Beyond Post-Quantum Readiness: segurança que antecede o ataque

Time MATH
Por Time MATH
Outubro 31, 2025

No Money20/20, o painel “Beyond Post-Quantum Readiness” deixou claro: a migração para criptografia resistente à computação quântica (PQC) saiu do “se” e entrou no “quando”. Reguladores em múltiplas jurisdições pressionam por planos de transição, enquanto bancos, fintechs e processors encaram um passivo oculto: criptografia legada espalhada por sistemas, parceiros e dispositivos.
Precisamos inventariar, orquestrar e migrar em camadas, com automação, governança e vendor management alinhados à realidade pós-quântica.
Participantes: Joe Fitzsimons (Horizon Quantum Computing), Juan Asenjo (Prime Factors), Adwait Joshi (DataSeers), Dr. Mekena McGrew (Deloitte).

  • Pressão regulatória global: normas e orientações ampliam a exigência por PQC e planos faseados.

  • Gargalo real: descobrir e substituir criptografia legada em sistemas internos e de terceiros.

  • Transição em camadas: estratégia, tecnologia e operações precisam andar juntas — projeto organizacional, não só técnico.

  • Identidade + ecossistema: confiança digital dependerá de identidade e interoperabilidade entre atores.

  • Vendor management + ética: prontidão quântica vira critério de compra; rastreabilidade e transparência tornam-se diferenciais.

O que foi discutido no painel

  • Regulação moldando o futuro: governos avançam em padrões resistentes a quantum, exigindo planos e cronogramas. Vantagem competitiva virá da agilidade para atualizar a infraestrutura à medida que padrões evoluem.

  • Descoberta de legados: a dor está em mapear onde os algoritmos antigos estão embutidos — bibliotecas, HSMs, integrações, SDKs móveis, firmware, APIs de parceiros.

  • Orquestração em camadas: a migração exige educação transversal, papéis claros, playbooks e execução coordenada em estratégia → tecnologia → operações.

  • Identidade e ecossistema: credenciais e chaves com ciclos de vida controlados e interoperabilidade entre provedores de identidade e serviços financeiros.

  • Fornecedores e responsabilidade: readiness attestations, auditorias, SLA de migração e ética tecnológica entram no scorecard de compras.

Principais insights com ações práticas

1) Pressão regulatória global está moldando o roadmap

  • Criar um Comitê PQC (CISO, CTO, Jurídico/Regulatório, Risco, Operações).

  • Estabelecer cronogramas por criticidade (pagamentos, autenticação, dados em repouso/em trânsito).

  • Preparar relatórios de conformidade contínuos (evidências, gaps, marcos).

2) O grande gargalo: descobrir e substituir criptografia legada

  • Rodar um inventário criptográfico: protocolos, bibliotecas, tamanhos de chave, curvas/algoritmos, HSMs, SDKs, endpoints externos.

  • Classificar ativos por impacto e exposição (P1 a P4) e mapear cadeia de terceiros.

  • Implantar telemetria de cifragem (observabilidade: quem cifra o quê, quando, como).

3) Transformação exige orquestração em camadas

  • Definir arquitetura de referência PQC (híbrida: clássico + pós-quântico onde fizer sentido).

  • Criar playbooks de migração por domínio (auth, TLS, data-at-rest, mobile, IoT), com rollbacks e canary releases.

  • Treinar times (engenharia, devops, segurança, SRE, produto) em padrões PQC e gestão de chaves.

4) Identidade e ecossistema como base

  • Adotar gestão de ciclo de vida de credenciais (emissão, rotação, revogação, auditoria).

  • Planejar interoperabilidade com provedores de identidade e parceiros críticos (APIs, mTLS, OIDC).

  • Simular falhas e failovers envolvendo chaves/credenciais em rotas de produção.

5) Vendor management e ética tecnológica ganham peso

  • Incluir prontidão quântica no RFP: algoritmos suportados, cronograma, attestations.

  • Exigir rastreabilidade de decisões e transparência algorítmica em componentes de IA envolvidos na operação de segurança.

  • Amarrar SLA/penalidades a marcos de migração e auditorias de terceiros.

Oportunidades, riscos e diferenciais

Oportunidades

  • Antecipar-se à regulação com inventário + runbooks + métricas de prontidão.

  • Reduzir custo de migração com automação e orquestração multiagente.

  • Diferenciar-se comercialmente com readiness comprovado (ganho em licitações e contratos regulados).

Riscos

  • Subestimar a descoberta de legados (sistemas e firmware invisíveis).

  • Vendor lock-in sem SLA de evolução PQC.

  • Paralisar a operação ao trocar tudo de uma vez (migração big-bang sem canary/rollback).

Conexões MATH

🔹 Leia também

🎧 Ouça no DoTheMATH


 
Tags:
Tecnologia e BI, IA, governança de IA, compliance algorítmico
Time MATH
Post by Time MATH
Outubro 31, 2025
Método científico aplicado em Mídia, CRM, Marketing e Tecnologia.
Follow me on my website Follow me on LinkedIn

Inscreva-se em nossa newsletter