até um tempo atrás, ele respondia só com base nos dados que tinham sido utilizados para treinar ele. Tanto que tu perguntava alguma coisa mais recente, ele pegava coisas que eram velhas, nada mais recente ele conseguia trazer. O Perplexity foi uma ferramenta que quebrou um pouco essa fronteira, ou seja, eles pegaram, eles usam o modelo da Open, usam o GPT, mas também usam Claude, etc., depende do cérebro. E eles então integraram isso com uma ferramenta de busca. (07:03) Então eles usam a IA, usam os modelos para, vamos dizer assim, comandar uma ferramenta de busca, pega os resultados, analisa esses resultados e te dão esses resultados mastigados pela IA. Essa é a diferença entre tu usar o Google e usar o Perplexity para fazer uma pesquisa. Com o tempo, todas essas aplicações, todas essas aplicações, não vou usar aplicações para não misturar com ferramenta, não. Todas essas aplicações, ChatGPT, o Claude, o Gemini, etc., todos eles começaram a te dar opções de várias ferramentas, não só busca na internet, mas ferramentas que inclusive elas podem interfacear com os seus arquivos na tua máquina. (07:58) Então tu pode mandar comando, falando sobre isso aqui. O Claude, se tu instalar o Claude, os usuários de macOS, já tem essas funcionalidades há algum tempo, porque eles acabam, a Open AI lança primeiro pro Mac. A Claude fez a mesma coisa e para Windows vem um pouco depois, mas tu pode instalar, por exemplo, o Claude, a aplicação Claude, na tua máquina e lá vai ter algumas ferramentas. Cuidado com isso. Cuidado com isso. Tem algumas ferramentas que tu pode ativar que permite que ele controle o teu navegador, que ele controle, que ele consiga gerenciar arquivos na tua máquina, mover, apagar, criar pasta, etc. (08:23) Eu fiz um teste com relação a isso um tempo atrás para organizar uma pasta de downloads. Funcionou, só que são ferramentas que tu tem que tomar um pouco de cuidado porque eventualmente elas podem sair do teu controle e fazer coisas que não deveriam fazer, mas enfim. Então, notem que a IA, esse modelo que a gente falou, que é o céreb

    43 min

  4. 11/12/2025

    #407 – Furto no Louvre, scams na Meta, novo Owasp Top 10 e simplificação do GDPR

    Neste episódio comentamos sobre as notícias mais recentes no mundo da segurança da informação e proteção de dados, com Guilherme Goulart e Vinícius Serafim. Você irá descobrir os detalhes sobre a sanção da Lei 15.254 de 2025, que criou o Dia Nacional de Proteção de Dados em 17 de julho, uma homenagem ao jurista Danilo Doneda, considerado o pai da proteção de dados no Brasil. Abordamos também o audacioso furto no Museu do Louvre, que expôs falhas críticas de segurança física, incluindo o uso de senhas fracas como “Louvre” no sistema de videovigilância, um caso que serve de alerta sobre a manutenção de sistemas dessa natureza. Além disso, você irá aprender sobre as revelações de uma reportagem da Reuters, indicando que a Meta conscientemente lucrou bilhões com anúncios fraudulentos, scams e a venda de produtos proibidos, levantando um debate sobre a responsabilidade das big techs. Analisamos também a nova versão do OWASP Top 10 para 2025 e discutimos a polêmica proposta de simplificação do GDPR na Europa, que pode enfraquecer o regime de proteção de dados ​na Europa e no mundo. Se você gosta do nosso conteúdo, não se esqueça de assinar o podcast na sua plataforma de áudio preferida para não perder nenhum episódio, nos seguir nas redes sociais e deixar sua avaliação. Sua participação ajuda o Segurança Legal a alcançar mais ouvintes e a continuar produzindo conteúdo de qualidade sobre cibersegurança e privacidade.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes: Presidente sanciona lei que cria o Dia Nacional da Proteção de Dados Louvre Heist Fallout Reveals Museum’s Video Security Password Was ‘Louvre’ The cybersecurity error at the Louvre that allowed the historic the Meta is earning a fortune on a deluge of fraudulent ads, documents show Release Candidate do Owasp Top 10 Vídeo – Pentest | O que é e como funciona um Teste de Invasão? EU Commission internal draft would wreck core principles of the GDPR 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 407, gravado em 11 de novembro de 2025. Eu sou Guilherme Goulart, junto com o Vinícius Serafim. Vamos trazer para vocês algumas notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme, tudo bem? Olá, os nossos ouvintes. 11 de 11 hoje. 11 de 11. Hoje tem promoção em tudo quanto é coisa. (00:31) Época de mentirinha, mas esse é o nosso momento então de conversarmos sobre algumas notícias e acontecimentos que nos chamaram atenção. Pega o seu café então e vem conosco. E você já sabe, para entrar em contato com a gente é muito fácil, basta enviar uma mensagem para podcast@segurancalegal.com, Mastodon, Instagram, Bluesky, YouTube. (00:48) E agora, Vinícius, se você é jovem, TikTok também. Estamos lá com alguns vídeos que já estão sendo publicados, alguns cortes do podcast Segurança Legal. E também convidamos você a acompanhar a nossa campanha de financiamento coletivo lá no Apoia-se: apoia.se/segurancalegal. Você pode contribuir e também fazer parte do nosso grupo exclusivo de apoiadores lá no Telegram. (01:14) Vinícius, quer mandar uma mensagem ali pro Isaac Melo? Abraço pro Isaac Melo, que nos mandou algumas informações aqui, algumas dicas de uma notícia. Nós vamos dar uma olhada nos links que nos passaste. Isaac, muitíssimo obrigado. A gente vai dar uma olhadinha. Valeu, valeu, Isaac. (01:38) Continue sempre conosco. Primeira notícia, Vinícius, é um misto de felicidade pelo reconhecimento e pela sanção da lei 15.254, agora de 2025, que definiu o Dia Nacional de Proteção de Dados. E esse Dia Nacional de Proteção de Dados, Vinícius, que é no dia 17 de julho, é nada mais nada menos do que a data de nascimento do Danilo Doneda. Para quem não sabe, o pai da proteção de dados no Brasil, um grande jurista que nos deixou recentemente. Gravamos, ele gravou com a gente aqui no podcast, fizemos um episódio de homenagem a ele depois do seu falecimento. É uma homenagem muito justa, muito válida, sabe? Porque realmente o Danilo era um cara incrível. (02:28) Dá para se dizer que foi uma força agregadora em torno da qual nasce a lei de proteção de dados. Claro, passa pelo processo legislativo todo, mas ele era um cara muito agregador. (02:49) Então, temos aqui o nosso dia nacional de proteção de dados como homenagem ao nosso querido amigo Danilo Doneda. Fica aí uma mini notícia. Eu disse antes misto de felicidade, mas também com saudade. Fica homenagem aí. São coisas da vida. Enfim, furto no Louvre, Vinícius, você ficou sabendo? Sim, sim. (03:13) Famoso furto. O pessoal encostou lá uma escada, um caminhãozinho com uma escada basculante. Cortaram o vidro com uma serra giratória ou algo parecido, subiram lá dentro, roubaram, entraram e roubaram mais de 100 milhões. Está sumido mais de 100 milhões ainda. Eu tinha visto a última vez que eu vi eram 88 milhões de euros. Eram joias que ficavam na galeria de Apolo. (03:44) Eram oito peças que eram joias da coroa francesa, do que foi a coroa francesa, inclusive uma coroa também. E algumas pessoas dizem que o valor é inestimável pela questão do valor histórico, não somente o valor das joias. Não, sem dúvida, sem dúvida, sem dúvida. (04:04) Então agora no dia 19 de outubro alguns ladrões, foi uma coisa de filme. Certamente. Então esses ladrões se disfarçaram, roubaram em 7 minutos. Exatamente, mais ou menos 7 minutos. E eles se disfarçaram de prestadores de serviços para acessar lá o Louvre. A coisa mais interessante disso, Vinícius, e eu tomei, ouvintes, o cuidado de perguntar pro Vinícius se ele tinha ouvido falar disso. Então vai ser uma surpresa para ele também: o portal Check News obteve resultados de auditorias realizadas entre 2014 e 2024. E um dos problemas que eles encontraram… (04:43) É que a senha do sistema de vídeovigilância, Vinícius, sabe qual era? Não, não sei qual. A senha do sistema de vídeovigilância era Louvre. E aí eles tinham um outro sistema, eu não tentaria essa senha. Eu não, ninguém iria colocar essa senha. (05:13) Eu não tentaria. Não é possível. Mas foi. Então eles, uma das senhas era Louvre e aí eles tinham, usavam um outro sistema lá também de monitoramento que era de nome Thales e a senha do sistema era Thales também. Claro, óbvio. E além de outros problemas que envolveram o uso de sistemas operacionais antigos como Windows XP e o Windows 2000. (05:39) Qual foi o papel dessa senha fraca? Foi que, segundo li aí nos portais, eles usaram essa senha fraca para desativar o sistema de vídeovigilância enquanto eles estavam realizando o furto. E claro que o caso é meio pitoresco assim, a gente deu risada, mas enfim, não é algo engraçado assim. Bem pelo contrário, é um crime, é um assalto. E menos mal que não teve nenhuma vítima. Exato. Exato. Não teve nenhuma vítima. Mas assim, é um patrimônio. (06:14) É claro que todas as contradições da monarquia francesa, de como eram ricos e aqueles prédios, aquelas, mas enfim, isso não vem ao caso agora. O que vem ao caso, eu acho que dá para daí sim linkar esse caso meio pitoresco com as nossas temáticas aqui. Que é uma tendência que a gente vê em alguns casos de um certo descuido e até de um certo desprezo de sistemas como esse de vídeovigilância, sabe? Tem você tem casos que às vezes isso não tá bem dentro da TI, não é gerenciado pela TI, fica numa zona meio… (06:48) Fica num limbo, cara. Fica num limbo e quem deveria ser responsável por isso não sabe operar direito. E isso acaba ficando no colo da TI e aí vem aquelas demandas de: “Ah, tem que abrir para acesso remoto, para acessar, quero você poder de casa.” Aí às vezes tu vai, aí o cara: “Olha, melhor não.” “Não, mas eu quero.” (07:12) Daí vem de cima, aí a pessoa quer acessar. Aí libera, aí acessa, depois esquece que isso existe, e fica lá o acesso. Você imagina o quão importante é isso pro museu mais importante do mundo? A segurança física. Claro. Sim, sim. A segurança física ali é essencial. Uhum. Nesse caso. Sim. (07:36) São objetos dos mais variados ali que estão fisicamente guardados, sob guarda do Louvre. E nem sempre os objetos pertencem ao museu. Eles podem estar momentaneamente cedidos ao museu. Tem mais essa ainda por cima. E você tem aquela questão de que muitos desses objetos foram pegos pelos franceses em circunstâncias históricas também que hoje demandariam, na Europa de maneira geral, Londres também, a questão da restituição, da repatriação desses materiais. Claro. Mas voltando aqui para pra segurança, Vinícius, às vezes fica… (08:16) Quase como uma questão de zeladoria. Então você tem dois problemas aí. Primeiro é o papel da segurança física no mundo da segurança da informação, que é flagrantemente menosprezado e relevado. E parece que foi o caso aqui, veja, no Louvre. E até você pensa: “Não, mas ninguém teria audácia de…” Não. Sim, isso de fato aconteceu. (08:39) Fica um alerta para as organizações que prestem atenção nesse aspecto de segurança física e no aspecto de monitoramento. Porque também nós não podemos esquecer que imagens de vídeo que envolvem pessoas, que filmam pessoas de alguma forma, constituem dados pessoais e, por isso, também ficam cobertos pelas proteções da LGPD. (09:04) Então, é algo bem crítico assim. Às vezes a gente vê em alguns locais que o livre acesso às câmeras de monitoramento dentro de uma organização é algo que tem que ser visto com muito cuidado, porque pode representar também uma violação LGPD, o descuido e até mesmo o vazamento desse tipo de imagem. E que vai s

    52 min

  5. 11/04/2025

    #406 – IA, criatividade e educação

    Neste episódio, falamos sobre como a inteligência artificial está desafiando a criatividade humana e o que estudos recentes, como um artigo da Nature, revelam sobre quem ainda leva a melhor em tarefas de pensamento divergente.​ Guilherme Goulart e Vinícius Serafim mergulham em uma análise sobre os limites e potenciais da inteligência artificial (IA) na criatividade e educação. Com base em artigos científicos, eles exploram como a tecnologia impacta desde a geração de ideias originais até a ética por trás dos algoritmos. O debate aborda a segurança da informação, o direito da tecnologia e como a neurociência ajuda a entender o processo criativo. Discutindo modelos como GPT-4, o episódio questiona se a IA pode realmente superar a capacidade humana em tarefas criativas e quais as implicações disso para o futuro. Assine, siga e avalie o nosso podcast para não perder nenhuma discussão.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes Best humans still outperform artificial intelligence in a creative divergent thinking task Livro – The Creative Mind: Myths and Mechanisms Criatividade: O flow e a psicologia das descobertas e das invenções Vídeo – Debate on AI & Mind – Searle & Boden (1984) Inteligência artificial: Uma brevíssima introdução Delegation to artificial intelligence can increase dishonest behaviour Your Brain on ChatGPT: Accumulation of Cognitive Debt when Using an AI Assistant for Essay Writing Task The Impact of Generative AI on Critical Thinking: Self-Reported Reductions in Cognitive Effort and Confidence Effects From a Survey of Knowledge Workers Livro – A fábrica de cretinos digitais: Os perigos das telas para nossas crianças Livro – Faça-os ler!: Para não criar cretinos digitais Livro – Faites-les lire !: Pour en finir avec le crétin digital (edição francesa) More Articles Are Now Created by AI Than Humans The Future of Jobs Report 2025 – World Economic Forum Imagem do Episódio – Le fils de l’homme de René Magritte 📝 Transcrição do Episódio (00:06) Sejam todos muito bem-vindos. Estamos de volta com o Segurança Legal, seu podcast de segurança da informação, direito da tecnologia e tecnologia e sociedade. Eu sou o Guilherme Goulart e aqui comigo está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? Ei, Guilherme, tudo bem? Olá aos nossos ouvintes.​(00:26) Sempre lembrando que para nós é fundamental a participação de todos por meio de perguntas, críticas e sugestões de tema. Vocês já sabem, basta enviar uma mensagem para o podcast@segurançalegal.com, YouTube, Mastodon, Blue Sky, Instagram e, agora, Vinícius e ouvintes, no TikTok. Se você é jovem, porque nós, eu e o Vinícius, somos velhos, não temos TikTok, mas se você for jovem e quiser nos seguir lá no TikTok, em breve teremos também conteúdos, alguns cortes. É isso que a gente está preparando. Alguns cortes de episódios de várias coisas úteis.​(00:57) A questão do podcast é que cada vez mais você que nos acompanha aqui sabe, a gente é desafiado a consumir conteúdos mais rápidos. Então, o podcast Segurança Legal também vai… Quer ver a versão mais longa? Tem aqui, fique com a gente, vá lavar sua louça, fazer sua academia e fazer qualquer coisa.​(01:21) Ou quer também acompanhar conteúdos mais curtos? A gente também está preparando isso para vocês. Além do blog da Brown Pipe, basta acessar o www.brownpipe.com.br, ver o blog, que tem notícias, e consegue se inscrever no mailing e tudo mais, certo, Vinícius? Certíssimo, Guilherme. Bom, neste episódio a gente vai fazer uma revisão de alguns artigos que nos chamaram a atenção.​(01:45) Alguns deles já apareceram aqui no podcast ano passado, mas a gente quer uni-los em uma conversa um pouco mais direcionada, tratando sobre alguns dos problemas e das problemáticas que a gente tem visto, assim como algumas das questões mais importantes.​(02:05) Claro, tem se escrito muito nos últimos anos e a IA assumiu uma importância em todas as áreas, dá para se dizer. No direito, na tecnologia, na educação, na administração, nas artes gráficas digitais, por que não, na escrita, na filosofia. A parte ética, no final das contas, acaba sendo um fio condutor de todos esses artigos que a gente vai comentar hoje, né, Vinícius? São artigos que a gente citou muitas vezes “en passant”, meio, “Ah, tem um artigo tal que fala sobre isso”. E a ideia hoje é a gente trazer, não todos eles, mas.​(02:44) pegamos aqueles que a gente considerou mais interessantes e falar um pouco da metodologia e dos resultados obtidos. É claro que vai ter os links de todos eles no show notes, se você quiser se aprofundar em qualquer um desses estudos. A ideia é essa, a gente dar uma aprofundada um pouquinho maior em cada um deles.​(03:12) Seria uma nova época de novas luzes que a gente está vivendo, ou não? Eu acho que o primeiro ponto aqui é a questão da criatividade. É uma das grandes questões, eu acho, do uso da IA atualmente. Primeiro, o que é criatividade? E aí tu vês como todos esses temas são complexos. A gente já falou várias vezes sobre isso.​(03:32) E quando a gente começa a falar em criatividade, claro, não vai ser o objeto deste estudo especificamente, mas a gente acaba descambando para questões de neurociência, de como o cérebro funciona, de onde vêm as ideias, de como as pessoas aprendem. E aí isso acaba conectando a IA também com a educação. É uma das áreas, uma das partes mais instigantes disso tudo. Pode ela ser criativa de verdade ou não? E até que ponto nós… e o que é criatividade e até que ponto nós podemos.​(04:07) ultrapassar em tarefas criativas. E o primeiro artigo, Guilherme, foi um artigo publicado em 2023 na Nature. O título é: “Os melhores humanos ainda superam a inteligência artificial em uma tarefa criativa de pensamento divergente”. Então, só para saber, os modelos que foram utilizados neste estudo, naquela época, foram o chat GPT, a aplicação Chat GPT com o GPT 3.5 e o 4.​(04:31) E uma outra que eu confesso que eu nunca utilizei, que eu fiquei sabendo que existia através deste artigo, que é a copy.ai. Aliás, “copy” é um bom nome para inteligência artificial, porque ela copia tudo para dentro. Mas essa ferramenta copy.ai, que não é da OpenAI, usa o GPT-3, que é o modelo da OpenAI.​(05:02) Então, a ideia é que fosse solicitado aos participantes humanos e às IAs que criassem usos incomuns e criativos para objetos cotidianos. Seriam quatro objetos: corda, caixa, lápis e vela. A gente não vai entrar em muitos detalhes aqui, mas a ideia, então, era pensar em usos criativos para isso. Resultados. Guilherme, quer trazer o primeiro deles? Não, não. Pode tocar. Então, tá. Resultados.​(05:25) Primeiro, em média, os chatbots de IA superaram os participantes humanos. Na média, a IA foi mais consistente. Então, os humanos tiveram uma variabilidade maior em termos de boas ideias, foram muito criativos e, ao mesmo tempo, tiveram ideias horrorosas que a IA, na média, não atingiu.​(05:53) As melhores ideias, embora tenha tido essa superação da IA com relação à média humana, as melhores ideias humanas foram iguais ou superaram as dos chatbots. Então, as melhores ideias humanas empataram com as dos chatbots ou foram melhores. Portanto, os melhores humanos ainda superaram esses modelos.​(06:19) Notem que eu coloquei “ainda” aqui na frase. No entanto, teve algumas instâncias, ou seja, algumas situações em que a IA alcançou pontuações máximas mais altas. Então, teve o caso da copy.ai, em que a resposta para “lápis” foi considerada superior à máxima humana correspondente, e também duas sessões do ChatGPT com o 3 e o 4 em resposta a “box”, ou seja, a caixa, onde as pontuações subjetivas máximas também foram superiores às máximas humanas. Então, no final das contas, este artigo, e é um artigo que, para quem tiver interesse, eu recomendo a leitura, porque a gente está falando aqui.​(06:56) de GPT-4. Nós já estamos no GPT-5, já temos Sonnet 4.5, Opus e por aí vai. Já temos modelos bem mais capazes, que escrevem bem melhor do que esses modelos anteriores e que também geram um conteúdo melhor. Mas é interessante a gente ver essa comparação feita em 2023, mostrando, então, que os melhores humanos ainda superam a inteligência artificial, mas ela está cada vez mais próxima. E alguns estudos que a gente tem adiante vão, inclusive, chamar a atenção para isso.​(07:35) E aí você tem outra coisa, que eu acho que é a dinâmica de como a IA funciona nesses casos. Se a gente parte do pressuposto de que ela vai atuar levando em consideração essa proximidade estatística entre conceitos e palavras e, a partir daí, produzir coisas novas, o artigo chama a atenção de que uma das possibilidades de você definir, uma das formas de definir a criatividade, é justamente essa capacidade de criar ideias originais e úteis e também de fazer associações entre conceitos vagamente relacionados, ou seja, relacionar coisas que, em.​(08:16) princípio, não seriam tão evidentemente relacionadas. Claro que a IA também, se for programada para fazer isso, ela conseguiria. Eu acho que é plenamente possível. Quando a gente olha como uma matriz de IA funciona, tem um gráfico aqui, depois, enquanto você estiver falando, eu vou ver se encontro para botar no show notes também, mas ele simula a proximidade entre palavras dentro de um modelo de IA. Ele vai mostrando a distância entre as palavras e a proximidade entre elas. É uma simulação mesmo. Então, ela poderia muito bem… “Ó, tenta fazer…​(08:51) associações não tão evidentes, ou não tão próximas. É claro, também não pode ser

    1h 17m

  6. 10/28/2025

    #405 – Mais vazamentos de senhas, insegurança bancária, browser Atlas e o fiasco da IA

    Neste episódio, você vai aprender sobre a realidade por trás dos massivos vazamentos de senhas e como se proteger de forma eficaz. Abordamos a evolução da insegurança bancária, detalhando a nova responsabilidade das instituições financeiras em golpes de engenharia social, conforme decisão do STJ, e o que isso significa para o dever de segurança delas. Exploramos também os novos riscos da cibersegurança com a popularização dos navegadores com inteligência artificial, como o ChatGPT Atlas, e a ameaça do prompt injection. Discutimos a importância de políticas corporativas claras para o uso de IA, evitando o chamado shadow AI e garantindo a proteção de dados. Aprofundamos a análise sobre as implicações do uso de inteligência artificial generativa no ambiente profissional e pessoal. Comentamos um caso emblemático em que a consultoria Deloitte utilizou IA e entregou um relatório com alucinações de IA, resultando em perdas financeiras e reputacionais. Essa discussão nos leva a uma reflexão sobre o direito da tecnologia, a necessidade de transparência no uso dessas ferramentas e como o cumprimento de contratos pode ser afetado. Este episódio é essencial para quem busca entender os desafios práticos e jurídicos da segurança da informação na era da IA, incluindo os cuidados com a LGPD. Não se esqueça de assinar o podcast, nos seguir nas redes sociais e deixar sua avaliação para que nosso conteúdo chegue a mais pessoas.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing   ShowNotes 3,5 terabytes de informações, ou mais de 183 milhões de senhas de e-mail, foram violadas Bancos e instituições de pagamento devem indenizar clientes por falhas que viabilizam golpe da falsa central Petição feita por IA cita dono de bar como relator; autora pagará má-fé TRT-3 aplica multa após advogado citar súmula inexistente gerada por IA Deloitte to partially refund Australian government for report with apparent AI-generated errors Deloitte was caught using AI in $290,000 report to help the Australian government crack down on welfare after a researcher flagged hallucinations ChatGPT Atlas Browser Can Be Tricked by Fake URLs into Executing Hidden Commands Artificial IntelligenceAI Sidebar Spoofing Puts ChatGPT Atlas, Perplexity Comet and Other Browsers at Risk  Foto do Episódio – Spy Booth de Bansky, foto de Duesentrieb 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 405, gravado em 27 de outubro de 2025. Eu sou o Guilherme Goulart e junto com o Vinícius Serafim vamos trazer para vocês algumas das notícias das últimas semanas. E aí, Vinícius, tudo bem? E aí, Guilherme? Tudo bem? Olá aos nossos ouvintes.(00:27) O Vinícius está de volta, depois que um ouvinte observou muito bem que o Vinícius estava como not found no episódio 404, o episódio anterior. Uma piadinha só para os nerds que vão entender. Esse é o nosso momento de conversarmos sobre algumas notícias e acontecimentos que nos chamaram a atenção.(00:44) Pegue o seu café e vem conosco. Para entrar em contato conosco, envie uma mensagem para podcast@segurançalegal.com, Mastodon, Instagram, Bluesky, YouTube e agora, Vinícius, estamos no TikTok. Deus do céu. Se você é jovem, nos acompanha aqui e usa o TikTok, pode nos seguir lá também buscando por Segurança Legal.(01:08) Vamos fazer uma experiência para ver como é uma linguagem diferente, enfim, mas estamos já lá para fazer uma experiência com alguns cortes do podcast em vídeo, que nós vamos estar fazendo aí nos próximos dias ou semanas, vamos ver como vai ser. E também temos a nossa campanha de financiamento coletivo. Lá no Apoia.se você apoia o Segurança Legal, onde conclamamos sempre que você considere apoiar essa iniciativa independente de produção de conteúdo.(01:26) Vinícius, vamos para a mensagem dos ouvintes. Temos uma mensagem bem interessante que não vamos identificar o autor, lá no episódio 403, 10 orientações sobre o uso de IA no ambiente empresarial. E esse ouvinte anônimo disse o seguinte: “Eu mesmo, como um his programador, há alguns anos fiquei por meses pedindo aos meus gestores uma formalização e atualização do nosso NDA para que(02:04) pudéssemos usar sem medo LLMs como auxílio. Sempre enrolado, resolvi seguir para o jurídico da empresa, abrir ticket, mais uma vez, depois de meses insistindo no ticket e com meus gestores, o ticket foi fechado e nada foi resolvido ou esclarecido”. Será que essa é uma situação comum hoje em dia, Vinícius? A primeira coisa é: eu não gostei.(02:29) Não te deprecie chamando de his programador. His programador. Não, tu não é um his programador, cara. Tu é um programador, é um desenvolvedor. Nada de his. E a questão de formalização com uso de LLM como auxílio para desenvolvimento, eu tenho visto duas, tem várias posturas, mas as que mais me chamam a atenção são ou aquela postura em que não permitem por medo que os códigos sejam utilizados, que as bases, repositórios de código e tal da empresa sejam utilizados para treinar IA(03:05) e eventualmente acabe revelando alguma coisa sobre os sistemas da própria empresa. Só que aí é uma questão de se analisar as ferramentas, ver as opções disponíveis no mercado para uso empresarial, inclusive ver as opções de configuração e algumas coisas mais que têm que ser vistas.(03:27) Eu acho que isso sim tem que passar pelo pessoal da segurança, digamos assim, dentro da empresa e tem que se estabelecer quais são as práticas aceitáveis, ou seja, quais são as ferramentas aceitáveis, quais são as configurações mínimas que devem ser feitas, esse tipo de coisa. Então, eu tenho visto tanto situações em que a empresa simplesmente diz que não pode usar, e no desenvolvimento a gente pode discutir a aplicação de IA em várias situações, mas no desenvolvimento ela é extremamente útil. A generativa para gerar código é extremamente útil. Não há dúvida nesse sentido. E há também o outro(04:05) extremo, em que o pessoal utiliza o que lhe vem na telha. Então não há uma recomendação formal por parte da empresa. E aí cada um vai usando a ferramenta que tem à disposição, seja free ou não. É o shadow AI. É o shadow AI que a gente comentou. Então, cada um utiliza o que acha melhor e nem sempre com as configurações mais adequadas, nem sempre com uma revisão adequada do que tem sido submetido para a IA, o que fica na IA, o que não fica, etc. Então, esses dois extremos são(04:40) bem delicados. E essa questão de definição, de sentar para definir, eu não sei, Guilherme, eu não fiz pesquisa sobre isso ainda. Mas me parece que está se normalizando o uso da IA como se fosse usar o Google e o pessoal não está sentindo tanta necessidade de definir claramente as regras para uso desse negócio, entende? Porque parece que é mais um Google, mais uma aplicaçãozinha qualquer assim.(05:15) Então há uma clara falta de atenção a esse ponto, que é o que o nosso ouvinte coloca como o sofrimento dele ali, tentando contato com alguém para dizer o que pode usar, o que não pode, quais são as diretrizes, qual é a regra. E ao mesmo tempo, sem regra nenhuma, o que ele faz? Ele não vai usar? Ou vai usar conforme o que ele acha que deve ser o ideal? Então assim, eu entendo bem isso que ele está colocando.(05:47) Acho que é mais uma dessas políticas que têm que ser criadas, definidas dentro das empresas e que a gente sabe muito bem que muitas vezes elas nem sequer existem, nem as mais básicas existem, quanto mais essa. É, era o que eu ia dizer. Eu acho que não é só uma questão de NDA, mas é mais do que NDA, é você ter diretrizes sobre o uso, porque elas vão envolver também proteção de dados. Mas assim, vamos lá. Tem empresas que até hoje ainda não regulam o uso de internet, de navegação dos seus funcionários. Então, quiçá pensar na IA. Veja, é(06:20) quase também como uma cegueira generalizada. Muitos gestores fecham os olhos no sentido de ignorar que os funcionários estão utilizando. Mas, gente, as pessoas estão utilizando em contextos bem complicados, bem delicados, levando até em consideração aquilo que nós falamos no episódio passado, que seria como a IA promove comportamentos desonestos, que daí passa a ser um outro problema também quando você não tem o monitoramento ou controle adequado. Então tá, um abraço.(06:51) Isso aí, um abraço para o nosso ouvinte não nominado. Vinícius, 3.5 TB de informações ou 183 milhões de senhas de e-mail foram vazadas. É isso mesmo. Isso me chamou muita atenção, essa notícia. Eu vi em mais de um site. São senhas do Gmail. Então eu pensei: “Meu Deus do céu, vazou alguma coisa lá no Google ou conseguiram fazer alguma coisa para extrair essas senhas lá de dentro?”. E a primeira coisa que me chamou a atenção, logo que eu vi que as senhas(07:28) estavam em texto claro, o dataset seria endereço de e-mail e senhas em texto claro. E te dizer, eu não consigo imaginar, consigo imaginar muita coisa, mas não o Google armazenando as senhas em texto claro em algum lugar que permita alguém fazer um dump com usuário e senha. E aí, de fato, quando eu comecei a ler as notícias e tal, inclusive o Have I Been Pwned teria noticiado esse vazamento. Mas se vocês derem uma procurada, vocês vão(08:03) encontrar o mesmo que eu encontrei, a conclusão a que cheguei é que é uma notícia que não é bem uma notícia. É um bocado de senha que foi coletada por meio de malware, foram ataques feitos a pessoas ao longo de um período de tempo bastante grande e mais de 90% dessas senhas já estavam em bases de vazamentos anteriores e foi fei

    40 min

  7. 10/13/2025

    #404 – Dados classificados na nuvem, preocupações de auditores e comportamentos desonestos na IA

    Neste episódio falamos sobre informações classificadas governamentais na nuvem, preocupações de segurança dos auditores, atualização do grande ataque financeiro e o aumento de comportamentos desonestos com uso de IA.  Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing ShowNotes GSI/PR publica norma para uso de computação em nuvem para tratamento de informações classificadas INSTRUÇÃO NORMATIVA GSI/PR Nº 8, DE 6 DE OUTUBRO DE 2025 INSTRUÇÃO NORMATIVA Nº 5, DE 30 DE AGOSTO DE 2021 AWS Top Secret Cloud CIA makes awards for intelligence community’s next massive cloud contract A decade-old risk led to ‘phenomenal partnership’ between AWS and the intel community Global Risk in focus promovido pela Internal Audit Foundation PF intercepta conversas de hackers de maior ataque cibernético ao sistema financeiro: ‘Tamo famoso’ e ‘Tenho lista de laranjas’ Servidor cobrou R$ 1 milhão para deixar fraudadores invadirem sistema do BB Artigo – Delegation to artificial intelligence can increase dishonest behaviour Capa do Episódio – Caminhante sobre o mar de névoa de Caspar Friedrich 📝 Transcrição do Episódio (00:06) Bem-vindos e bem-vindas ao Café Segurança Legal, episódio 404, gravado em 13 de outubro de 2025. Eu sou o Guilherme Gular e, desta vez sozinho, vou trazer para vocês algumas das notícias que nos chamaram a atenção nas últimas semanas. Então, pegue o seu café e venha com a gente.(00:27) Você já sabe que este é o nosso momento de conversarmos e falarmos sobre algumas das notícias que nos chamaram a atenção. Você também sabe que pode entrar em contato conosco pelo e-mail podcast@segurançalegal.com, no Mastodon, Instagram, Bluesky e YouTube. Se quiser, também pode nos assistir pelo YouTube. A grande maioria, na verdade, nos escuta pelo feed, mas também estamos no feed, que você pode assinar direto no site segurancalegal.com, e também no Spotify. Se quiser ouvir pelo Spotify, também estamos lá. E temos a nossa(01:01) campanha de financiamento coletivo no apoia.se/segurançalegal. Você pode escolher a modalidade de apoio, e sempre conclamamos que você considere apoiar um projeto de divulgação de conhecimento e divulgação científica das áreas de segurança da informação, direito da tecnologia, proteção de dados e, mais recentemente, nos últimos um ou dois anos, temos falado muito mais sobre inteligência artificial.(01:33) É o tema da vez, que se relaciona muito com os assuntos que tratamos aqui, sobretudo segurança da informação e proteção de dados pessoais. Vamos às notícias desta semana, começando com uma que achei bem interessante. Inclusive o Vinícius, que infelizmente não pôde estar conosco hoje, foi consultado por um órgão de imprensa. Depois temos que ver se a reportagem da qual ele participou já foi publicada. Mas, de qualquer(02:04) forma, tivemos essa nova regra do Gabinete de Segurança Institucional para o tratamento de informações classificadas em nuvem. Estamos falando de uma instrução normativa do GSI, do Gabinete de Segurança Institucional, a Instrução Normativa número 8, publicada no dia 7 de outubro de 2025, que faz uma mudança bem importante no paradigma de tratamento de informações classificadas, ou seja, aquelas informações que exigem um grau diferenciado de segurança.(02:45) O primeiro ponto que podemos destacar é a própria divisão desses dois mundos da cibersegurança: o mundo das empresas, o mundo privado, e o mundo dos Estados. Ou seja, a segurança é vista no âmbito do poder público, não só do poder público brasileiro, mas mundial. Por trás disso tudo, os pressupostos de cibersegurança e de segurança da informação continuam os mesmos. Ainda falamos sobre os atributos de segurança: confidencialidade, integridade, disponibilidade da(03:26) informação, não repúdio, entre outros. O que ocorre é que, quando separamos os mundos público e privado, as necessidades são diferentes. Eu diria que as ameaças, as fontes de ameaça, são diferentes, porque quando olhamos para os atacantes envolvidos em ataques e violações nos mundos privado e público, as motivações deles são distintas. Vimos recentemente as invasões no sistema de pagamentos brasileiro. O objetivo ali do atacante,(04:07) a fonte da ameaça, é justamente obter ganho financeiro. Quando falamos em Estados, por outro lado, nem sempre será isso. Posso ter, inclusive, motivações políticas, relacionadas aos regimes de um determinado Estado e acesso a informações por outros Estados para fins até comerciais.(04:30) Vimos isso acontecer no Brasil quando, ainda no governo Obama, a presidente Dilma foi monitorada. Tem aquele caso que chamou bastante atenção. Então, temos um paradigma de ameaças totalmente diferente, envolvendo até questões de espionagem ou ciberespionagem. O primeiro ponto é essa divisão entre os dois mundos. E essa nova norma representa uma mudança de postura bem importante da administração pública brasileira ao se abrir para a nuvem,(05:10) embora o Serpro já utilizasse, via seus próprios serviços, outros serviços de nuvem. Vemos essa abertura na linha de uma renovação. Vimos também em agosto deste ano, com o decreto 12.157/2, uma renovação da Política Nacional de Segurança da Informação. Então, além desse novo decreto que estabelece a nova PNSI, temos agora a possibilidade de tratar dados classificados nos graus reservado e secreto em nuvens privadas ou comunitárias em data centers exclusivamente localizados no(05:54) Brasil, desde que esses provedores sejam habilitados pelo Estado para realizar o tratamento dessas informações e também sejam auditados. E, nessa linha, uma portaria, alguns dias antes dessa que falo agora, a Portaria do GSI número 37 de outubro de 2025, habilitou a Amazon, a AWS, para, abro aspas: “a busca do desenvolvimento e do aumento da maturidade em segurança da informação e cibernética, além da promoção da melhoria na cultura(06:30) cibernética nacional”. Então, tudo indica que veremos a AWS como esse agente de nuvem para tratar essas informações classificadas do Estado brasileiro. Fica vedado, entre outras coisas que a instrução traz, o uso de nuvem pública ou nuvem híbrida. É interessante dizer que existe outra instrução normativa. Estou falando aqui sobre algumas normas, instruções e tudo mais, e pode cansá-los um pouco, mas a administração pública brasileira é cheia de normas de segurança da informação, não só para o tratamento de(07:13) informações, mas para outras atividades também. Então, pode soar meio cansativo, mas é a característica da administração pública. Quando essa nova norma veda o uso de nuvem pública ou híbrida, o que é nuvem pública ou híbrida? Bom, há outra instrução normativa, a número 5 de 2021, que define o que é cada uma delas. Inclusive, essa instrução número cinco que acabei de me referir também foi modificada por esta nova instrução, a número(07:45) oito, de outubro de 2025, para proibir o uso de computação em nuvem. Ou seja, antes ela proibia o uso de computação em nuvem para informações classificadas, e essa nova instrução normativa altera a de número cinco para permitir isso. E essa de número cinco também traz outros requisitos mínimos de segurança.(08:11) O que mais essa instrução traz? Ela é bem técnica no sentido de estabelecer requisitos especificamente técnicos para o tratamento dessas informações. Quando olhamos o artigo terceiro da norma, vou dar alguns exemplos para vocês. Ficarão, como sempre, os links no show notes para que leiam, eu sugiro que leiam. Questões técnicas como segmentação de redes para permitir o isolamento de ambientes, uso de tecnologias para o isolamento de máquinas(08:49) virtuais, sendo que esse isolamento deve se dar por cada órgão, inclusive. Ou seja, não se pode compartilhar máquinas fora do órgão. Uso de algoritmos de Estado de criptografia, sobre o que falarei um pouquinho depois. É uma coisa já relativamente antiga na nossa organização da segurança da informação brasileira.(09:22) A norma também exige garantir que as chaves criptográficas sejam gerenciadas exclusivamente pelos órgãos de registro. A gestão de chaves é um dos grandes problemas no âmbito da criptografia, independentemente do algoritmo utilizado — e o Vinícius sempre comenta isso — e a norma endereça essa preocupação, bem como a necessidade de uso de backups criptografados, a implementação de logs imutáveis e um sistema centralizado de gestão de identidade.(09:52) Ou seja, a nuvem que for habilitada para atuar tratando os dados classificados do Estado brasileiro precisará se adequar a esta norma. Então, o que teremos com essa aproximação com a AWS, por exemplo, é que a AWS disponibilize serviços que sejam compatíveis com essas regras. Isso já vem acontecendo, já acontece nos Estados Unidos, como vou falar logo a seguir. E também uma coisa que chamou atenção é que esse provedor, ao prestar esses serviços,(10:28) lá no artigo sétimo, deve possuir as certificações em cinco normas ISO: a 27.001, a 27.017, que é de diretrizes para segurança em serviços de nuvem, a 27.701, que é a extensão da 27.002 para os controles de segurança certificados pela 27.001, e a 22.301, que é sobre segurança em data centers. Além de questões relacionadas à recuperação de desastres, não compartilhar recursos físicos com outros clientes que não sejam o órgão em questão, como eu disse antes.(11:12) De fato, são normas importantes. São, eu diria, diretrizes de certa forma até um tanto quanto genéricas, mas que colocam um grau de segurança importante, interessante, eu diria adequado, talvez, com o nível de exigência de segurança que se exige para o trata

    41 min

  8. 09/30/2025

    #403 – 10 orientações sobre uso de IA no ambiente empresarial

    Visite nossa campanha de financiamento coletivo e nos apoie!  Conheça o Blog da BrownPipe Consultoria e se inscreva no nosso mailing Neste episódio, você vai aprender a navegar pelos desafios e oportunidades da inteligência artificial no ambiente corporativo. Abordamos a importância de criar um processo de governança de IA, os perigos da “Shadow AI” (o uso não autorizado de ferramentas pelos funcionários) e por que sua empresa precisa estar pronta para explicar as decisões tomadas por algoritmos. Discutimos como a qualidade dos dados de treinamento é crucial para evitar vieses e discriminação, garantindo que a implementação da tecnologia seja ética e em conformidade com a LGPD. Saiba como proteger sua empresa e seus clientes na era da IA.​ Aprofundamos o debate sobre as responsabilidades que surgem ao integrar a inteligência artificial aos seus sistemas. Analisamos como as decisões de uma IA podem impactar os direitos dos titulares de dados, exigindo uma gestão de riscos alinhada à proteção de dados. Além disso, exploramos os desafios técnicos de segurança, como a necessidade de realizar testes específicos (pentests) para modelos de linguagem (LLM), e a decisão estratégica entre adotar um modelo comercial pronto ou investir no desenvolvimento de uma solução própria. O episódio oferece um guia para empresários e gestores que buscam inovar com responsabilidade. 📝 Transcrição do Episódio (00:02) [Música] Sejam todos muito bem-vindos e bem-vindas. Estamos de volta com o Segurança Legal, seu podcast de Segurança da Informação, Direito da Tecnologia e Tecnologia e Sociedade. Eu sou o Guilherme Goulart e, aqui comigo, está o meu amigo Vinícius Serafim. E aí, Vinícius, tudo bem? (00:18) E aí, Guilherme, tudo bem? Olá aos nossos ouvintes e aos internautas que nos assistem no YouTube. (00:25) Sempre esqueço de dizer isso, mas lembrei hoje. Um olá para eles também. E, sempre lembrando, para nós é fundamental a participação dos ouvintes com perguntas, críticas e sugestões de tema. Para isso, encaminhe uma mensagem para o podcast@segurançalegal.com. (00:43) Você também pode nos encontrar no YouTube, onde pode assistir à versão em vídeo deste episódio, e no Mastodon, Blue Sky e Instagram. Temos também o blog da Brown Pipe, onde você acompanha as notícias mais importantes e pode se inscrever no mailing semanal para se manter informado. Certo, Vinícius? (01:05) Certo. Perfeito, Guilherme. (01:07) Quem está nos assistindo pelo YouTube hoje vai conseguir me ver um pouco, no que nos meus termos considero, “escabelado” ou descabelado. Hoje meu cabelo está uma zona. (01:19) Tudo bem. O foco é interessante. O podcast é um produto feito para ser ouvido. Nós começamos, desde 2012, sempre com a versão em áudio. Depois, as coisas foram também para o YouTube. Hoje, é bem comum que os podcasts tenham sua versão em vídeo, mas confesso que minha forma de consumir conteúdo no YouTube, na maioria das vezes, é ouvindo. (01:48) Sim, é um meio diferente para quem não quer usar o Spotify ou assinar um feed e prefere ouvir pelo YouTube. (02:03) Uma curiosidade para quem está nos ouvindo ou nos vendo: o primeiro podcast que gravamos, não do Segurança Legal, mas de outra iniciativa nossa, foi em 2007. Era um “Netcast”. (02:30) Exato, era Netcast. Tinha a TWiT, que existe até hoje, com o pessoal do Security Now. Naquela época, já consumíamos o Security Now direto. (02:51) Acho que foi o precursor para nós. Foi o podcast que mais ouvi. Depois, começou a ficar longo demais e parei. Eles diziam: “Netcasts you trust, from people you trust”, se não estou enganado. É o chavão da TWiT, com “T”. (03:21) Sim, TWiT, T-W-I-T. Existe a Twitch, que é a plataforma de transmissão de jogos, mas a do Security Now é TWiT.tv. Eles estão no episódio 1004. (03:50) Mas vamos ao que interessa, Vinícius. (03:52) Bora. (03:53) Quem nos escuta sabe que temos uma certa reserva em fazer episódios como “top 10”. Mas eles têm um apelo, as pessoas gostam. Então, observamos o que as pessoas gostam, e é uma forma de abordar um tema. Vamos trazer 10 orientações ou recomendações para o uso de inteligência artificial em sua empresa, um episódio direcionado para empresários. (04:46) Claro, cada uma dessas recomendações daria um episódio inteiro. A ideia é falar rapidamente sobre cada uma para que você tenha uma visão geral dos desafios atuais e das recomendações que podem ajudar a resolvê-los. Não vamos focar nos desafios, mas sim nas soluções. (05:11) A primeira coisa, Vinícius, seria estabelecer um processo de governança e supervisão humana no uso de ferramentas de IA, compreendendo todo o ciclo de vida. Esta é uma metarrecomendação, e todas as outras, de certa forma, estarão relacionadas a ela. Estabelecer um processo de governança prevê as outras recomendações que faremos e implica em mais do que apenas um uso responsável. (05:49) Por exemplo, pensar nos aspectos éticos do uso da IA é um dos grandes problemas que a humanidade enfrenta agora. Quando falamos de IA e educação, isso é uma questão ética. Vi uma reportagem que dizia que a IA tem ajudado muito os especialistas, mas prejudicado os iniciantes. (06:20) A analogia era como dar um carro de Fórmula 1 para quem está aprendendo a dirigir, sem indicar o caminho a seguir. Pensar nesse tipo de questão ética é algo a ser feito na etapa inicial de governança e supervisão: como vou usar, quando, quais problemas podem surgir e as questões de política que precisaremos prever. (06:55) Só este primeiro ponto já dá um belo trabalho. Quando falamos em “todo o ciclo de vida”, separei as fases da IA: design (concepção e planejamento), desenvolvimento (coleta e preparação dos dados, com cuidados de limpeza, anonimização, qualidade), desenvolvimento do modelo (arquitetura, algoritmos), integrações e testes, e o deploy. (08:23) Depois, de maneira geral, temos treinamento, operação e monitoramento contínuo, evolução e otimização, e “decommissioning” (substituição do modelo). A governança e a supervisão humana, só nesse primeiro item, já envolvem bastante trabalho e complexidade. (09:12) E quando se fala em ciclo de vida, temos que pensar em correções de problemas, o que se conecta com a questão dos vieses, uma das recomendações que traremos. Eventualmente, você pode ter que corrigir seu modelo e resolver problemas, inclusive de segurança. A governança de IA terá que endereçar isso. Se você não pensa em governança de segurança, saiba que terá um passivo adicional. (10:11) Agora, é preciso se preocupar com governança de segurança, de dados pessoais e de IA. Essas coisas estão integradas, principalmente proteção de dados e segurança, porque a IA é mais um sistema com novas vulnerabilidades e problemas. (10:36) O segundo ponto é a chamada Shadow AI. Nós gravamos um episódio sobre Shadow IT, o de número 126, com nosso amigo Vine Barreira, em 2 de junho de 2017. (11:10) A ideia de Shadow IT é permitir, por ação ou omissão, que os empregados utilizem sistemas não autorizados pela empresa. Trazendo isso para a IA, é a situação em que funcionários usam ferramentas de IA não autorizadas ou sobre as quais você não pensou nos riscos, como onde os dados estão ou quem é o responsável. (12:08) Isso traz problemas de conformidade e gestão de risco, porque você não sabe o que está indo para lá nem o que o funcionário pode fazer em sistemas descontrolados, envolvendo vazamentos e tratamentos de dados não autorizados. No caso de incidentes, a empresa pode nem conseguir investigar adequadamente por não saber que o sistema estava sendo usado. (12:55) É comum que empresas deixem funcionários à vontade para usar seu LLM, inclusive em ambientes governamentais, como no judiciário, para apoiar decisões judiciais, o que é um uso crítico. No ambiente empresarial, isso cria um risco e uma responsabilidade diferentes para o empresário. (13:32) No mês do advogado, me pediram para fazer uma palestra sobre IA. Fui atrás de informações e vi que há uma série de recomendações da OAB Nacional sobre o uso de IA. Boa parte delas impacta diretamente o uso que todos estão fazendo de ferramentas como o ChatGPT, subindo documentos para “conversar” sobre eles. (14:18) As pessoas não leem os termos de uso e não sabem como seus dados estão sendo usados. A maioria nem sabe que precisa desativar o histórico de conversas. Gravei um vídeo rápido sobre isso. A Shadow AI está se intrometendo em tudo. Logo, estará embutida no sistema operacional, e não será possível desativar. (15:04) Estão surgindo ferramentas agregadoras que chamam a atenção por serem mais baratas. Com elas, você tem acesso a todos os modelos (GPT, Claude, etc.) por um preço menor, fornecidas por players que usam as APIs da OpenAI e de outras. O pessoal está utilizando por ser mais barato, mas talvez os termos de uso sejam um pouco mais delicados em termos de privacidade. (16:05) Eu disse que não ia trazer números, mas não me aguentei. Uma reportagem do CX Trends, embora devamos ver essas pesquisas com certo cuidado, aponta uma tendência. Empregados que utilizam IA sem autorização: no turismo e hotelaria, 70%; nos serviços financeiros, 49%; no varejo, 43%; e na saúde, 33%. Todos esses setores, especialmente turismo, serviços financeiros e saúde, têm um intenso tratamento de dados pessoais, inclusive dados sensíveis na saúde. (17:28) Uma coisa que sempre me preocupou é que esses serviços de LLM geralmente têm um botão de “compartilhar”. O que separa o mundo externo de ter acesso a uma informação que está em um LLM usado como Sha

    1h 18m
See All (421)

4
out of 5
7 Ratings

About

O podcast da BrownPipe Consultoria

Information

  • Creator
    Guilherme Goulart e Vinícius Serafim
  • Years Active
    2012 - 2026
  • Episodes
    421
  • Rating
    Clean
  • Show Website
    Segurança Legal