IA brasileira a serviço da segurança: o Otto em campo

Episódio 184 do Kubicast com Leonardo Pinheiro, CRO da Clavis

Quando o assunto é cibersegurança no Brasil, o contexto muda tudo. Nosso tráfego carrega Pix, boleto, WhatsApp Business, marketplaces locais e uma miríade de integrações de bancos, adquirentes e serviços públicos. Foi nesse terreno que nasceu o Otto, a IA da Clavis, tema do Kubicast 184. Neste post, destrinchamos os aprendizados do papo e mostramos — sem mágica — como uma IA treinada na realidade brasileira acelera a priorização de risco, conecta dados que já existem na sua stack e ajuda o time a sair do alerta para a ação com governança.


Por que uma IA “brasileira” importa?

Modelos genéricos entendem padrões amplos; o Otto foi desenhado para operar no nosso ecossistema: terminologia de bancos nacionais, formatos de nota fiscal, variações de autenticação, jeitinho de integrações legadas e nuances de fraude locais. Na prática, isso significa:

  • Menos falso positivo em detecções comuns por aqui (phishing que imita DARF, CNAB, Pix/QR, etc.).

  • Correlação mais esperta entre EDR, WAF, CloudTrail, logs de API e scanners de vulnerabilidade.

  • Respostas situacionais: recomendações que respeitam o compliance brasileiro, a maturidade do time e os limites da operação.

O resultado? Tempo devolvido para o time, comunicação mais objetiva com o negócio e riscos materialmente menores.


O que é o Otto (e o que ele não é)

O Otto não é um antivírus mágico nem um canivete suíço que substitui profissionais. Ele atua como camada de inteligência sobre as fontes que você já tem: inventário de ativos, scanners, EDR/XDR, cloud e pipeline de mudanças. A proposta é:

  1. Unificar evidências (telemetria multi-fonte) em uma visão única.

  2. Pontuar risco por contexto (exposição, criticidade do ativo, probabilidade de exploração, impacto no negócio).

  3. Sugerir a próxima ação: mitigar, aceitar, transferir ou investigar — com playbooks claros.

Pense no Otto como o analista sênior incansável que não esquece nada, não se cansa e explica as decisões.

Não é substituto de pentest, de engenharia de confiabilidade, nem de resposta a incidentes humana. É multiplicador.


Do alerta ao resultado: como a priorização muda o jogo

Sem priorização, segurança vira esteira infinita. Com o Otto:

  • CVEs deixam de ser “todos urgentes”: o score ajusta urgência com base em exposição (internet-facing?), presença de exploit ativo, e quanto aquele sistema sustenta processos críticos (ex.: faturamento, checkout, onboarding).

  • Runbooks executáveis: para cada achado relevante, o Otto gera o passo a passo — do patch à compensação temporária — e registra accountability.

  • Métricas que o C-level entende: risco financeiro estimado, tendência de redução, e backlog saneado por trimestre — sem jargão.


Supply chain security: terceirizar sem terceirizar o risco

Fornecedores e parceiros viraram parte do seu perímetro. O Otto auxilia a avaliar e monitorar terceiros com checklists objetivos (controles mínimos, postura em cloud, evidências de proteção de dados) e alerta para quebras de compromisso (SLA de correção, cobertura de logs, mudanças em escopo). Isso evita o clássico “vazou via parceiro” e dá insumo contratual para apertar as porcas sem quebrar a relação.


Cloud, Kubernetes e o básico bem-feito

A conversa também passou por cloud security e orquestração. Guardrails como CIS Benchmarks, IAM mínimo, segredos gerenciados, policies de rede e observabilidade continuam sendo a base. O Otto ajuda a tornar visível o invisível (permissões amplas, buckets públicos, imagens vulneráveis, deriva de configuração) e a transformar isso em fila priorizada que conversa com a esteira DevOps.


Automação + serviço: onde entra gente de carne e osso

Automação brilha no volume e na consistência. Mas:

  • Pen test ainda pede criatividade humana e hipótese.

  • Threat modeling e análise de arquitetura se beneficiam de contexto organizacional.

  • Gestão de crise requer experiência e liderança.

A proposta da Clavis é produto + serviço: o Otto acelera e organiza, enquanto o time especialista atua onde a máquina não enxerga.


Conversando com o negócio: tradução simultânea de risco

Boa parte da dor está na comunicação. O CRO vive a fronteira entre receita, confiança e conformidade. O Otto ajuda a responder perguntas que o board realmente faz:

  • Qual é nosso score de risco hoje e qual a projeção em 90 dias?

  • O que precisamos mitigar primeiro para reduzir a exposição em X%?

  • Quais fornecedores puxam nosso risco para cima e por quê?

  • Qual o custo de oportunidade de aceitar este risco por um trimestre?

Com respostas comparáveis mês a mês, a segurança entra no ciclo de decisão executiva sem drama.


Quem deve ler/ouvir este conteúdo

  • Líderes de Segurança/Infra/Plataformas que precisam mostrar resultado.

  • Times DevOps/DevSecOps que querem reduzir débito de configuração.

  • Compras/Legal envolvidos em avaliação de terceiros.

  • Executivos que precisam traduzir risco em decisão de negócio.


Perguntas que o Otto ajuda a responder

  • Quais vulnerabilidades realmente importam esta semana?

  • Onde estamos expostos à internet sem necessidade?

  • Qual é o risco agregado por unidade de negócio?

  • Qual fornecedor não está cumprindo SLAs de correção?

  • O que podemos aceitar/transferir/mitigar hoje?


Checklist prático para levar amanhã

  1. Mapeie fontes de verdade: inventário, scanners, EDR, cloud, CI/CD.

  2. Conecte essas fontes em uma camada de inteligência (como o Otto).

  3. Defina critérios de score com negócio (impacto, probabilidade, exposição).

  4. Priorize top 10 riscos por trimestre com dono e prazo.

  5. Integre a fila de segurança ao fluxo DevOps (pull requests, pipelines).

  6. Monitore fornecedores com evidências objetivas e gatilhos de reavaliação.

  7. Reporte em linguagem executiva: risco financeiro evitado, tendência, foto e filme.



Se você curtiu o tema, compartilhe com o time e conte pra gente no que uma IA brasileira pode acelerar na sua operação. O próximo sprint de segurança pode ser o mais eficaz do ano.

Participe de nosso programa de acesso antecipado e tenha um ambiente mais seguro em instantes! https://getup.io/zerocve

🎧 Ouça também o Kubicast no Spotify, e compartilhe com todas as pessoas que acham que o Otto é aquele cantor BR :D

Social

Fale conosco

comercial@getup.io

Almeda Campinas 802, CJ 12, Jardim Paulista,

São Paulo - SP, 01404-001

Faça parte do time

jobs@getup.io

Nossos conteúdos

Kubicast

Blog

Copyright © Getup

Políticas de privacidade

Políticas de cookies

Termos de uso

Social

Fale conosco

comercial@getup.io

Almeda Campinas 802, CJ 12, Jardim Paulista,

São Paulo - SP, 01404-001

Faça parte do time

jobs@getup.io

Nossos conteúdos

Kubicast

Blog

Copyright © Getup

Políticas de privacidade

Políticas de cookies

Termos de uso

Social

Fale conosco

comercial@getup.io

Almeda Campinas 802, CJ 12, Jardim Paulista,

São Paulo - SP, 01404-001

Faça parte do time

jobs@getup.io

Nossos conteúdos

Kubicast

Blog

Copyright © Getup

Políticas de privacidade

Políticas de cookies

Termos de uso

Chat on Whatsapp

Chat on Whatsapp

Reduza CVEs em mais de 90%: participe do nosso programa de acesso antecipado!

Reduza CVEs em mais de 90%: participe do nosso programa de acesso antecipado!

Reduza CVEs em mais de 90%: participe do nosso programa antecipado!