O Manifesto do Construtor: A Nova Era da Cibersegurança e o Futuro da TI
Um artigo provocador que analisa as mudanças radicais na cibersegurança e na tecnologia da informação, prevendo o fim de modelos tradicionais e a ascensão de novas abordagens baseadas em velocidade, dados e plataformas de colaboração. O autor explora a desvalorização do código, a importância de dados e confiança, e o surgimento de novas identidades digitais.
MundiX News·01 de maio de 2026·15 min de leitura·👁 1 views
sgordey
8 minutos atrás
O Manifesto do Construtor
Simples
14 min
159
Segurança da Informação
*
Desenvolvimento de Startup
Inteligência Artificial
Opinião
A Ciberindústria em um mundo onde o código não vale nada*
Mais um
agente
hoje.
Isso está em todo o Reddit, em cada Telegram. "Eu construí no fim de semana". "Ele encontrou um 0-day". "Ele escreve código melhor". Capturas de tela, demos, deleite, pânico.
Quando no final dos anos 80, estávamos executando bonecos ASCII em vastos campos de terminais verdes, em asm e focal, ninguém pensou que isso se tornaria uma indústria de trilhões. Nós só queríamos que a máquina nos obedecesse, e não o contrário.
Agora ela obedece a si mesma. E não somos nós que estabelecemos as regras. As regras nos estabelecem.
Vamos descobrir.
Diagnóstico básico
O código parou de ser um valor. Tornou-se um material. Como conchas de cowrie costumavam ser moeda em três continentes, depois se tornaram areia nas praias, e a areia se tornou silício, do qual agora fazemos chips. Só que com o código, todo o ciclo levou não milênios, mas uma dezena de anos.
Todos fazem isso. Alguém de forma brilhante e ostensiva, filmando-se em vídeo. Alguém ainda envergonhado da palavra "vibecoding". Alguém cuidadosamente experimentando em projetos paralelos. Quem não faz - já não está na indústria. Um solitário com agentes em um mês e algumas centenas de dólares reúne o que antes levava uma equipe de 25 pessoas e dois anos. Isso não é uma previsão. Esta é a realidade de produção em que já vivemos.
Segue-se uma conclusão desagradável. O valor do fornecedor não está mais em "saber escrever um produto". Todos sabem escrever. O valor agora está em outra coisa: dados, confiança, distribuição, pontos nodais, a velocidade de empacotar as ideias de outras pessoas, a capacidade de transformar um zoológico de oportunidades em um produto de trabalho.
Um no campo - novamente um guerreiro. Cada pessoa com cérebro e mãos agora é CEO, P&D, QA e marketing em uma só pessoa. A indústria que não percebeu isso já é um cadáver. Só que ainda não cheira muito.
Brevemente sobre as vítimas
O pentest se tornará um botão, com raras explosões de especialistas em lógica de negócios e física.
Bug bounty se tornará ou uma esteira de auto-triagem ou uma área premium para nulos. Não haverá meio termo. O 1-day será aspirado por robôs.
Analista SOC, escritor de assinaturas - a última geração da profissão. Não é automatizado. Desaparece.
A TI/SI corporativa deixará de ser um departamento que compra brinquedos caros para dizer "NÃO". Tornar-se-á uma plataforma na qual os funcionários constroem soluções para suas próprias tarefas. Shadow IT é legalizado como produção.
A gerência média, cujo trabalho é rotear o status entre as camadas, não é mais necessária. O RH ainda não foi formalizado. E o próprio RH também está na fila para ser formalizado.
Pay-by-volume como modelo de negócios - tudo. De SIEM a DLP, de CASB a PAM. Pagar por gigabytes em um mundo onde um agente descarta 80% do ruído em tempo real - é suicídio com um atraso.
Quem sobrevive
Três arquétipos sobrevivem. Todo o resto é comprimido para zero ou consolidado em um desses três.
Infraestrutura cara.
Nuvem, proteção DDoS no nível da rede principal, infraestrutura de telecomunicações, hardware certificado. E sim, e interceptação legal. Ele brincou e chorou. A lógica é simples: os agentes barateiam o software, mas não barateiam data centers, peering, scrubbing em dezenas de terabits e relacionamentos com o regulador. Quanto maior a barreira para os custos de capital e mais densa a regulamentação, mais segura a nicho. Os grandes players vivem, apenas se consolidam mais rigidamente. Os pequenos - se rendem ou são comprados.
Ponto nodal,
CUPS,
através do qual o tráfego, identidade, políticas, execução de decisões passam. Em um mundo de código barato, a própria lógica é copiada em uma semana. Aquele que se senta no nó vive mais - no ponto onde a decisão não é apenas tomada, mas também aplicada. Se você não está no nó - você é um recurso de outro CUPS, só que ainda não sabe disso.
"Cérebros na caixa" para B2B/B2G.
Uma plataforma confiável na qual os agentes já estão vinculados à identidade, conformidade, auditoria, seguro e certificação. Empresas e o setor público não comprarão agentes a granel. Eles não aceitarão "traga sua chave de API para a nuvem" - nem o regulador, nem o conselho de administração, nem a seguradora. Eles comprarão uma caixa que pode ser processada.
A janela para interceptar este nicho está aberta por mais 2-3 anos. Depois disso, o mercado será fechado por vários vencedores por país. Na Rússia, China, Índia, Brasil, no Oriente Médio - cada grande mercado terá seus 10-15 campeões regionais. Esta é uma janela existencial direta para todos que são capazes de ocupá-la agora.
A metade morre.
O fornecedor de produtos clássico para 200-2000 pessoas com um plano de desenvolvimento de três anos vendendo caixas por meio de distribuição está morrendo primeiro. Ele não é tão flexível quanto um solitário e não é tão intensivo em capital quanto a infraestrutura. Ele não tem proteção regulatória nem seus próprios dados. Ele só tem um produto, que agora é montado em um trimestre.
Este é um obituário a prestações.
Steam para SI
Em um mundo onde o pentest é feito em uma noite, e o verificador de conformidade - em dois, uma nova categoria de escassez aparece.
O custo da implementação.
O agente de código escreverá. O analisador reunirá. O detector treinará. E enfiar isso no contorno corporativo - três meses no mínimo. Aquisição. Integração. SLA e contrato. Aceitação por regulamento. Treinamento de operadores. Adaptação a uma pilha específica. E isso se você tiver sorte e o cliente não tiver um contorno certificado.
Esta delta - do produto em funcionamento ao produto em funcionamento em batalha - é a principal barreira restante. Não o código. Compatibilidade com a organização de alguém.
Deste modo, uma nova forma de ponto nodal. Não "outra plataforma". Mas
Steam para SI
um ambiente no qual a implementação de um novo módulo - dois botões, e não um projeto trimestral. A identidade é herdada da plataforma. O SLA é herdado. O fluxo de dados é herdado. A certificação é herdada. O operador não aprende uma nova interface. A aquisição - uma vez, para a plataforma, então pagamentos pelo uso.
Quem construir essa camada primeiro em um contorno regulamentado - leva não o mercado de um produto. Leva o direito de ser o ponto de entrada para todos os outros. Este é o CUPS em sua forma madura: do lado de fora - uma vitrine para o cliente, por dentro - um ambiente para os construtores que trazem "habilidades", "pensamentos", "soluções". Eles se conectam por meio de um barramento unificado, políticas e auditoria.
O fornecedor do futuro não é uma fábrica de recursos. É uma redação de um blog coletivo que resolve a tarefa que nenhum agente reunirá em um fim de semana:
a tarefa de ser ouvido.
O retorno dos mortos-vivos
Três arquétipos sobrevivem. Três outros - zumbis. Economicamente mortos, clinicamente ainda respirando, financeiramente trazendo dividendos. AV/EDR, NGFW, SIEM - três vacas de ouro do orçamento de SI. Eles sobreviverão como infraestrutura. Eles morrerão como produtos. A diferença é fundamental.
O AV de assinatura clássico está tecnicamente morto há dez anos, mas vive porque o regulador exige, o seguro exige, o regulamento exige. Remova o regulador - 30% do mercado evaporará em um ano. EDR sem agente - um depósito de alertas. EDR com um agente - uma plataforma que fecha 80% dos incidentes por conta própria.
Enquanto os fornecedores de AV/EDR estão medindo quem decompõe melhor os binários no dispositivo, as entidades que farão qualquer coisa - estão se instalando nos mesmos dispositivos - basta pedir.Este é um grande problema separado. E uma grande oportunidade.
NGFW sobrevive como infraestrutura - ninguém cancelou a física, os pacotes precisam ser transferidos na velocidade do canal. Mas a indústria ao seu redor - todas essas sobreposições de gerenciamento de políticas, consultoria wireshark, que por anos venderam "gerenciamento do que uma pessoa já não entende" - está morta. Um agente faz em uma hora o que foi vendido como um projeto de um ano. Escreve regras em tempo real, uma pessoa aprova a diferença. Se não for preguiçoso.
SIEM - a vaca mais dolorosa. Tecnicamente - um depósito de logs com expressões regulares vendidas como "perícia especializada". Economicamente - um dos segmentos mais gordos do orçamento de SI. Todos que o exploram odeiam sinceramente. O modelo pay-by-volume entra em conflito fundamentalmente com os agentes: o fornecedor ganha dinheiro com o fato de que eles despejam mais, o agente faz com que eles despejem exatamente o que é necessário. Esses modelos são incompatíveis. Ou o SIEM é reinventado como
outcome-based
"pago pelo incidente capturado", ou se torna um mainframe de 2005 - ainda vivo, ainda necessário para bancos e governos, mas esta é a inércia, não o futuro.
Lógica geral dos zumbis.
Todas as três vacas são mantidas pela inércia regulatória, inércia organizacional e inércia orçamentária. Cada um desses suportes está se tornando mais fino em tempo real. No futuro previsível, o regulador permitirá a conformidade autônoma contínua, e todo o valor de certificação acumulado será zerado em alguns anos. Os fornecedores, confiantes de que "o certificado nos salvará" - estão taticamente certos e estrategicamente mortos.
Zumbis - não é uma sentença, é uma posição inicial.
As vacas têm tudo o que os novos players não têm: clientes, distribuição, certificação, hábito de compra, laminaria. Falta uma coisa - cérebro. Os cérebros são comprados em um trimestre por meio de um modelo de mercado, se a vaca estiver viva o suficiente para perceber seu diagnóstico. Quem primeiro reempacotar seu "legado" de muitos anos em uma "caixa com cérebros conectáveis" - leva a plataforma, que os novos não construirão em dez anos. Quem adicionar um "assistente de IA" cosmeticamente - em cinco anos descansará em livros didáticos "como perder o mercado, tendo tudo para a vitória".
A escolha é simples: reinventar-se em 2-3 anos ou tornar-se o próximo BlackBerry. BlackBerry, aliás, também trouxe dinheiro até o fim. Então parou.
Identidade: cresce, mas para de entender quem protege
A identidade é o único dos segmentos "antigos" que certamente sobrevive e cresce. Este é o CUPS em sua forma pura: tudo passa pela identidade, tudo é atribuído pela identidade, tudo é gerenciado pela identidade. O mercado está dobrando e continuará a crescer nos próximos anos sem nenhum heroísmo por parte dos fornecedores.
Mas dentro desse mercado em crescimento, há uma catástrofe silenciosa sobre a qual ninguém fala em voz alta.
Seu CAPTCHA por $20K por mês é contornado por qualquer bot com um monte de proxies gratuitos.
A detecção de bots - uma corrida armamentista perdida. A impressão digital do dispositivo é contornada. A biometria comportamental será quebrada por agentes no próximo ciclo - não porque a proteção seja ruim, mas porque os agentes aprenderam a imitar uma pessoa melhor do que a pessoa média sabe provar que é uma pessoa. Esta é a shrinkflation do benefício no piloto automático.
Este é um sintoma, não uma doença. A doença é mais profunda. A identidade foi historicamente construída em torno de uma suposição: há uma pessoa por trás da ação. Ruim ou bom, autorizado ou não, mas uma pessoa. Todo o modelo de ameaças, toda a conformidade, toda a auditoria - sobre uma pessoa humana. Agora, por trás de metade das ações, não há uma pessoa, mas um agente que age em nome de uma pessoa, em nome de outro agente, em nome de um serviço, ou por conta própria.
Conta de serviço - muito estática, muito privilegiada. O token OAuth não fornece uma compreensão, a ação foi executada pelo próprio usuário ou por um agente em seu nome. A chave da API - não suporta cadeias de delegação de agente para agente para agente. Nenhum dos primitivos existentes fecha a tarefa "o agente X age em nome da pessoa Y no escopo Z no TTL T minutos, com a possibilidade de subdelegação e auditoria completa de cada etapa na cadeia". Alguém disse blockchain?
Esta é uma lacuna em uma categoria separada, que ainda não existe -
Agent Identity & Access Management.
Ela está entre IAM e PAM. Não há líder claro. Na Rússia, ninguém se mexe. A janela está aberta - um ano e meio, então ela se fechará, como qualquer categoria de identidade, por dois ou três vencedores. Aquele que primeiro lançar um Agent IAM certificado para o contorno corporativo, com um modelo que a FSTEC aceitará - receberá uma posição que ninguém comerá em dez anos.
E o que os reguladores pensam
As regulamentações modernas, todas, sem exceção, são escritas no paradigma "um ator = uma pessoa". Esta não é uma restrição, é uma suposição básica, costurada nos termos.
PCI DSS
exige identificação exclusiva de cada pessoa com acesso a dados de pagamento. E não uma pessoa?
NIST SP 800-63
um excelente padrão, mas totalmente construído no modelo "assinante = pessoa humana".
FSTEC, Banco Central da Federação Russa
trabalham com os termos "usuário", "sujeito de acesso", onde o sujeito é presumido ser uma pessoa. GOST 57580 exige MFA para infraestrutura crítica - quando você tem 500 agentes fazendo operações de pagamento, MFA perde o sentido operacional.
EU AI Act, CISA, reguladores asiáticos
exatamente a mesma coisa, apenas com especiarias locais. Todos sabem que há um problema. Ninguém tem requisitos operacionais.
Nenhum grande regulador está pronto para um mundo onde metade das identidades não são humanas.
Isso cria dois processos paralelos, e ambos são perigosos.
O primeiro -
teatro do absurdo regulatório
. As organizações estão puxando os requisitos de 2010 para a realidade de 2026. Os agentes são formalizados como contas de serviço, as cadeias de delegação não são registradas, o auditor não sabe o que perguntar, o CISO não sabe o que responder. Todos fingem. Isso continuará até o primeiro incidente alto. Depois - regulamentação de pânico, escrita em uma semana e mal compatível com a realidade.
O segundo -
batalha pelo padrão
. Aquele fornecedor que chegar primeiro ao regulador com um modelo pronto, um dicionário, um procedimento de auditoria - escreverá a regulamentação sob sua visão, produto. A janela para esta jogada - agora. Na Rússia, é especialmente amplo: a FSTEC e o Banco Central da Federação Russa amam metodologias específicas, e não princípios abstratos. Quem trouxer o manual - ganhou a categoria. Quem esperar pela "posição oficial" - perdeu.
Vamos imaginar que em alguns anos o regulador aceite um relatório de um scanner autônomo certificado como válido para a análise anual de segurança. Isso não é mais ficção - esta é uma consequência direta do fato de que o regulador ama manuais. Quem trouxer o primeiro manual - ganhou a categoria. Quem esperar pela "posição oficial" - perdeu.
Em 3 anos, qualquer auditoria de SI que não faça a pergunta "mostre-me o inventário de suas identidades de agente, poderes e logs" - não é uma auditoria, mas um ritual. Em mais alguns anos, a ausência de Agent IAM no contorno da infraestrutura crítica - "um pau na administração", como agora a ausência de MFA.
A nova física de M&A
A corpdv clássica é mantida em uma suposição: o alvo não tem alternativas, então ele esperará. Esperará até que o analista releia o deck de pitch pela segunda vez. Até que os advogados negociem garantias por três meses. Até que o Big4 escreva em 400 horas de faturamento que a receita realmente é receita e foi recebida. Até que o comitê de investimento se reúna no próximo trimestre porque férias. Até que você negocie um earn-out por três anos, sujeito à preservação de pessoas-chave, que você mesmo expulsará por meio de "ajuste cultural" no terceiro mês.
Esta suposição não funciona mais.
O alvo agora tem alternativas. Uma equipe de três pessoas faz um produto muito bom em 90 dias. Em 90 dias, ela tem demanda viva ou não tem. Se tiver - já foi comprada por outra pessoa, enquanto você concordava com o escopo do trabalho com o auditor. Se não tiver - você pagou seis meses de trabalho corpdv por um ativo que o mercado já enterrou.
Você não define mais o preço. Você é um comprador atrasado em uma feira que fecha em uma hora.
A devida diligência como ritual está morrendo. Não porque não seja necessária, mas porque não pode levar seis meses. Se sua equipe não tomar a decisão "compramos / fazemos parceria / incorporamos / matamos" em três semanas - você comprará o que ninguém precisa mais. Ao preço que o vendedor definir, porque ele tem segundos e terceiros compradores com a mesma velocidade de decisão e também não tiveram tempo.
A avaliação por DCF em um horizonte de cinco anos para uma startup montada em um trimestre - é um circo. Ninguém sabe se essa capacidade será relevante em um ano, para não falar em cinco. Você paga um prêmio pela ilusão de que seu analista entende melhor o futuro do que o mercado. Ele não entende. O mercado entende mais rápido, porque o mercado são milhares de experimentos paralelos, e não um Excel.
Earn-out por três anos - é um insulto ao fundador, que em seis meses reuniu mais do que sua equipe de produto em um ano. Ele não ficará por três anos em sua gaiola corporativa. Ele sairá no nono mês, reunirá o próximo e o venderá para seu concorrente. Non-compete por 24 meses - ainda mais engraçado. Enquanto seus advogados se alegram por terem protegido o IP, o fundador bifurcou a ideia, mudou cinco palavras, reescreveu em outro idioma e lançou sob outra marca um mês após o fechamento do negócio.
Se seu corpdv leva mais de 30 dias desde o primeiro contato até o term sheet - você não está no jogo. Você é uma bunda cara que ama slides. Enquanto você contrata o Big4 por $500K para obter uma avaliação, à qual você ainda não prestará atenção, o alvo ou voa para a lua por meio de outro comprador, ou prova sua própria inviabilidade - e você aprende sobre isso no Twitter, e não no relatório de due diligence.
Se sua integração leva mais de 90 dias - você comprou não um ativo, mas sua sombra.
Se você compra para "não deixar o concorrente comprar" - você compra medo, não valor. A compra de bloqueio funciona por três meses. Então aparece um clone, e seus 50 milhões se transformam em uma exposição de museu.
A cibersegurança como streaming
M&A sem M&A e P&D sem P&D
A solução para este paradoxo é transferir a lógica de bug bounty para M&A ou, se quiser, - streaming de música.
No novo mundo, o fornecedor enfrenta um problema de largura de banda. 500 pitches por trimestre, corpdv de três pessoas, os engenheiros não têm tempo para integrar nem mesmo o que foi comprado. A esteira clássica quebra com o volume. Mas este problema já foi resolvido no lado ofensivo: há cem vezes mais pesquisadores do que a equipe de redteam pode contratar, e o modelo de recompensa permite obter resultados sem contratar.
Transferimos a lógica. Equipes externas, solitários com agentes, pequenas startups, forkers de código aberto - estes são pesquisadores. Eles trazem um módulo ou protótipo pronto. A plataforma é um programa de recompensa.
Tier 0 - envio.
Pacote mínimo: manifesto, testes, demo na areia, licença. Segurança e conformidade automáticas, ironia - por agentes. A decisão de "deixar entrar ou não" em 72 horas, e não em seis meses.
Tier 1 - mercado na areia.
O módulo está disponível para os clientes em visualização. Dinheiro para uso. Nenhum adiantamento. Toda a economia na retenção e no uso real. Prove-se pelos usuários, e não por slides.
Tier 2 - curadoria.
De acordo com as métricas de retenção e resultados, o módulo entra na camada classificada. Contrato estendido, marketing, incorporação no fluxo principal.
Tier 3 - absorvemos.
O módulo, que se provou em 6-12 meses - é um candidato a M&A. Mas esta já não é uma transação em slides. A devida diligência é feita pelo mercado. O preço é determinado pelos dados, e não pela história no deck de pitch.
Tier -1 - o crepúsculo.
Tudo o que não reuniu seus fãs - é automaticamente arquivado. Não "tomamos uma decisão estratégica", mas "o mercado não confirmou".
Sim, você será dominado pela onda. Esta é uma característica, não um bug. Você precisa de uma triagem rápida, uma esteira para afogar o fracassado, flutuar o útil. Isso não é mais fácil do que o M&A clássico, é diferente. Onde o clássico - é lento, caro e exclusivo, este - é rápido, barato e distribuído. A devida diligência é transferida para os clientes. O fracasso é visível em três meses, e não em três anos. A contabilidade é embutida no modelo, e não é costurada por relatórios a posteriori.
Pedras no caminho, sobre as quais é preciso dizer honestamente. O problema da confiança - muitos são admitidos na caixa de areia, e para produtos de SI isso é especialmente perigoso. É resolvido por isolamento rígido, reprodução do antigo e despersonalizado, atribuição criptográfica e um gráfico de reputação. Vazamento de dados - o provedor do módulo vê a telemetria do cliente, sem os contratos corretos isso é uma catástrofe. Batalha pelas métricas - assim que as métricas aparecem, aparecem os enroladores, é necessário um design sustentável desde o início. Legais e IP - contratos padronizados, caso contrário, o inferno jurídico. Mas é a padronização dessas coisas e processos que é o principal investimento da plataforma.
O que isso significa
A pirâmide se inverte: em vez de 20 juniores e 2 seniores - 2 seniores e 20 agentes. Para onde ir para os juniores - é uma questão separada, para a qual ninguém tem uma resposta ainda. As pessoas que em 2024 decidiram entrar em TI, entraram na profissão. Ele brincou e chorou.
O que fazer agora
Parar de construir planos de desenvolvimento de três anos. Mudar para 60-90 dias para uma hipótese, 6 meses para provar a demanda, então ou dimensionamento, ou morte.
Parar de vender recursos. Vender benefícios, detecções, descobertas, um ponto nodal ou uma caixa confiável. Se você não está no nó e não é um contêiner regulamentado e certificado - você é um recurso do produto de outra pessoa.
Construir um mercado interno com bounty M&A. Não em um ano, mas no próximo trimestre. Porque em um ano seu nicho já será ocupado.
Contratar curadores de plataformas e construtores, e não escritores de código. O fornecedor do futuro - o proprietário da plataforma, aquele que traz benefícios comprovados, e não uma esteira de recursos.
Investir em dados, verdade terrena, telemetria, incidentes marcados. Esta é a única coisa que o agente não gerará em um fim de semana. Por enquanto.
Prepare-se para a regionalização. No mercado B2B/B2G, o mercado se fragmenta por contornos nacionais. Quem primeiro reunir a caixa confiável regional - recebe uma posição que ninguém comerá em dez anos. Quem se atrasar - não entrará nunca.
Parar de comprar e vender medo. As transações de bloqueio agora funcionam por três meses e custam dezenas de milhões.
E agora para você, outros fornecedores de TI
Analisamos o exemplo de SI não porque SI é mais interessante. Mas porque SI é o primeiro a receber na cabeça: ciclos de dor mais curtos, clientes mais zangados, do outro lado das barricadas não um contador, mas um invasor experiente, reguladores mais rígidos. O que chegará em SI em 2026, chegará ao resto da TI. Está prestes a chegar.
Se você leu tudo isso e pensou "felizmente, não temos cyber" - eu nem estou rindo.
Em observabilidade, DevTools, DataOps, CRM, ERP, fluxo de documentos, BI, HR-tech - tudo a mesma coisa, apenas com um atraso de 12-18 meses. Seu plano de três anos já é um cadáver. Seu processo corpdv de seis meses - já é um cadáver. Sua "base de código única" - já é areia. Seu segmento entre solitários e hiperescaladores - já está em extinção, só que você ainda não vê isso nos relatórios trimestrais.
Equipes pequenas constroem CRM em um trimestre. Cinco constroem ERP para uma vertical estreita ou um cliente em seis meses. Eles não "competem" com você - eles levam um cliente por mês nos segmentos que você considerava muito pequenos para olhar. Em dois anos, você descobrirá que seu mercado encolheu pela metade, e a culpa não será a "conjunção econômica".
Este não é o fim da indústria
Este é seu retorno às origens.
Quando em 95 discamos para BBS e nos sentíamos criminosos, quando escrevíamos cheques sob SATAN para Nimda, Code Red, Slammer - não o fizemos porque alguém aprovou o orçamento, não porque havia um plano, não porque o marketing conduziu uma análise de mercado.
Nós fizemos isso porque podíamos.
Porque era
curioso
.
Porque vimos o problema - e tínhamos mãos e cérebros.
A indústria de SI - e toda a TI atrás dela - cresceu a partir dessa "curiosidade". Então ela cresceu com processos, planos trimestrais, comitês de investimento, devida diligência de seis meses, comitês de arquitetura, certificações ISO para os processos de escrita de documentação sobre os processos de escrita de documentação. Tudo isso é necessário, desde que ajude a construir. Exatamente até o momento em que começa a interferir.
Agora - esse é o momento.
Uma pessoa com uma ideia e algumas centenas de dólares tem mais oportunidades do que seu departamento de P&D para 200 engenheiros. Não porque ele seja mais esperto. Porque ele não gasta 80% do tempo em aprovações, revisões e "sincronização com as partes interessadas". Ele não tem aprovadores. Ele tem um problema, uma ferramenta e uma noite. Ele mesmo detém sua participação.
As regras da nova indústria - são as velhas regras que você esqueceu.
Construa o que resolve um problema real. Não o que caiu no quadrante mágico ou no krung trágico. Não o que passou pelo comitê de investimento. O que o cliente precisa.
Cultive, não cultive.
Compre velocidade.
Mate o que não funciona.
Mate rápido. Mas esteja preparado para que ele volte.
Devolva a palavra final àqueles que constroem, e não àqueles que somam o Excel para a próxima reunião.
Eu sou um construtor. E este é o meu manifesto.
*kinot no phdays que não haverá
Tags:
cibersegurança
fusões e aquisições
manifesto
inteligência artificial
Hubs:
Segurança da Informação
Desenvolvimento de Startup
Inteligência Artificial
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
sgordey
8 minutos atrás
O Manifesto do Construtor
Simples
14 min
159
Segurança da Informação
*
Desenvolvimento de Startup
Inteligência Artificial
Opinião
A Ciberindústria em um mundo onde o código não vale nada*
Mais um
agente
hoje.
Isso está em todo o Reddit, em cada Telegram. "Eu construí no fim de semana". "Ele encontrou um 0-day". "Ele escreve código melhor". Capturas de tela, demos, deleite, pânico.
Quando no final dos anos 80, estávamos executando bonecos ASCII em vastos campos de terminais verdes, em asm e focal, ninguém pensou que isso se tornaria uma indústria de trilhões. Nós só queríamos que a máquina nos obedecesse, e não o contrário.
Agora ela obedece a si mesma. E não somos nós que estabelecemos as regras. As regras nos estabelecem.
Vamos descobrir.
Diagnóstico básico
O código parou de ser um valor. Tornou-se um material. Como conchas de cowrie costumavam ser moeda em três continentes, depois se tornaram areia nas praias, e a areia se tornou silício, do qual agora fazemos chips. Só que com o código, todo o ciclo levou não milênios, mas uma dezena de anos.
Todos fazem isso. Alguém de forma brilhante e ostensiva, filmando-se em vídeo. Alguém ainda envergonhado da palavra "vibecoding". Alguém cuidadosamente experimentando em projetos paralelos. Quem não faz - já não está na indústria. Um solitário com agentes em um mês e algumas centenas de dólares reúne o que antes levava uma equipe de 25 pessoas e dois anos. Isso não é uma previsão. Esta é a realidade de produção em que já vivemos.
Segue-se uma conclusão desagradável. O valor do fornecedor não está mais em "saber escrever um produto". Todos sabem escrever. O valor agora está em outra coisa: dados, confiança, distribuição, pontos nodais, a velocidade de empacotar as ideias de outras pessoas, a capacidade de transformar um zoológico de oportunidades em um produto de trabalho.
Um no campo - novamente um guerreiro. Cada pessoa com cérebro e mãos agora é CEO, P&D, QA e marketing em uma só pessoa. A indústria que não percebeu isso já é um cadáver. Só que ainda não cheira muito.
Brevemente sobre as vítimas
O pentest se tornará um botão, com raras explosões de especialistas em lógica de negócios e física.
Bug bounty se tornará ou uma esteira de auto-triagem ou uma área premium para nulos. Não haverá meio termo. O 1-day será aspirado por robôs.
Analista SOC, escritor de assinaturas - a última geração da profissão. Não é automatizado. Desaparece.
A TI/SI corporativa deixará de ser um departamento que compra brinquedos caros para dizer "NÃO". Tornar-se-á uma plataforma na qual os funcionários constroem soluções para suas próprias tarefas. Shadow IT é legalizado como produção.
A gerência média, cujo trabalho é rotear o status entre as camadas, não é mais necessária. O RH ainda não foi formalizado. E o próprio RH também está na fila para ser formalizado.
Pay-by-volume como modelo de negócios - tudo. De SIEM a DLP, de CASB a PAM. Pagar por gigabytes em um mundo onde um agente descarta 80% do ruído em tempo real - é suicídio com um atraso.
Quem sobrevive
Três arquétipos sobrevivem. Todo o resto é comprimido para zero ou consolidado em um desses três.
Infraestrutura cara.
Nuvem, proteção DDoS no nível da rede principal, infraestrutura de telecomunicações, hardware certificado. E sim, e interceptação legal. Ele brincou e chorou. A lógica é simples: os agentes barateiam o software, mas não barateiam data centers, peering, scrubbing em dezenas de terabits e relacionamentos com o regulador. Quanto maior a barreira para os custos de capital e mais densa a regulamentação, mais segura a nicho. Os grandes players vivem, apenas se consolidam mais rigidamente. Os pequenos - se rendem ou são comprados.
Ponto nodal,
CUPS,
através do qual o tráfego, identidade, políticas, execução de decisões passam. Em um mundo de código barato, a própria lógica é copiada em uma semana. Aquele que se senta no nó vive mais - no ponto onde a decisão não é apenas tomada, mas também aplicada. Se você não está no nó - você é um recurso de outro CUPS, só que ainda não sabe disso.
"Cérebros na caixa" para B2B/B2G.
Uma plataforma confiável na qual os agentes já estão vinculados à identidade, conformidade, auditoria, seguro e certificação. Empresas e o setor público não comprarão agentes a granel. Eles não aceitarão "traga sua chave de API para a nuvem" - nem o regulador, nem o conselho de administração, nem a seguradora. Eles comprarão uma caixa que pode ser processada.
A janela para interceptar este nicho está aberta por mais 2-3 anos. Depois disso, o mercado será fechado por vários vencedores por país. Na Rússia, China, Índia, Brasil, no Oriente Médio - cada grande mercado terá seus 10-15 campeões regionais. Esta é uma janela existencial direta para todos que são capazes de ocupá-la agora.
A metade morre.
O fornecedor de produtos clássico para 200-2000 pessoas com um plano de desenvolvimento de três anos vendendo caixas por meio de distribuição está morrendo primeiro. Ele não é tão flexível quanto um solitário e não é tão intensivo em capital quanto a infraestrutura. Ele não tem proteção regulatória nem seus próprios dados. Ele só tem um produto, que agora é montado em um trimestre.
Este é um obituário a prestações.
Steam para SI
Em um mundo onde o pentest é feito em uma noite, e o verificador de conformidade - em dois, uma nova categoria de escassez aparece.
O custo da implementação.
O agente de código escreverá. O analisador reunirá. O detector treinará. E enfiar isso no contorno corporativo - três meses no mínimo. Aquisição. Integração. SLA e contrato. Aceitação por regulamento. Treinamento de operadores. Adaptação a uma pilha específica. E isso se você tiver sorte e o cliente não tiver um contorno certificado.
Esta delta - do produto em funcionamento ao produto em funcionamento em batalha - é a principal barreira restante. Não o código. Compatibilidade com a organização de alguém.
Deste modo, uma nova forma de ponto nodal. Não "outra plataforma". Mas
Steam para SI
um ambiente no qual a implementação de um novo módulo - dois botões, e não um projeto trimestral. A identidade é herdada da plataforma. O SLA é herdado. O fluxo de dados é herdado. A certificação é herdada. O operador não aprende uma nova interface. A aquisição - uma vez, para a plataforma, então pagamentos pelo uso.
Quem construir essa camada primeiro em um contorno regulamentado - leva não o mercado de um produto. Leva o direito de ser o ponto de entrada para todos os outros. Este é o CUPS em sua forma madura: do lado de fora - uma vitrine para o cliente, por dentro - um ambiente para os construtores que trazem "habilidades", "pensamentos", "soluções". Eles se conectam por meio de um barramento unificado, políticas e auditoria.
O fornecedor do futuro não é uma fábrica de recursos. É uma redação de um blog coletivo que resolve a tarefa que nenhum agente reunirá em um fim de semana:
a tarefa de ser ouvido.
O retorno dos mortos-vivos
Três arquétipos sobrevivem. Três outros - zumbis. Economicamente mortos, clinicamente ainda respirando, financeiramente trazendo dividendos. AV/EDR, NGFW, SIEM - três vacas de ouro do orçamento de SI. Eles sobreviverão como infraestrutura. Eles morrerão como produtos. A diferença é fundamental.
O AV de assinatura clássico está tecnicamente morto há dez anos, mas vive porque o regulador exige, o seguro exige, o regulamento exige. Remova o regulador - 30% do mercado evaporará em um ano. EDR sem agente - um depósito de alertas. EDR com um agente - uma plataforma que fecha 80% dos incidentes por conta própria.
Enquanto os fornecedores de AV/EDR estão medindo quem decompõe melhor os binários no dispositivo, as entidades que farão qualquer coisa - estão se instalando nos mesmos dispositivos - basta pedir.Este é um grande problema separado. E uma grande oportunidade.
NGFW sobrevive como infraestrutura - ninguém cancelou a física, os pacotes precisam ser transferidos na velocidade do canal. Mas a indústria ao seu redor - todas essas sobreposições de gerenciamento de políticas, consultoria wireshark, que por anos venderam "gerenciamento do que uma pessoa já não entende" - está morta. Um agente faz em uma hora o que foi vendido como um projeto de um ano. Escreve regras em tempo real, uma pessoa aprova a diferença. Se não for preguiçoso.
SIEM - a vaca mais dolorosa. Tecnicamente - um depósito de logs com expressões regulares vendidas como "perícia especializada". Economicamente - um dos segmentos mais gordos do orçamento de SI. Todos que o exploram odeiam sinceramente. O modelo pay-by-volume entra em conflito fundamentalmente com os agentes: o fornecedor ganha dinheiro com o fato de que eles despejam mais, o agente faz com que eles despejem exatamente o que é necessário. Esses modelos são incompatíveis. Ou o SIEM é reinventado como
outcome-based
"pago pelo incidente capturado", ou se torna um mainframe de 2005 - ainda vivo, ainda necessário para bancos e governos, mas esta é a inércia, não o futuro.
Lógica geral dos zumbis.
Todas as três vacas são mantidas pela inércia regulatória, inércia organizacional e inércia orçamentária. Cada um desses suportes está se tornando mais fino em tempo real. No futuro previsível, o regulador permitirá a conformidade autônoma contínua, e todo o valor de certificação acumulado será zerado em alguns anos. Os fornecedores, confiantes de que "o certificado nos salvará" - estão taticamente certos e estrategicamente mortos.
Zumbis - não é uma sentença, é uma posição inicial.
As vacas têm tudo o que os novos players não têm: clientes, distribuição, certificação, hábito de compra, laminaria. Falta uma coisa - cérebro. Os cérebros são comprados em um trimestre por meio de um modelo de mercado, se a vaca estiver viva o suficiente para perceber seu diagnóstico. Quem primeiro reempacotar seu "legado" de muitos anos em uma "caixa com cérebros conectáveis" - leva a plataforma, que os novos não construirão em dez anos. Quem adicionar um "assistente de IA" cosmeticamente - em cinco anos descansará em livros didáticos "como perder o mercado, tendo tudo para a vitória".
A escolha é simples: reinventar-se em 2-3 anos ou tornar-se o próximo BlackBerry. BlackBerry, aliás, também trouxe dinheiro até o fim. Então parou.
Identidade: cresce, mas para de entender quem protege
A identidade é o único dos segmentos "antigos" que certamente sobrevive e cresce. Este é o CUPS em sua forma pura: tudo passa pela identidade, tudo é atribuído pela identidade, tudo é gerenciado pela identidade. O mercado está dobrando e continuará a crescer nos próximos anos sem nenhum heroísmo por parte dos fornecedores.
Mas dentro desse mercado em crescimento, há uma catástrofe silenciosa sobre a qual ninguém fala em voz alta.
Seu CAPTCHA por $20K por mês é contornado por qualquer bot com um monte de proxies gratuitos.
A detecção de bots - uma corrida armamentista perdida. A impressão digital do dispositivo é contornada. A biometria comportamental será quebrada por agentes no próximo ciclo - não porque a proteção seja ruim, mas porque os agentes aprenderam a imitar uma pessoa melhor do que a pessoa média sabe provar que é uma pessoa. Esta é a shrinkflation do benefício no piloto automático.
Este é um sintoma, não uma doença. A doença é mais profunda. A identidade foi historicamente construída em torno de uma suposição: há uma pessoa por trás da ação. Ruim ou bom, autorizado ou não, mas uma pessoa. Todo o modelo de ameaças, toda a conformidade, toda a auditoria - sobre uma pessoa humana. Agora, por trás de metade das ações, não há uma pessoa, mas um agente que age em nome de uma pessoa, em nome de outro agente, em nome de um serviço, ou por conta própria.
Conta de serviço - muito estática, muito privilegiada. O token OAuth não fornece uma compreensão, a ação foi executada pelo próprio usuário ou por um agente em seu nome. A chave da API - não suporta cadeias de delegação de agente para agente para agente. Nenhum dos primitivos existentes fecha a tarefa "o agente X age em nome da pessoa Y no escopo Z no TTL T minutos, com a possibilidade de subdelegação e auditoria completa de cada etapa na cadeia". Alguém disse blockchain?
Esta é uma lacuna em uma categoria separada, que ainda não existe -
Agent Identity & Access Management.
Ela está entre IAM e PAM. Não há líder claro. Na Rússia, ninguém se mexe. A janela está aberta - um ano e meio, então ela se fechará, como qualquer categoria de identidade, por dois ou três vencedores. Aquele que primeiro lançar um Agent IAM certificado para o contorno corporativo, com um modelo que a FSTEC aceitará - receberá uma posição que ninguém comerá em dez anos.
E o que os reguladores pensam
As regulamentações modernas, todas, sem exceção, são escritas no paradigma "um ator = uma pessoa". Esta não é uma restrição, é uma suposição básica, costurada nos termos.
PCI DSS
exige identificação exclusiva de cada pessoa com acesso a dados de pagamento. E não uma pessoa?
NIST SP 800-63
um excelente padrão, mas totalmente construído no modelo "assinante = pessoa humana".
FSTEC, Banco Central da Federação Russa
trabalham com os termos "usuário", "sujeito de acesso", onde o sujeito é presumido ser uma pessoa. GOST 57580 exige MFA para infraestrutura crítica - quando você tem 500 agentes fazendo operações de pagamento, MFA perde o sentido operacional.
EU AI Act, CISA, reguladores asiáticos
exatamente a mesma coisa, apenas com especiarias locais. Todos sabem que há um problema. Ninguém tem requisitos operacionais.
Nenhum grande regulador está pronto para um mundo onde metade das identidades não são humanas.
Isso cria dois processos paralelos, e ambos são perigosos.
O primeiro -
teatro do absurdo regulatório
. As organizações estão puxando os requisitos de 2010 para a realidade de 2026. Os agentes são formalizados como contas de serviço, as cadeias de delegação não são registradas, o auditor não sabe o que perguntar, o CISO não sabe o que responder. Todos fingem. Isso continuará até o primeiro incidente alto. Depois - regulamentação de pânico, escrita em uma semana e mal compatível com a realidade.
O segundo -
batalha pelo padrão
. Aquele fornecedor que chegar primeiro ao regulador com um modelo pronto, um dicionário, um procedimento de auditoria - escreverá a regulamentação sob sua visão, produto. A janela para esta jogada - agora. Na Rússia, é especialmente amplo: a FSTEC e o Banco Central da Federação Russa amam metodologias específicas, e não princípios abstratos. Quem trouxer o manual - ganhou a categoria. Quem esperar pela "posição oficial" - perdeu.
Vamos imaginar que em alguns anos o regulador aceite um relatório de um scanner autônomo certificado como válido para a análise anual de segurança. Isso não é mais ficção - esta é uma consequência direta do fato de que o regulador ama manuais. Quem trouxer o primeiro manual - ganhou a categoria. Quem esperar pela "posição oficial" - perdeu.
Em 3 anos, qualquer auditoria de SI que não faça a pergunta "mostre-me o inventário de suas identidades de agente, poderes e logs" - não é uma auditoria, mas um ritual. Em mais alguns anos, a ausência de Agent IAM no contorno da infraestrutura crítica - "um pau na administração", como agora a ausência de MFA.
A nova física de M&A
A corpdv clássica é mantida em uma suposição: o alvo não tem alternativas, então ele esperará. Esperará até que o analista releia o deck de pitch pela segunda vez. Até que os advogados negociem garantias por três meses. Até que o Big4 escreva em 400 horas de faturamento que a receita realmente é receita e foi recebida. Até que o comitê de investimento se reúna no próximo trimestre porque férias. Até que você negocie um earn-out por três anos, sujeito à preservação de pessoas-chave, que você mesmo expulsará por meio de "ajuste cultural" no terceiro mês.
Esta suposição não funciona mais.
O alvo agora tem alternativas. Uma equipe de três pessoas faz um produto muito bom em 90 dias. Em 90 dias, ela tem demanda viva ou não tem. Se tiver - já foi comprada por outra pessoa, enquanto você concordava com o escopo do trabalho com o auditor. Se não tiver - você pagou seis meses de trabalho corpdv por um ativo que o mercado já enterrou.
Você não define mais o preço. Você é um comprador atrasado em uma feira que fecha em uma hora.
A devida diligência como ritual está morrendo. Não porque não seja necessária, mas porque não pode levar seis meses. Se sua equipe não tomar a decisão "compramos / fazemos parceria / incorporamos / matamos" em três semanas - você comprará o que ninguém precisa mais. Ao preço que o vendedor definir, porque ele tem segundos e terceiros compradores com a mesma velocidade de decisão e também não tiveram tempo.
A avaliação por DCF em um horizonte de cinco anos para uma startup montada em um trimestre - é um circo. Ninguém sabe se essa capacidade será relevante em um ano, para não falar em cinco. Você paga um prêmio pela ilusão de que seu analista entende melhor o futuro do que o mercado. Ele não entende. O mercado entende mais rápido, porque o mercado são milhares de experimentos paralelos, e não um Excel.
Earn-out por três anos - é um insulto ao fundador, que em seis meses reuniu mais do que sua equipe de produto em um ano. Ele não ficará por três anos em sua gaiola corporativa. Ele sairá no nono mês, reunirá o próximo e o venderá para seu concorrente. Non-compete por 24 meses - ainda mais engraçado. Enquanto seus advogados se alegram por terem protegido o IP, o fundador bifurcou a ideia, mudou cinco palavras, reescreveu em outro idioma e lançou sob outra marca um mês após o fechamento do negócio.
Se seu corpdv leva mais de 30 dias desde o primeiro contato até o term sheet - você não está no jogo. Você é uma bunda cara que ama slides. Enquanto você contrata o Big4 por $500K para obter uma avaliação, à qual você ainda não prestará atenção, o alvo ou voa para a lua por meio de outro comprador, ou prova sua própria inviabilidade - e você aprende sobre isso no Twitter, e não no relatório de due diligence.
Se sua integração leva mais de 90 dias - você comprou não um ativo, mas sua sombra.
Se você compra para "não deixar o concorrente comprar" - você compra medo, não valor. A compra de bloqueio funciona por três meses. Então aparece um clone, e seus 50 milhões se transformam em uma exposição de museu.
A cibersegurança como streaming
M&A sem M&A e P&D sem P&D
A solução para este paradoxo é transferir a lógica de bug bounty para M&A ou, se quiser, - streaming de música.
No novo mundo, o fornecedor enfrenta um problema de largura de banda. 500 pitches por trimestre, corpdv de três pessoas, os engenheiros não têm tempo para integrar nem mesmo o que foi comprado. A esteira clássica quebra com o volume. Mas este problema já foi resolvido no lado ofensivo: há cem vezes mais pesquisadores do que a equipe de redteam pode contratar, e o modelo de recompensa permite obter resultados sem contratar.
Transferimos a lógica. Equipes externas, solitários com agentes, pequenas startups, forkers de código aberto - estes são pesquisadores. Eles trazem um módulo ou protótipo pronto. A plataforma é um programa de recompensa.
Tier 0 - envio.
Pacote mínimo: manifesto, testes, demo na areia, licença. Segurança e conformidade automáticas, ironia - por agentes. A decisão de "deixar entrar ou não" em 72 horas, e não em seis meses.
Tier 1 - mercado na areia.
O módulo está disponível para os clientes em visualização. Dinheiro para uso. Nenhum adiantamento. Toda a economia na retenção e no uso real. Prove-se pelos usuários, e não por slides.
Tier 2 - curadoria.
De acordo com as métricas de retenção e resultados, o módulo entra na camada classificada. Contrato estendido, marketing, incorporação no fluxo principal.
Tier 3 - absorvemos.
O módulo, que se provou em 6-12 meses - é um candidato a M&A. Mas esta já não é uma transação em slides. A devida diligência é feita pelo mercado. O preço é determinado pelos dados, e não pela história no deck de pitch.
Tier -1 - o crepúsculo.
Tudo o que não reuniu seus fãs - é automaticamente arquivado. Não "tomamos uma decisão estratégica", mas "o mercado não confirmou".
Sim, você será dominado pela onda. Esta é uma característica, não um bug. Você precisa de uma triagem rápida, uma esteira para afogar o fracassado, flutuar o útil. Isso não é mais fácil do que o M&A clássico, é diferente. Onde o clássico - é lento, caro e exclusivo, este - é rápido, barato e distribuído. A devida diligência é transferida para os clientes. O fracasso é visível em três meses, e não em três anos. A contabilidade é embutida no modelo, e não é costurada por relatórios a posteriori.
Pedras no caminho, sobre as quais é preciso dizer honestamente. O problema da confiança - muitos são admitidos na caixa de areia, e para produtos de SI isso é especialmente perigoso. É resolvido por isolamento rígido, reprodução do antigo e despersonalizado, atribuição criptográfica e um gráfico de reputação. Vazamento de dados - o provedor do módulo vê a telemetria do cliente, sem os contratos corretos isso é uma catástrofe. Batalha pelas métricas - assim que as métricas aparecem, aparecem os enroladores, é necessário um design sustentável desde o início. Legais e IP - contratos padronizados, caso contrário, o inferno jurídico. Mas é a padronização dessas coisas e processos que é o principal investimento da plataforma.
O que isso significa
A pirâmide se inverte: em vez de 20 juniores e 2 seniores - 2 seniores e 20 agentes. Para onde ir para os juniores - é uma questão separada, para a qual ninguém tem uma resposta ainda. As pessoas que em 2024 decidiram entrar em TI, entraram na profissão. Ele brincou e chorou.
O que fazer agora
Parar de construir planos de desenvolvimento de três anos. Mudar para 60-90 dias para uma hipótese, 6 meses para provar a demanda, então ou dimensionamento, ou morte.
Parar de vender recursos. Vender benefícios, detecções, descobertas, um ponto nodal ou uma caixa confiável. Se você não está no nó e não é um contêiner regulamentado e certificado - você é um recurso do produto de outra pessoa.
Construir um mercado interno com bounty M&A. Não em um ano, mas no próximo trimestre. Porque em um ano seu nicho já será ocupado.
Contratar curadores de plataformas e construtores, e não escritores de código. O fornecedor do futuro - o proprietário da plataforma, aquele que traz benefícios comprovados, e não uma esteira de recursos.
Investir em dados, verdade terrena, telemetria, incidentes marcados. Esta é a única coisa que o agente não gerará em um fim de semana. Por enquanto.
Prepare-se para a regionalização. No mercado B2B/B2G, o mercado se fragmenta por contornos nacionais. Quem primeiro reunir a caixa confiável regional - recebe uma posição que ninguém comerá em dez anos. Quem se atrasar - não entrará nunca.
Parar de comprar e vender medo. As transações de bloqueio agora funcionam por três meses e custam dezenas de milhões.
E agora para você, outros fornecedores de TI
Analisamos o exemplo de SI não porque SI é mais interessante. Mas porque SI é o primeiro a receber na cabeça: ciclos de dor mais curtos, clientes mais zangados, do outro lado das barricadas não um contador, mas um invasor experiente, reguladores mais rígidos. O que chegará em SI em 2026, chegará ao resto da TI. Está prestes a chegar.
Se você leu tudo isso e pensou "felizmente, não temos cyber" - eu nem estou rindo.
Em observabilidade, DevTools, DataOps, CRM, ERP, fluxo de documentos, BI, HR-tech - tudo a mesma coisa, apenas com um atraso de 12-18 meses. Seu plano de três anos já é um cadáver. Seu processo corpdv de seis meses - já é um cadáver. Sua "base de código única" - já é areia. Seu segmento entre solitários e hiperescaladores - já está em extinção, só que você ainda não vê isso nos relatórios trimestrais.
Equipes pequenas constroem CRM em um trimestre. Cinco constroem ERP para uma vertical estreita ou um cliente em seis meses. Eles não "competem" com você - eles levam um cliente por mês nos segmentos que você considerava muito pequenos para olhar. Em dois anos, você descobrirá que seu mercado encolheu pela metade, e a culpa não será a "conjunção econômica".
Este não é o fim da indústria
Este é seu retorno às origens.
Quando em 95 discamos para BBS e nos sentíamos criminosos, quando escrevíamos cheques sob SATAN para Nimda, Code Red, Slammer - não o fizemos porque alguém aprovou o orçamento, não porque havia um plano, não porque o marketing conduziu uma análise de mercado.
Nós fizemos isso porque podíamos.
Porque era
curioso
.
Porque vimos o problema - e tínhamos mãos e cérebros.
A indústria de SI - e toda a TI atrás dela - cresceu a partir dessa "curiosidade". Então ela cresceu com processos, planos trimestrais, comitês de investimento, devida diligência de seis meses, comitês de arquitetura, certificações ISO para os processos de escrita de documentação sobre os processos de escrita de documentação. Tudo isso é necessário, desde que ajude a construir. Exatamente até o momento em que começa a interferir.
Agora - esse é o momento.
Uma pessoa com uma ideia e algumas centenas de dólares tem mais oportunidades do que seu departamento de P&D para 200 engenheiros. Não porque ele seja mais esperto. Porque ele não gasta 80% do tempo em aprovações, revisões e "sincronização com as partes interessadas". Ele não tem aprovadores. Ele tem um problema, uma ferramenta e uma noite. Ele mesmo detém sua participação.
As regras da nova indústria - são as velhas regras que você esqueceu.
Construa o que resolve um problema real. Não o que caiu no quadrante mágico ou no krung trágico. Não o que passou pelo comitê de investimento. O que o cliente precisa.
Cultive, não cultive.
Compre velocidade.
Mate o que não funciona.
Mate rápido. Mas esteja preparado para que ele volte.
Devolva a palavra final àqueles que constroem, e não àqueles que somam o Excel para a próxima reunião.
Eu sou um construtor. E este é o meu manifesto.
*kinot no phdays que não haverá
Tags:
cibersegurança
fusões e aquisições
manifesto
inteligência artificial
Hubs:
Segurança da Informação
Desenvolvimento de Startup
Inteligência Artificial
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
