Acabamos de concluir a defesa da monografia de Graduação em Administração da aluna Fernanda Gonçalves!!! A monografia teve como objetivo investigar os motivos pelo qual a Gestão de Riscos não é amplamente utilizada pelos Gestores de Segurança da Informação na Adminsitração Pública do Poder Executivo Federal (órgãos do Sisp).
Com a monografia, teremos condições de elaborar um questionário que tem como propósito medir a maturidade do processo de Gestão de Riscos de Segurança da Informação, com base nos princípios da Gestão de Riscos da ISO 31.000.
Eu acredito fortemente que a Gestão de Riscos é a grande impulsionadora da Gestão de Segurança da Informação. Ela deve vir primeira do que a segunda. Não devemos utilizar apenas os frameworks de controles, tais como NIST, CIS, ABNT 27002.
Tive o prazer de orientar o artigo da especialização em Privacidade e Segurança da Informação de Emilio Goncalves, um trabalho que analisou os riscos de negócio impactados por violações de segurança da informação em Instituições de Ensino Superior. A defesa, realizada com sucesso, marca um importante passo tanto para Emílio quanto para o campo da segurança cibernética em ambientes acadêmicos.
Objetivo da Pesquisa: Identificar e compreender os riscos de negócio em IES decorrentes da ausência ou falha de controles de segurança cibernética. O estudo detalhou como esses riscos afetam diretamente os objetivos organizacionais dessas instituições, abordando causas, consequências e soluções práticas para mitigação, e mostrou como ainda há diversas lacunas na comunicação e na tradução dos riscos cibernéticos de universidades, para os Reitores, Decanos e Pró-reitores acadêmicos.
Metodologia: A pesquisa utilizou entrevistas semiestruturadas com profissionais de TI, docentes e gestores de três universidades federais, consolidando as respostas em uma análise Bow Tie para uma visão clara dos riscos e suas interconexões.
Resultados Principais:
Identificação de 8 riscos de negócio críticos, como vazamento de dados acadêmicos e pessoais, alteração não autorizada de dados, descumprimento de normas legais, e emissão de documentos falsificados, por exemplo.
Discussão sobre a falta de uma cultura de gestão de riscos nas IES e a necessidade urgente de engajamento da alta administração para integrar esses riscos à estratégia organizacional.
Agradecimentos especiais aos membros da banca,Joao Souza Neto, e Carlos Zottmann, ambos, fizeram contribuições essenciais para a melhoria do texto para posterior submissão.
