Acabamos de concluir a defesa da monografia de Graduação em Administração da aluna Fernanda Gonçalves!!! A monografia teve como objetivo investigar os motivos pelo qual a Gestão de Riscos não é amplamente utilizada pelos Gestores de Segurança da Informação na Adminsitração Pública do Poder Executivo Federal (órgãos do Sisp).
Com a monografia, teremos condições de elaborar um questionário que tem como propósito medir a maturidade do processo de Gestão de Riscos de Segurança da Informação, com base nos princípios da Gestão de Riscos da ISO 31.000.
Eu acredito fortemente que a Gestão de Riscos é a grande impulsionadora da Gestão de Segurança da Informação. Ela deve vir primeira do que a segunda. Não devemos utilizar apenas os frameworks de controles, tais como NIST, CIS, ABNT 27002.
Tive o prazer de orientar o artigo da especialização em Privacidade e Segurança da Informação de Emilio Goncalves, um trabalho que analisou os riscos de negócio impactados por violações de segurança da informação em Instituições de Ensino Superior. A defesa, realizada com sucesso, marca um importante passo tanto para Emílio quanto para o campo da segurança cibernética em ambientes acadêmicos.
Objetivo da Pesquisa: Identificar e compreender os riscos de negócio em IES decorrentes da ausência ou falha de controles de segurança cibernética. O estudo detalhou como esses riscos afetam diretamente os objetivos organizacionais dessas instituições, abordando causas, consequências e soluções práticas para mitigação, e mostrou como ainda há diversas lacunas na comunicação e na tradução dos riscos cibernéticos de universidades, para os Reitores, Decanos e Pró-reitores acadêmicos.
Metodologia: A pesquisa utilizou entrevistas semiestruturadas com profissionais de TI, docentes e gestores de três universidades federais, consolidando as respostas em uma análise Bow Tie para uma visão clara dos riscos e suas interconexões.
Resultados Principais:
Identificação de 8 riscos de negócio críticos, como vazamento de dados acadêmicos e pessoais, alteração não autorizada de dados, descumprimento de normas legais, e emissão de documentos falsificados, por exemplo.
Discussão sobre a falta de uma cultura de gestão de riscos nas IES e a necessidade urgente de engajamento da alta administração para integrar esses riscos à estratégia organizacional.
Agradecimentos especiais aos membros da banca,Joao Souza Neto, e Carlos Zottmann, ambos, fizeram contribuições essenciais para a melhoria do texto para posterior submissão.
Há exatos três anos, enfrentamos uma rejeição desafiadora. Nosso paper sobre riscos de cibersegurança no setor elétrico brasileiro foi rejeitado pela International Journal of Infrastructure Protection, uma revista renomada da Elsevier com fator de impacto de 4.1. Apesar do desapontamento inicial, a detalhada revisão que recebemos foi uma verdadeira bênção disfarçada. Ela nos ofereceu diretrizes valiosas, permitindo-nos aprimorar significativamente nosso texto e metodologia.
Hoje, com grande satisfação, compartilho que um novo manuscrito foi aceito pela mesma revista! Este paper recente discute os critérios utilizados globalmente para classificar infraestruturas críticas. Em breve, farei um post detalhado sobre ele.
Essa coincidência de datas marca não apenas o tempo, mas também o quanto evoluímos. Cada passo, cada feedback construtivo nos levou a melhorar nossas práticas de pesquisa e aprofundar nosso entendimento. A rejeição inicial nos impulsionou a não só enfrentar os desafios, mas a transformá-los em oportunidades de crescimento.
Quero agradecer a todos os colegas e mentores que estiveram ao nosso lado durante esses anos. Vossa colaboração e apoio foram cruciais para superarmos os obstáculos e celebrarmos este sucesso.
