Artigo publicado!

Publicado em 25/06/2025 por Ludmila Ramos

Acaba de ser publicado nosso artigo na International Journal of Critical Infrastructure Protection (Elsevier), um periódico de grande impacto internacional (Qualis A1), JCR =4.1. O trabalho traz uma análise comparada de critérios e definições utilizados por 12 países e organizações para identificar suas infraestruturas críticas.

Em tempos de ameaças crescentes — sejam físicas, cibernéticas ou naturais — é cada vez mais urgente entender o que é, afinal, uma infraestrutura crítica.

Nosso estudo identificou que os critérios mais usados para essa definição são:

Impacto sobre pessoas e sociedade;
Impacto econômico;
Impacto geográfico;
Interdependência entre setores.

O artigo é uma leitura essencial para profissionais de gestão de riscos, cibersegurança e políticas públicas, pois fornece insumos técnicos para tomada de decisão sobre proteção de ativos essenciais.

Acesse o artigo completo em: https://lnkd.in/de_ZYkjT

Agradecimento a todos envolvidos nesse trabalho: Edvan G. Silva e Marcus Georg, Luiz Antonio Ribeiro Junior, Leonardo Ferreira e Laerte Peotta. Honrado em colaborar com esse time!

hashtag#InfraestruturaCrítica hashtag#Cibersegurança hashtag#GestãoDeRiscos hashtag#Pesquisa hashtag#CyberSecurity hashtag#CriticalInfrastructure hashtag#Elsevier hashtag#UnB hashtag#PPEE

Como saber o que realmente precisa ser protegido em segurança cibernética?

Publicado em 23/06/2025 por Ludmila Ramos

Esse é o ponto de partida do artigo que acabamos de ter aceito no MICRADS 2025, conferência internacional que será realizada em Orlando (EUA), no final de julho. O trabalho já está disponível em: https://lnkd.in/dgBJ_tCb

A pesquisa propõe critérios claros e objetivos para a identificação das “Joias da Coroa” — ou seja, aqueles ativos que, se comprometidos, colocam em risco a missão, a reputação, os recursos financeiros ou a legalidade de uma organização.

O estudo foi construído a partir da percepção de 57 gestores do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP), e resultou em um modelo hierárquico estruturado com cinco grandes critérios:

1. Missão da Organização
2. Imagem e Reputação
3. Volume de Usuários Afetados
4. Impacto Financeiro
5. Impacto Legal/Regulatório

A grande contribuição? Oferecer ferramentas práticas para priorização de ativos críticos, orientando melhor a alocação de recursos e o foco das estratégias de proteção.

Agradeço imensamente ao Edvan G. Silva, ao @Prof. Luiz Ribeiro, ao Marcus Georg, e ao Leonardo Ferreira, por nos conceder a oportunidade de desenvolver esse trabalho!

Agradecimentos especiais o DEPSI da Secretaria de Governo Digital!

hashtag#Cibersegurança hashtag#GestãoDeRiscos hashtag#InfraestruturasCríticas hashtag#JoiasDaCoroa hashtag#MICRADS2025 hashtag#SegurançaDaInformação hashtag#SISP hashtag#AdministraçãoPública

Publicamos mais um artigo! E esse é daqueles especiais…

Publicado em 20/06/2025 por Ludmila Ramos

Trata-se de um trabalho metodológico, em que desenvolvemos uma nova abordagem para resolver problemas do tipo “sim ou não” em contextos subjetivos — especialmente útil quando decisões precisam ser tomadas mesmo com incertezas ou opiniões divergentes.

Esse método já havia sido aplicado com sucesso em um artigo anterior, em que analisamos se uma determinada solução era ou não de TI (impactando diretamente o fluxo de contratações públicas): https://lnkd.in/dPAK9wpd

Agora, apresentamos o método em detalhes no artigo recém-publicado na revista Algorithms: 🔗 https://lnkd.in/dqwQjaW6

A publicação é também fruto do amadurecimento do uso da metodologia durante as atividades da Residência Tecnológica no Ministério da Gestão e da Inovação (MGI), o que mostra o poder da parceria entre pesquisa aplicada e gestão pública.

Método estruturado
Decisões binárias
Ambientes subjetivos
Ciência aplicada à gestão pública

Vamos em frente, construindo conhecimento e inovação na prática! 🚀

Agradeço a oportunidade do desenvolvimento do trabalho pelo Leonardo Ferreira! Parabéns aos demais co-autores Edvan G. Silva, Fernando Rocha Moreira, Rildo Ribeiro, @Marcus Georg, e @Luiz Ribeiro.

hashtag#PesquisaAplicada hashtag#AdministraçãoPública hashtag#DecisõesEstratégicas hashtag#MétodoCientífico hashtag#ResidênciaTecnológica hashtag#GestãoDeRiscos hashtag#Algoritmos hashtag#TI hashtag#InovaçãoNoSetorPúblico

Ontem tive a honra de participar do lançamento da obra “Segurança Cibernética na Alta Gestão”, escrita por Rogerio Galloro, Marcelo Silva e José de Souza Junior!

Publicado em 19/06/2025 por Ludmila Ramos

A obra conta a trajetória dos autores na temática e compartilha experiências importantes de como traduzir segurança cibernética para a alta gestão.

Para mim, é uma obra especial já que nela conta-se o trabalho realizado no STF para proteger o Tribunal, o qual pude trabalhar diretamente. Em especial, destaco o que é descrito nas páginas 200 e 201 do livro:

“[…] maturidade de segurança da informação: foi definido o framework a ser utilizado para avaliação da maturidade e posteriormente foi realizada a mensuração dos controles de segurança. Com base neste resultado, foi possível ter elementos objetivos para definição da estratégia de monitoramento;

riscos cibernéticos: está é uma das ações mais profundas e fundamentais para a realização da avaliação. Devido ao limitado tempo e recursos disponíveis, foi utilizada uma estratégia de seleção de 3 sistemas críticos pelo próprio secretário de tecnologia (CIO). Com base neste resultado, ficaram evidenciadas importantes oportunidades de aprimoramentos estratégicos. […]”

Que a obra possa ser útil para todos que desejam aprender com a experiência de tão renomados profissionais!

Obrigado pela oportunidade e pelas experiências Rogerio Galloro e Marcelo Silva!!

Nova publicação na área de Cibersegurança no Judiciário!

Publicado em 18/06/2025 por Ludmila Ramos

No final do ano passado publicamos o artigo “Proteção Cibernética no Judiciário Brasileiro: Um Estudo Comparativo das Estruturas de Segurança em Tribunais Estaduais”, fruto de uma pesquisa que conduzimos com base em documentos públicos e pedidos via Lei de Acesso à Informação.

O estudo avaliou se os tribunais estaduais brasileiros possuem estruturas adequadas para gerenciar riscos cibernéticos — com foco especial na segunda linha de defesa, conforme o Modelo das Três Linhas.

Os principais achados:

A maioria dos tribunais possui comitês de segurança da informação, mas muitos ainda não contam com um gestor formal de segurança ou com equipe de tratamento de incidentes.

As estruturas da segunda linha de defesa (supervisão e conformidade) são frágeis e, muitas vezes, desconectadas da operação.

A adoção de frameworks consolidados, como ISO 27001, CIS Controls ou NIST, ainda é incipiente em boa parte dos tribunais.

Em muitos casos, a segurança é tratada como um problema técnico, e não estratégico — o que compromete a governança e a resiliência das instituições.

Nossa principal recomendação: é hora de fortalecer as estruturas de supervisão e integrar os princípios da governança de riscos à alta administração. Segurança cibernética não é só firewall e antivírus — é gestão estratégica de riscos.

A publicação está disponível em acesso aberto pelo link: https://lnkd.in/d6QFRd3H

Parabéns aos coautores Jady Pamella, Edvan G. Silva e Lucas Vinicius pela parceria e dedicação!

hashtag#Cibersegurança hashtag#GestãoDeRiscos hashtag#SetorPúblico hashtag#TrêsLinhas hashtag#Governança hashtag#Judiciário hashtag#SegurançaDaInformação hashtag#PublicaçãoCientífica hashtag#Privacidade

Meu primeiro artigo técnico!

Publicado em 17/06/2025 por Ludmila Ramos

Meu primeiro artigo técnico por aqui! Foi escrito baseado nos resultados de uma pesquisa que conduzimos! Continuamos trabalhando no aprofundamento dos achados.

Para ver o artigo completo acesse: Artigo

Alta Administração, onde estão vocês?

Publicado em 16/06/2025 por Ludmila Ramos

O Acórdão 2387/2024 do TCU deixou claro: falta responsabilização da alta administração pela gestão dos riscos cibernéticos.

Esse alerta não é novo — ele só vem sendo cada vez mais explícito.

Mas por que isso acontece?
Porque, muitas vezes, não falamos a linguagem do negócio. Apresentamos os riscos cibernéticos como problemas técnicos, com jargões e frameworks que pouco dizem ao gestor que precisa decidir sobre orçamento, pessoal e prioridades.

É urgente traduzir esses riscos em impactos reais: interrupção do serviço, vazamento de dados, perda de confiança, entre outros.

O artigo “Judiciário sob ataque hacker”, fruto da dissertação do meu aluno Renato Solimar, mostra exatamente como fazer isso: identifica os principais riscos de negócio do Judiciário e conecta esses riscos às causas cibernéticas operacionais. Uma metodologia concreta para falar com quem decide.

Acesse o artigo completo aqui: https://lnkd.in/d27eza34

E você, saberia citar de cabeça 3 riscos de negócio da sua instituição cujas causas estão em falhas de segurança da informação?

hashtag#GestãoDeRiscos hashtag#Cibersegurança hashtag#AltaAdministração hashtag#TCU hashtag#Judiciário hashtag#GovernançaDigital hashtag#SegurançaDaInformação hashtag#ISO31000

Você conhece o papel das Três Linhas de Defesa na gestão de riscos cibernéticos?

Publicado em 10/06/2025 por Ludmila Ramos

O Acórdão 2387/2024 do TCU revelou um dado alarmante: as organizações públicas do SISP ainda estão muito aquém da implementação adequada de medidas básicas de cibersegurança, como as 56 ações previstas no IG1 do CIS Controls.

O que mais chama a atenção é que grande parte dessas organizações sequer compreende o papel da alta administração e das linhas de defesa no gerenciamento de riscos cibernéticos. Isso evidencia uma lacuna estrutural crítica.

Para apoiar quem atua na linha de frente da segurança da informação, compartilho o artigo que publicamos na Revista CEJ: “Os tribunais têm estrutura para gerenciar riscos de segurança da informação? Um estudo à luz das Três Linhas”

Acesse o artigo aqui: https://lnkd.in/d2MwU7sZ

O artigo é leitura essencial para quem deseja entender como estruturar adequadamente a 1ª, 2ª e 3ª linhas de defesa e fortalecer a governança em cibersegurança — especialmente no setor público.

Em tempos de aumento exponencial de ataques, dominar esse conceito não é diferencial, é premissa básica.

hashtag#Cibersegurança hashtag#GestãoDeRiscos hashtag#TrêsLinhasDeDefesa hashtag#TCU hashtag#AdministraçãoPública hashtag#SegurançaDaInformação hashtag#Governança

Você conhece os principais frameworks de modelagem de ameaças utilizados em cibersegurança?

Publicado em 09/06/2025 por Ludmila Ramos

Nosso artigo “Revisão Sistemática sobre Frameworks de Modelagem de Ameaças em Segurança Cibernética” foi aceito para apresentação no MICRADS 2025, que acontecerá em Orlando no final de julho. O trabalho já está disponível em acesso aberto:

https://lnkd.in/dK2ZFyzh

A pesquisa analisou 35 estudos científicos e comparou os principais frameworks de modelagem de ameaças utilizados no mundo.

Os destaques foram:

MITRE ATT&CK como o framework mais utilizado (40%);
Attack Tree (26%) e STRIDE (20%) também aparecem com relevância;
Adoção crescente de técnicas comportamentais, arquiteturais e táticas para análise de ameaças;

Forte presença da Europa nas publicações, seguida por América e Ásia.

O estudo apresenta tendências, aplicações práticas e lacunas da literatura, e sugere uma agenda de pesquisa para ampliar o uso estruturado dessas ferramentas por organizações públicas e privadas.

Obrigado pela parceria Edvan G. Silva, Fernando Rocha Moreira, Georges Daniel Amvame Nze, e Joao Gondim!

hashtag#Cibersegurança hashtag#ModelagemDeAmeaças hashtag#ThreatModeling hashtag#MICRADS2025 hashtag#MITREATTACK hashtag#SegurançaDaInformação hashtag#PesquisaAplicada hashtag#UnB

Prof. Dr. Rafael Rabelo Nunes

Informações sobre disciplinas e atividades do Prof. Rafael Rabelo Nunes

Arquivo mensais:junho 2025