Ihre Bibliothek mit Fällen und Tutorials
Befähigt Etuis C. Fortgeschrittenes Niveau Cybersicherheit Öffentliche Verwaltung und Sozialmanagement

Es geht nicht nur um die Änderung des Passworts: Cybersicherheit vor dem Obersten Gerichtshof

bis Casoteca Team , Gabriel Marinho Godinho , Beatriz Teles Fernandez , Rafael Rabelo Nunes , Nicole Alonso Santos de Sousa 24 Minuten Lesezeit
Download als PDF

Auch erhältlich bei Epub

Zusammenfassung

Kürzlich war der Oberste Gerichtshof Ziel eines Hackerangriffs und forderte eine dringende Überprüfung und Verstärkung seiner Cybersicherheitsmaßnahmen. Clarice, Praktikantin im Office of Organizational Process Management, übernahm die Verantwortung, eine umfassende Studie zum Thema Cybersicherheit durchzuführen und einen Bericht mit Lösungsvorschlägen zur Minderung der Risiken vorzulegen, um strategische Entscheidungen zur Reorganisation des Gerichts zu unterstützen. Dieses Szenario bietet die Gelegenheit, die Grundlagen der Informationssicherheit zu erörtern, Strategien zur Minimierung von Cyberrisiken zu erforschen, ohne die Produktivität von Unternehmen zu beeinträchtigen, und die Herausforderungen zu untersuchen, mit denen die Geschäftsleitung bei der Implementierung von Sicherheitskontrollen in wichtigen Geschäftsprozessen und im Risikomanagement konfrontiert ist, und lädt den Leser ein, über die Lücken nachzudenken, die zwischen Best Practices und denen, die tatsächlich im Bereich der Sicherheit angewendet werden, bestehen können Kybernetik. Durch die Kontextualisierung der Situation in den brasilianischen Obersten Gerichten soll nicht nur die Bedeutung dieser Diskussion hervorgehoben werden, sondern auch das Bewusstsein für die komplexe Wechselwirkung zwischen Cybersicherheit, betrieblicher Effizienz und Organisationskultur geschärft werden.

Schlüsselwörter: Cybersicherheit, Gerichtshof, Hackerangriffe, Case Management, Risikomanagement.

Abstrakt

Kürzlich war der Oberste Gerichtshof Ziel eines Hackerangriffs, der eine dringende Überprüfung und Verstärkung seiner Cybersicherheitsmaßnahmen forderte. Clarice, Praktikantin im Organizational Process Management Office, hat die Verantwortung übernommen, gründliche Untersuchungen zur Cybersicherheit durchzuführen und einen Bericht mit Lösungsvorschlägen zur Minderung der bestehenden Risiken vorzulegen, um strategische Entscheidungen zur Reorganisation des Gerichts zu unterstützen. Dieses Szenario bietet die Gelegenheit, die Grundlagen der Informationssicherheit zu erörtern, Strategien zur Minimierung von Cyberrisiken zu untersuchen, ohne die organisatorische Produktivität zu beeinträchtigen, und die Herausforderungen zu untersuchen, mit denen die Geschäftsleitung bei der Implementierung von Sicherheitskontrollen in kritischen Geschäftsprozessen und im Risikomanagement konfrontiert ist. Dieser Fall lädt den Leser ein, über die Lücken nachzudenken, die zwischen den empfohlenen Praktiken und den tatsächlich im Bereich der Cybersicherheit angewandten Praktiken bestehen können. Durch die Kontextualisierung der Situation in den brasilianischen Obersten Gerichten soll nicht nur die Bedeutung dieser Diskussion unterstrichen, sondern auch das Bewusstsein für das komplexe Zusammenspiel zwischen Cybersicherheit, betrieblicher Effizienz und Organisationskultur geschärft werden.

Schlüsselwörter: Cybersicherheit, Justiz, Hackerangriffe, Prozessmanagement, Risikomanagement.

Juristische Wege: Clarices Reise vor Gericht


Als Studentin der Betriebswirtschaftslehre interessierte sich Clarice in einem der Prozessmanagement-Kurse für das Thema Geschäftsprozesse, insbesondere wegen der Relevanz, die die Qualitätskontrolle durch Arbeitsprozesse in der Realität einer Organisation haben kann. Da sie noch keine erste Praktikumserfahrung gemacht hatte, suchte sie nach einem, in dem sie ihre Fähigkeiten in diesem oder einem verwandten Bereich weiterentwickeln konnte. Bei dieser Suche fand sie eine ungewöhnliche Gelegenheit: Sie absolvierte ein Praktikum im Büro für organisatorisches Prozessmanagement eines der 5 Obersten Gerichte Brasiliens (BRASIL, 1988), wo sie bei der Abbildung und Verbesserung der Geschäftsprozessabläufe der Agentur half.

Als Clarice das Gericht betrat, wurden ihre Erwartungen weitgehend übertroffen, als sie die technologischen Innovationen erkannte, die die Umgebung durchdringten. Es war ein echter Blick in die Zukunft des Justizsystems im Hinblick auf seine digitale Transformation. Zu den Neuerungen zählte sie die Einführung von Videoanrufen für die Durchführung von Anhörungen, die ihrer Meinung nach die Justiz zugänglicher und agiler machten.

Darüber hinaus deutete der elektronische Prozess mit all seinen digitalisierten Phasen, von der Petition bis zum Abschluss des Prozesses, auf eine signifikante Veränderung in der Art und Weise hin, wie mit der Bürokratie umgegangen wurde. Und um das Ganze abzurunden, zeigte der Fernservice über den "virtuellen Schreibtisch", dass das Gericht die digitale Transformation wirklich begrüßt, um der Bevölkerung besser zu dienen.

Clarice war begeistert, in diese Innovationslandschaft einzutauchen und gleichzeitig bei der Abbildung von Geschäftsprozessabläufen zu helfen. Ihr Praktikum versprach eine aufregende und lehrreiche Reise in das Herz des brasilianischen Justizsystems zu werden.

In den ersten Tagen ihres Praktikums hielt Clarices Vorgesetzter eine Einarbeitung , in dem er einige Dokumente über die Organisation vorstellte, darunter das Organigramm des Obersten Gerichts, in dem alle wichtigen Bereiche und Abteilungen hervorgehoben wurden. Zusätzlich zum Organigramm wurde ihr die Wertschöpfungskette vorgestellt, in der die wichtigsten Makroprozesse hervorgehoben wurden, die zur Erreichung der Ziele und Ergebnisse der Organisation durchgeführt wurden.

Bei der Durchsicht der von ihrem Vorgesetzten weitergegebenen Materialien konnte Clarice einige Merkmale des Gerichts überprüfen, darunter: Die Richter, die am Gericht arbeiten, werden Minister genannt und alle werden vom Präsidenten nach vorheriger Genehmigung des Bundessenats ernannt. Darüber hinaus beginnen die Fälle, die dort verhandelt werden, entweder direkt vor dem Gericht oder überprüfen Entscheidungen der Landes- und Bundeslandesgerichte (TRFs), d. h. sie entscheiden über abschließende und wichtige Rechtsmittel in gerichtlichen Verfahren.

Darüber hinaus hatte Clarice einige Zweifel in Bezug auf die Wertschöpfungskette des Gerichts, welche die geschäftlichen Makroprozesse als endgültig hervorstechen würden, da die Wertschöpfungskette viele Makroprozesse umfasst, wie z. B.: den Empfang und die Verteilung von Prozessen, die Analyse und Berichterstattung von Prozessen, die Erstellung von Entscheidungen, Urteile, die gerichtliche Bearbeitung und Vollstreckung notarieller Handlungen sowie die Befolgung von Anordnungen und Entscheidungen.

Auf dieser Grundlage beschloss sie, ein Treffen zu vereinbaren, um sie mit ihrer Vorgesetzten Fernanda zu lösen, die ihr erklärte, dass die Makroprozesse im Zusammenhang mit der Vorbereitung von Aufträgen und Entscheidungen als endgültig für die Organisation gelten, da sie direkt von den Richtern ausgeführt werden.

Durch dieses Gespräch mit Fernanda verstand Clarice ein wenig mehr über die Struktur des Gerichts und die Makrogeschäftsprozesse, an denen sie während ihres Praktikums arbeiten wird.

Jenseits der Mauern: Die Cyber-Invasion und das Datenleck

Inmitten dieser Welt neuer Informationen und Erwartungen erschüttert ein Ereignis den Fortschritt des Gerichts: ein Cyberangriff auf eines der vom Gericht genutzten Systeme. Es handelte sich um das System, das für die Kommunikation zwischen dem Gericht und den Verfahrensparteien (Rechtsanwälte und Verfahrensparteien) verwendet wurde und einige Instrumente enthielt, wie z. B. Recherchen zur Verfahrensberatung und die Bereitstellung allgemeiner Informationen, wie z. B. den Zugang zur Sammlung und häufig gestellte Fragen. Darüber hinaus wurde innerhalb der Behörde selbst dasselbe System von den Mitarbeitern als Instrument verwendet, um die Prozesse zu bewegen, d. h. die Zuständigkeitsbestimmung durchlief dieses System.

Als der Angriff stattfand, wussten die Mitarbeiter nicht sehr genau, was passierte, da das System nur nicht verfügbar war. Als sich die Situation jedoch nicht normalisierte, begannen sich Gerüchte über den Angriff zu verbreiten, und eine Atmosphäre des Misstrauens und der Angst machte sich breit, denn neben dem Stress, ihre Arbeit nicht erledigen zu können, gab es die Ungewissheit, was jetzt aus dem System werden würde.

Später stellte sich heraus, dass das System seine Grenzen und Schwachstellen aufwies, und über eine davon gelang es dem Angreifer, es zu infiltrieren und sich Zugang zu vertraulichen Informationen zu verschaffen¹.

Anstatt sich die Informationen jedoch direkt anzueignen, setzte der Angreifer eine bestimmte Art von Angriff ein, die als "Ransomware" . Diese Art von Angriff zeichnet sich durch den Einsatz von Malware aus, die alle Daten auf kompromittierten Computern und Servern verschlüsselt.

Danach verlangte der Angreifer ein Lösegeld im Austausch für den Entschlüsselungsschlüssel, der zur Wiederherstellung der Informationen benötigt wird. Es ist wichtig zu beachten, dass es nach brasilianischem Recht keine rechtliche Unterstützung für die Zahlung von Lösegeldern im Falle von Angriffen dieser Art gibt.

Dies führte zu einer Instabilität des Systems, was dazu führte, dass es für eine gewisse Zeit offline war, was die Prozesse verzögerte und eine allgemeine Unsicherheit im Gericht verursachte. Inmitten dieser Situation verlor sich Clarice in ihrem ersten großen Problem vor Gericht. Da sie nicht wusste, wie sie vorgehen sollte, wandte sie sich dem Internet zu. Im Jahr 2022 gab es 103,16 Milliarden versuchte Cyberangriffe, dies waren die von der FortiGuard-Labore , die Clarice bei der Recherche zu Informationssicherheit und Cyberangriffen herausfand. Auch Clarices Arbeit war von einem dieser Angriffe betroffen, da sie das gehackte System verwendet. Jetzt müssen sich sowohl sie als auch das Gericht dieser neuen Realität stellen und versuchen, diese Situation zu lösen, die Folgen zu minimieren und die Informationssicherheit innerhalb des Gerichts zu überdenken, damit sich die gleiche Situation nicht wiederholt.

Die Wirkung war großartig! Was nun?

Im Büro für organisatorisches Prozessmanagement des Obersten Gerichts wich die Routine nach dem verheerenden Hack einem Wirbelsturm aus Chaos und Sorge... Die Folgen waren beängstigend und an mehreren Fronten sofort sichtbar. Die Sicherheitssysteme waren in ihren Funktionen unzureichend, so dass wichtige Informationen offengelegt wurden. Eine Reihe von Vorfällen ereignete sich und erschütterte das Wesen der Gerechtigkeit, die das Gericht repräsentierte.

Miguel, der Leiter des Office of Organizational Process Management, und sein Team erkannten schnell die Folgen des Angriffs. Die Informationen, die für den Entscheidungsprozess in der Datenlieferkette benötigt werden, haben sich verändert, was zu Verwirrung und Unsicherheit unter den Richtern geführt hat.

Einige der geheimen Prozesse wurden ebenfalls aufgedeckt, was weit verbreitete Empörung und Besorgnis auslöste. Darüber hinaus wurde bei einer Untersuchung des Vorfalls festgestellt, dass die Hacker frühzeitig Zugang zu laufenden Feststellungen und Entscheidungen hatten, auch ohne diese zu ändern, was die Glaubwürdigkeit des Justizsystems in Frage stellte. Entscheidungen, die die Zukunft wichtiger Fälle prägen könnten, wurden kompromittiert.

Die Zuständigkeitsbestimmung wurde unterbrochen, wobei die Systeme durch die Cyberangreifer lahmgelegt wurden. Das Gericht war verwundbar, und alle Bemühungen des Büros für organisatorisches Prozessmanagement schienen angesichts dieser virtuellen Bedrohung unzureichend.

Der Hackerangriff löste einen Wettlauf gegen die Zeit aus, um die Systeme und die Integrität des Images des Gerichts wiederherzustellen. Mit der Zeit wurden palliative Maßnahmen ergriffen, um die unmittelbaren Auswirkungen einzudämmen. Der Schaden, den diese Tat hinterlassen hat, war jedoch tiefgreifend, und der Weg zur vollständigen Genesung begann gerade erst. Nun lag der Fokus neben der Wiederherstellung auf der Verbesserung der Sicherheit und der Prozesse, die über die bereits implementierten Notfalllösungen hinausgingen.

Die Bemühungen, die Auswirkungen dieses beispiellosen Angriffs rückgängig zu machen, begannen gerade erst, und jedes Mitglied des Gerichtshofs wusste, dass sein Engagement und seine Hingabe entscheidend sein würden, um die Integrität des Gerichtshofs zu schützen und sicherzustellen, dass die Gerechtigkeit obsiegt.

Trotzdem war Clarice unsicher und ängstlich, da sie nicht wusste, was sie angesichts des Szenarios, das sich ihr präsentierte, tun sollte. Vor diesem Hintergrund bat sie um ein Abstimmungsgespräch mit ihrem Vorgesetzten, um zu verstehen, wie die Kanzlei am besten bei der Umsetzung von Lösungen für aufkommende Probleme unterstützt werden kann.

Clarice : Fernanda, ich bin ein wenig besorgt über dieses Treffen. Die Situation nach dem Hackerangriff hat uns alle beunruhigt.

Fernanda (Betreuerin) : Der Angriff war wirklich besorgniserregend, aber deshalb müssen wir uns noch mehr stärken. Ich möchte, dass du dich auf eine wichtige Aufgabe konzentrierst... Als Praktikant im Büro für organisatorisches Prozessmanagement möchte ich Sie bitten, zusammen mit Rodrigo, einem der Leiter des Büros für Prozessmanagement, eine Umfrage durchzuführen, um mögliche Richtlinien zur Erhöhung der Sicherheit der Geschäftsprozessabläufe des Gerichts zu erheben. Wenden Sie sich dazu auch an das Technologieteam, das Ihnen helfen kann, die Herausforderungen besser zu verstehen.

Clarice : Ich werde mich bemühen, diese Forschung durchzuführen. Ich hoffe, dass sie in irgendeiner Weise zu künftigen Maßnahmen zur Verbesserung der Prozesse beitragen kann.

Fernanda : Genau, Clarice. Ich vertraue voll und ganz auf Ihre Fähigkeiten und weiß, dass Sie beide unter Rodrigos Mentoring wertvolle Ideen einbringen werden, die das Potenzial haben, unsere Prozesse zu verbessern. Erforschen Sie Best Practices im Bereich der Cybersicherheit, erkunden Sie Technologien, Gerüste und konsultieren Sie erforderlichenfalls die Mitarbeiterinnen und Mitarbeiter des IT-Sekretariats.

Angesichts dieser Richtungen war Clarice begeistert von der Nachfrage, die ihr zugeteilt wurde, und der Möglichkeit, in ihrem ersten Praktikum zusammen mit einem der Manager eine so relevante Wirkung zu erzielen. Vor diesem Hintergrund wurde eine Untersuchung von Alternativen eingeleitet, um herauszufinden, wie sich die Organisation besser strukturieren kann, um dieser Art von Cyberrisiken zu begegnen, basierend auf einer Studie, die sowohl untersucht, wie eine Präventionsstrategie erstellt als auch die Sicherheit des Prozessablaufs des Gerichts erhöht werden kann

Informationssicherheit: Ein Überblick

Um die Forderung zu erfüllen, die an ihn weitergegeben wurde, grenzte Rodrigo die Schritte ab, die die beiden durchlaufen würden, um die Forschung durchzuführen, Abbildung 1.

Abbildung 1 - Phasen von Clarices Forschung. Quelle: Adaptiert von Alves, Renato S.; Georg, Marcus A. C.; Nunes, Rafael R., 2022.

In der ersten Phase, "Bibliographische Recherche", war Clarice dafür verantwortlich, einige relevante Themen zu identifizieren, um zukünftige Hackerangriffe auf den Gerichtshof zu verhindern. Als sie diese Themen identifizierte, hielt Clarice sie in einem Bericht fest, damit er später Fernanda, ihrem Betreuer, und Miguel, dem Leiter des Büros, vorgelegt werden konnte, um die Ergebnisse der für die Forschung festgelegten Phasen zusammenzufassen.

Inspiriert von ihrer Arbeit im öffentlichen Bereich beschloss sie, mit dem zu beginnen, was im Gesetz gesagt wird, genauer gesagt, was das LGPD, das Allgemeine Datenschutzgesetz, über die Informationssicherheit sagt. Nach einer Analyse des Gesetzes stellte sie jedoch fest, dass es keine spezifische Methode gibt, die empfohlen wird, das Gesetz erwähnt lediglich, dass es einen angemessenen Schutz geben muss - und dies für den Datenschutz - was sich als ein anderes Universum erwies.

Rodrigo hat Nachforschungen über den Teil der Sicherheitskontrollen angestellt. Unter den gefundenen Themen stechen die folgenden hervor: Gerüste und Publikationen, die die Sicherheitskontrollen vorschlagen, die zum Schutz vor z. B. Hackerangriffen erforderlich sind:

Sicherheits- und Datenschutzkontrollen für Informationssysteme und Bundesorganisationen (NIST SP, 2020): In dieser Veröffentlichung identifizierte Rodrigo eine Reihe wichtiger Informationen, um die Sicherheit der Geschäftsprozessabläufe des Superior Court zu verbessern. Die Veröffentlichung legt spezifische Kontrollen fest, die in jeder Organisation oder jedem System implementiert werden können, das sich mit der Verarbeitung, Speicherung oder Übertragung von Informationen befasst. Diese Kontrollen zielen darauf ab, die Cybersicherheit und den Datenschutz zu stärken und die Institution vor potenziellen Bedrohungen zu schützen.

Rodrigo merkte auch an, dass die Veröffentlichung darauf hinweist, wie wichtig es ist, die Kommunikation zwischen Organisationen zu verbessern und ein gemeinsames Lexikon bereitzustellen, um die Diskussion über Sicherheits-, Datenschutz- und Risikomanagementkonzepte zu erleichtern. Dies ermöglicht es den Teams, die an der Risikoprävention beteiligt sind, ein einheitliches Verständnis der Begriffe und Ziele zu erlangen und so die Zusammenarbeit und Wirksamkeit der umgesetzten Strategien zu verbessern.

Die Veröffentlichung skizziert auch einige der grundlegenden Konzepte im Zusammenhang mit Sicherheits- und Datenschutzkontrollen und bietet einen umfassenden Überblick über die Prinzipien und Grundlagen, die die Implementierung dieser Schutzmechanismen leiten. Eines der Schlüsselkonzepte, von dem sie sich ableiten ließ, war das der "Sicherheitskontrollen". Diese Kontrollen beziehen sich auf bestimmte Praktiken, die ein Unternehmen implementieren kann, um Cybersicherheitsrisiken zu mindern und seine Systeme und Informationen vor Bedrohungen zu schützen. Sie decken ein breites Spektrum an Maßnahmen ab, von Sicherheitsverfahren und -richtlinien bis hin zu betrieblichen Technologien und Praktiken.

Darüber hinaus ist der konsolidierte Katalog der Sicherheits- und Datenschutzkontrollen in der Veröffentlichung ein wertvolles Instrument für Organisationen, da er eine vollständige Liste spezifischer Kontrollen bietet, jeweils mit einem Diskussionsabschnitt, der den Zweck seiner Anwendung erläutert und nützliche Informationen zur angemessenen Implementierung und Bewertung bietet.

Bin ich sicher? Was sollte ich wissen?

Bei der Präsentation seiner Ergebnisse vor Clarice betonte Rodrigo, dass die Veröffentlichung eine Liste verwandter Kontrollen enthält, die die Wechselbeziehungen und Abhängigkeiten zwischen den verschiedenen Kontrollen belegen. Dieses umfassende Verständnis kann der Geschäftsstelle für organisatorisches Prozessmanagement helfen, einen integrierten, synergetischen Ansatz bei der Umsetzung dieser Sicherheitsmaßnahmen zu empfehlen.

NIST-Cybersicherheits-Framework V 1.1 : Es besteht aus dem Fachwerk , die Branchenstandards, Richtlinien und Praktiken in einer Weise präsentiert, die die Kommunikation von Cybersicherheitsaktivitäten und -ergebnissen im gesamten Unternehmen ermöglicht, von der Führungsebene bis zur Implementierungs-/Betriebsebene (NIST CSF, 2018). Durch das Lesen der Liste war Clarice in der Lage, etwa 5 Funktionen, 22 Kategorien, 98 Unterkategorien und etwa 1200 Sicherheitskontrollen zu identifizieren, die in der Fachwerk , Abbildung 2 (NIST, 2022, apud Alves, Renato S.; Georg, Marcus A. C.; Nunes, Rafael R., 2022).

Abbildung 2 - 5 Funktionen des NIST-Frameworks. Quelle: (NIST, 2018)


Clarice hat verstanden, dass diese Rollen, wenn sie zusammen betrachtet werden, einen übergeordneten strategischen Überblick über den Lebenszyklus des Cybersicherheitsrisikomanagements eines Unternehmens bieten (NIST CSF, 2018). Dann wird die Framework-Kern Identifiziert die wichtigsten zugrunde liegenden Kategorien und Unterkategorien – bei denen es sich um spezifische Ergebnisse handelt – für jede Rolle und verknüpft sie mit Beispielen für Informationsreferenzen, wie z. B. vorhandene Standards, Richtlinien und Praktiken für jede Unterkategorie.

Fachwerk Cybersicherheit CIS-Kontrollen (GUS, 2021): Von Gerüste und Publikationen, die von Rodrigo studiert und präsentiert wurden, betrachtete Clarice dies Fachwerk als die didaktischste und vielversprechendste, da sie aus der Vereinfachung der NISTs-Strukturen entstanden ist (NIST SP, 2020 und NIST CSF, 2018). Sie identifizierte sich in der Weißbuch von McClain & Sagerand (2018) veröffentlicht, dass die 18 Kontrollen, die in diesem Fachwerk Ziel ist es, die Bedürfnisse der kritischen Infrastrukturen des Unternehmens mit dem besten Nutzen-Risiko-Verhältnis zu erfüllen. Dies basiert auf dem Pareto-Prinzip, das besagt, dass 20% der Ursachen für etwa 80% der Wirkungen verantwortlich sind. Daher können etwa 20 % der NIST-Kontrollen die Cybersicherheit um etwa 80 % verbessern.

Clarice erkannte, dass die Implementierung von CIS SSC-Kontrollen einem strukturierten und progressiven Ansatz folgt. Der Prozess beginnt mit der IG1-Gruppe, die für alle Organisationen unabhängig von ihren verfügbaren Ressourcen als obligatorisch gilt. Dieser erste Schritt ist unerlässlich, um eine solide Sicherheitsgrundlage zu schaffen, auch für Unternehmen mit begrenzten Ressourcen.

Als nächstes richtet sich das Framework an die IG2-Gruppe, die Organisationen mit moderaten Ressourcen berücksichtigt. In dieser Phase werden zusätzliche Kontrollen und Sicherheitsmaßnahmen hinzugefügt, um komplexere Bedrohungen zu adressieren und Risiken auf einer Zwischenebene zu mindern.

Schließlich richtet sich die IG3-Gruppe an Organisationen, die einem hohen Risiko ausgesetzt sind, wie z. B. der Superior Court. Gemeinsam erkannten sie, dass fortschrittliche Kontrollen und ausgefeiltere Cybersicherheitsstrategien implementiert werden müssen, um extrem schwerwiegende Bedrohungen zu bekämpfen und das Unternehmen vor hochkomplexen Angriffen zu schützen (Abbildung 3).

Abbildung 3: CIS SSC-Kontrollgruppen und die Anzahl der Unterkontrollen. Quelle:(Lima, et al., 2022)

Clarice erkannte, dass die Fachwerk bietet einen strategischen und gut strukturierten Ansatz zur Stärkung der Cybersicherheit des Rechnungshofs. Die Unterteilung in drei Gruppen - IG1, IG2 und IG3 - ermöglicht es, die Durchführung der Kontrollen an die Besonderheiten und Ressourcen des Instituts anzupassen, wodurch der Ansatz flexibler und zugänglicher wird.

Einige der Veröffentlichungen und Gerüste Um mögliche Sicherheitskontrollen vor dem Superior Court zu implementieren, sieht Clarice die Notwendigkeit, die Geschäftsprozesse zu identifizieren, die bei der Implementierung der Kontrollen priorisiert werden sollten, da es mehrere gibt, die durch die untersuchten Materialien definiert sind.

In Anbetracht dessen hat Rodrigo auch das "Cyber Crisis Management Protocol of the Judiciary – PGCRC-PJ", CNJ Ordinance Nr. 162 vom 10. Juni 2021, identifiziert, in dem die Reaktionsverfahren festgelegt sind, die vor und nach dem Auftreten einer mittel- bis langfristigen Cyberkrise durchzuführen sind. In diesem Dokument konnte er feststellen, dass es notwendig ist, die primären Aktivitäten für die Aufrechterhaltung der endgültigen Aktivität der Organisation zu identifizieren, die Vermögenswerte zu identifizieren, die diese Aktivitäten aufrechterhalten, und die Risiken, denen sie ausgesetzt sind, kontinuierlich zu bewerten, und dass dies die Maßnahmen sind, die zur Verhinderung des Risikos der Cyberkrise vorgesehen sind (Nationaler Justizrat, 2021a, S. 15-16).

Mit diesen Informationen erinnert sich Clarice an das Gespräch, das sie zu Beginn des Praktikums mit ihrem Vorgesetzten geführt hat und in dem sie Fragen zur Wertschöpfungskette stellte. In diesem Gespräch erklärt Fernanda, dass die Geschäftsprozesse, die "Vorbereitung von Aufträgen und Entscheidungen", für die Organisation als endgültig gelten, da sie direkt von den Richtern ausgeführt werden. Daraus folgert Clarice, dass dies diejenigen sein werden, die in ihrem Bericht priorisiert werden.

Nach der Priorisierung der Geschäftsprozesse in Bezug auf den Superior Court versucht Clarice zu verstehen, die Auswirkungen des Vorfalls zu analysieren und die Referenzforschung durchzuführen, was die Hauptrisiken im Zusammenhang mit den in der Organisation durchgeführten Aktivitäten wären.

Bei dieser Suche wurde die von ALVES, Renato S. & GEORG, Marcus A. C. & NUNES, Rafael R. (2022) durchgeführte Studie identifiziert, die die Geschäftsrisiken der Hauptaktivitäten der Justiz identifiziert (Abbildung 4).

Abbildung 4 - Geschäftsrisiken der Haupttätigkeiten der Justiz Quelle: (ALVES, Renato S. & GEORG, Marcus A. C. & NUNES, Rafael R., S. 10, 2022)

Zusätzlich zu den Geschäftsrisiken konnte Clarice in derselben Studie den Zusammenhang zwischen Geschäftsrisiken und operationellen Risiken identifizieren, der sich aus der Analyse der Ursachen und Quellen des operationellen Risikos ableitete (Abbildung 5).

Abbildung 5 - Beispiele für operationelle Risiken, die aus Geschäftsrisiken identifiziert wurden. Quelle: (ALVES, Renato S. & GEORG, Marcus A. C. & NUNES, Rafael R., S.11, 2022)

Nach diesen Ergebnissen der Forschung von ALVES, Renato S. et al. (2022) kann sich Clarice bereits vorstellen, wo Sicherheitskontrollen in den priorisierten Geschäftsprozessen des Gerichts implementiert werden könnten, um deren Sicherheit zu stärken und zukünftige Angriffe zu verhindern.

Gerichtsabteilungen und die Sicherheit ihrer Geschäftsprozesse

Nach der Durchführung der Untersuchung erinnerte Rodrigo an die Notwendigkeit, zu verstehen, welche Perspektiven andere Abteilungen des Gerichts in Bezug auf die Implementierung von Sicherheitskontrollen in ihren Geschäftsprozessen haben würden. Daher war Clarice für die Durchführung von Interviews mit diesen Mitarbeitern verantwortlich. In diesen Interviews stieß sie auf eine Vielzahl von Perspektiven und Bedenken hinsichtlich der Implementierung neuer Sicherheitskontrollen in Geschäftsprozessen.

Einige Mitarbeiter äußerten verständlicherweise Bedenken über die mögliche Komplexität und Verzögerung, die solche Änderungen in den seit Jahren etablierten Arbeitsabläufen mit sich bringen könnten. Sie befürchteten, dass die Einführung neuer Kontrollen ihre täglichen Routinen beeinträchtigen und zu möglichen betrieblichen Widerständen führen könnte.

Darüber hinaus stellte der Praktikant auch eine Zurückhaltung in Bezug auf mögliche Änderungen der bereits beim Hof konsolidierten Systeme fest. Viele Mitarbeiter waren an die bestehenden Schnittstellen und Funktionalitäten gewöhnt, und jede Änderung konnte zu Unbehagen und der Notwendigkeit führen, sich an eine neue digitale Arbeitsumgebung anzupassen.

Trotz des anfänglichen Widerstands erkannte Clarice, dass einige Interviews auch eine Offenheit für das Verständnis der Bedeutung von Cybersicherheit zeigten. Engagiertere Mitarbeiter erkannten, dass es zwar berechtigte Bedenken hinsichtlich der Komplexität gibt, die Sicherheit und Integrität der Daten des Gerichts jedoch entscheidend sind, um eine vertrauenswürdige Umgebung zu gewährleisten, die vor digitalen Bedrohungen geschützt ist.

Sicherheit und Betriebseffizienz: eine umgekehrt proportionale Beziehung

Als sie vor dem High Court vor der Aufgabe stand, Alternativen zur Verhinderung künftiger Cyberangriffe zu erforschen, stürzte Clarice in ein faszinierendes und entscheidendes Dilemma: das umgekehrt proportionale Verhältnis zwischen erhöhter Cybersicherheit und dem potenziellen Effizienzverlust in Geschäftsprozessen.

Clarice war sich bewusst, dass die Implementierung von Cybersicherheitskontrollen unerlässlich war, um die Abwehr des Gerichts gegen mögliche Angriffe zu stärken. Die Verabschiedung strenger Maßnahmen, wie aus den Veröffentlichungen und Gerüste , wie z. B. "Cyber Security CIS CSC V 8.0" (CIS, 2021), könnten Systeme widerstandsfähiger und weniger anfällig für Cyberbedrohungen machen.

Rodrigo wies jedoch darauf hin, dass Geschäftsprozesse mit der Implementierung von Sicherheitskontrollen und der Stärkung der Cybersicherheit tendenziell komplexer und zeitaufwändiger werden. Das Hinzufügen von Sicherheitsebenen kann zusätzliche Überprüfungen, Autorisierungsschritte und Authentifizierungsverfahren erfordern, die sich auf den normalen Ablauf von Aktivitäten auswirken und dazu führen können, dass einige Prozesse verlangsamt werden.

Diese Dualität veranlasste Clarice zu einer eingehenden Reflexion darüber, wie die Notwendigkeit der Cybersicherheit mit der operativen Effizienz des Gerichts in Einklang gebracht werden kann. Schließlich ist die Gewährleistung der Informationssicherheit von entscheidender Bedeutung, um die Fairness und Vertraulichkeit von Verfahren zu schützen, aber die Bedeutung der Wahrung von Agilität und Effizienz in Gerichtsverfahren kann nicht ignoriert werden.

Um diese Herausforderung zu meistern, erkannte Clarice, dass der ideale Ansatz darin bestehen würde, ein Gleichgewicht zwischen der Implementierung von Cybersicherheitskontrollen und der Optimierung von Geschäftsprozessen zu finden. Dies könnte durch eine gründliche und sorgfältige Analyse der Anwendung von Kontrollen erreicht werden, um zu ermitteln, wo die Sicherheit am kritischsten ist und wo es möglich ist, Verfahren zu vereinfachen, ohne den Datenschutz zu beeinträchtigen. Das heißt, implementieren Sie Kontrollen auf der Grundlage des Risikobewertungsprozesses. Was nützt Effizienz ohne Effektivität?

Darüber hinaus erkannte sie, wie wichtig es ist, eine Kultur des Bewusstseins und der Schulung der Mitarbeiter des Gerichts zu fördern, um sicherzustellen, dass alle mit den Sicherheitsmaßnahmen einverstanden sind und deren Relevanz für die Integrität des Betriebs verstehen. Nichtsdestotrotz spielen die Führer des Rechnungshofs eine entscheidende Rolle bei der Umsetzung von Sicherheitsmaßnahmen und bei der Balance zwischen der Agilität der Operationen.

Ein Blick über den Tellerrand: Vergleich mit anderen Organisationen

Um ihre Forschung abzuschließen, beschloss sie, eine Benchmark in einigen brasilianischen Unternehmen, um zu analysieren, wie die Praxis der Informationssicherheit durchgeführt wird. Zu diesem Zweck haben wir einen Artikel von Silva Netto, A. D., et al. Silveira, M. A. P. D. (2007) analysiert, der eine Stichprobe von 43 kleinen und mittleren Unternehmen in der ABC-Region von São Paulo untersucht, um herauszufinden, welche Methoden die gängigsten sind und welche Faktoren die Einführung von Informationssicherheitsmanagement motivieren oder hemmen. Die Ergebnisse zeigen, dass die am häufigsten verwendeten Techniken Virenschutz, Dateisicherung und Firewall sind und die wichtigsten demotivierenden Faktoren der Wert der Investition, die Schwierigkeit, das Kosten-Nutzen-Verhältnis zu messen, der Mangel an Wissen und die Organisationskultur der Unternehmen selbst sind. Unter den drei Schichten des Sicherheitsmanagements - physisch, logisch und menschlich - ist der Mensch diejenige, die am meisten Mängel aufweist. Wir müssen den Menschen zum stärksten Glied in der Kette machen!

Diese Forschung brachte Clarice dazu, ein wenig über den Unterschied zwischen dem, was sie untersucht hat, und dem, was in der Praxis gemacht wird, nachzudenken, da Unternehmen nicht immer die besten Methoden wählen, entweder weil sie nicht über Ressourcen oder Kenntnisse über Informationssicherheit verfügen, oder weil sie es vorziehen, weniger Sicherheit zu haben, aber auf der anderen Seite haben sie mehr Agilität in den Prozessen.

Stärkung der Cybersicherheit

Nach umfangreichen Recherchen und Hingabe waren Clarice, die Praktikantin, und Rodrigo, der Manager des Büros für organisatorisches Prozessmanagement des Superior Court, bereit, alle Informationen in einem umfassenden Bericht zusammenzufassen. Sie wussten, wie wichtig dieses Dokument war, um ihre Ergebnisse und Vorschläge Fernanda, ihrem Vorgesetzten, und Miguel, dem Leiter des Büros, zu präsentieren. Der Bericht wäre einer der Hinweise, um die Strategie zur Verhinderung künftiger Cyberangriffe und zur Erhöhung der Sicherheit der Geschäftsprozessabläufe des Rechnungshofs zu lenken.

Um ihre Schlussfolgerungen besser kommunizieren zu können, organisierte Clarice die Informationen auf prägnante Weise. Sie betonte die Bedeutung eines ausgewogenen Ansatzes zwischen Cybersicherheit und Effizienz in Geschäftsprozessen und zeigte, wie Führungskräfte eine Schlüsselrolle bei fundierten Entscheidungen spielen würden.

Als sie den entscheidenden Teil des Berichts erreichte, präsentierte Clarice den Umsetzungsvorschlag und hob das "IAA 2020 Dreilinienmodell" (IAA, 2020) hervor. Sie erläuterte, dass dieses Modell dem Rechnungshof helfen würde, Strukturen und Prozesse zu ermitteln, die zur Erreichung der Ziele beitragen und eine starke Governance und ein effizientes Risikomanagement erleichtern (Abbildung 6).

Abbildung 6 - Das Drei-Linien-Modell der IIA. Quelle: (IAA, 2020)

Clarice beschrieb die wichtigsten Punkte des Modells, einschließlich des prinzipienbasierten Ansatzes, der Betonung des Beitrags des Risikomanagements zur Wertschöpfung und des klaren Verständnisses der Rollen und Verantwortlichkeiten innerhalb des Modells.

Darüber hinaus betonte sie, wie wichtig es sei, die Aktivitäten und Ziele mit den vorrangigen Interessen der Interessengruppen , um sicherzustellen, dass das Office of Organizational Process Management sich verpflichtet hat, die Erwartungen derjenigen zu erfüllen, die auf die Sicherheit und Integrität des Gerichts vertrauen.

Nachdem der Bericht fertiggestellt war, war Rodrigo mit Clarices Unterstützung bereit, ihn Fernanda und Miguel zu präsentieren. Rodrigo bat um ein Treffen mit beiden. Bei der Vorstellung des Berichts betonte er die entscheidende Bedeutung der Situation und betonte, dass der jüngste Hackerangriff die Fragilität der Systeme und den dringenden Bedarf an robusteren Präventionsmaßnahmen offengelegt habe. Es wurde deutlich, dass viele Vorstände noch nicht darauf vorbereitet waren, Entscheidungen in Bezug auf Cybersicherheit auf höheren Managementebenen zu treffen. Dies gab Anlass zu erheblichen Bedenken.

Miguel, der Leiter des Büros für organisatorisches Prozessmanagement, stimmte der Dringlichkeit der Situation zu. Sie erkannten, dass gemeinsam daran gearbeitet werden sollte, die vorgeschlagenen Änderungen umzusetzen und die Cybersicherheit zu stärken. Die Möglichkeit neuer Angriffe und deren drohende Folgen machten die Notwendigkeit schneller und effektiver Entscheidungen unter Einbeziehung aller Beteiligten deutlich. Das Team stand nun vor einem kritischen Moment, in dem entschlossenes Handeln unerlässlich war, um die Systeme zu schützen und die Kontinuität des Gerichtsbetriebs zu gewährleisten.

Fragen zur Diskussion

  1. Was sind die größten Herausforderungen, mit denen Unternehmen konfrontiert sind, wenn sie Cyberrisiken in die Entscheidungen der Geschäftsleitung und die allgemeine Governance integrieren?
  2. Waren die Ergebnisse der Recherchen von Rodrigo und Clarice zufriedenstellend? Kommentieren Sie, was hätte getan werden können, um die durchgeführte Forschung zu verbessern.
  3. Welche Strategien können ergriffen werden, um den Rechnungshof widerstandsfähiger gegen künftige Cyberangriffe zu machen, ohne die Effizienz der Geschäftsprozesse zu beeinträchtigen?
  4. Was sind die wichtigsten Lehren aus dem vorangegangenen Hackerangriff und wie können sie genutzt werden, um die Widerstandsfähigkeit des Gerichtshofs gegen künftige Cyberbedrohungen zu stärken?
  5. Wie kann die Zusammenarbeit zwischen dem Amt für organisatorisches Prozessmanagement und anderen Bereichen des Rechnungshofs gestärkt werden, um die wirksame Umsetzung von Cybersicherheitsmaßnahmen zu gewährleisten?
  6. Wie können wir angesichts der ständigen Weiterentwicklung von Cyberbedrohungen die Bereitschaft des Gerichtshofs verbessern, in Zukunft mit ausgefeilteren Angriffen umzugehen?
  7. Wie wirkt sich die Implementierung von Sicherheitsmaßnahmen auf die Effizienz von Geschäftsprozessen aus? Was ist in diesem Szenario der bessere Ansatz: Effektivität oder Effizienz?
  8. Wie lassen sich Geschäftsrisiken mit operationellen Risiken in Beziehung setzen? Wie kann die Kommunikation zwischen verschiedenen Organisationsebenen in Bezug auf Risiken verbessert werden?

Anmerkungen der Autoren

¹Es ist wichtig klarzustellen, dass ein Ransomware-Angriff in mehreren Phasen eingesetzt wird. In diesem Fall der Lehre wurde beschlossen, dieses Thema zu vereinfachen und nicht zu didaktischen Zwecken zu vertiefen.

Galerie

Abbildung 7 - Funktionen und Kategorien des NIST Cybersecurity Framework. Quelle: NIST CSF (2018)
Abbildung 8: CIC-Sicherheitskontrollen. Quelle: McClain, S. & Sagerand, T. (2018)
Abbildung 9 - Aktuelles. Quelle: Delis Ortiz, TV Globo (2020)
Abbildung 10 - Aktuelles. Quelle: Mirelle Pinheiro, Carlos Carone, Metropole (2022)

Referenzen

Alves, Renato S.; Georg, Marcus A. C.; Nunes, Rafael R. (2022). Justiz unter Hackerangriffen: Geschäftsrisiken für die Cybersicherheit vor brasilianischen Gerichten. Monographie - Verwaltung, FACE, Universität Brasília - UnB, Brasília. DOI: 10.17013/risti.n.pi-pf. Abgerufen am: 22, Jul. 2023.

BRAZILIEN. [Verfassung (1988)]. Verfassung der Föderativen Republik Brasilien von 1988. Brasília, DF: Präsidentschaft der Republik, 2016. Abgerufen am 20. Juli 2023, verfügbar unter https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm.

BRASILIEN [allgemeines Datenschutzgesetz] (2018). Abgerufen am 24. Juli 2023 https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

CIS, Zentrum für Internetsicherheit. (2021). "Vereinfachte und priorisierte Anleitung zur Cybersicherheit – CIS Critical Security Controls - CSC, Version 8.0". Abgerufen am 23. Juli 2023, abrufbar unter: https://www.cisecurity.org/controls

Nationaler Justizrat [CNJ]. (2021a). Nationale Strategie für Cybersicherheit der Justiz. CNJ Verordnung Nr. 162/2021. Abgerufen am 23. Juli 2023, verfügbar unter: https://atos.cnj.jus.br/files/compilado1402302021061460c7617672ec5.pdf

Nationaler Justizrat [CNJ]. (2021b). Gerechtigkeit 4.0. Abgerufen am 21. Mai 2022, verfügbar unter https://www.cnj.jus.br/tecnologia-da-informacao-e-comunicacao/justica-4-0/

Nationaler Justizrat [CNJ]. (2012). Superior Courts: Was sind sie? Was machen sie?. JusBrasil. Abgerufen am 22. Juli 2023, verfügbar unter https://www.jusbrasil.com.br/noticias/tribunais-superiores-quais-sao-o-que-fazem/170117397

FebranTech, (2023). Abgerufen am 23. Juli 2023. https://febrabantech.febraban.org.br/temas/seguranca/brasil-e-segundo-pais-mais-atingido-por-ciberataques-na-america-latina-diz-relatorio

Hino, M. C., & Cunha, M. A. (2020). Einführung von Technologien aus der Perspektive von Juristen. Revista Direito GV, V. 16 (n. 1), e1952. Abgerufen am 22. Juli 2023. doi:10.1590/2317-6172201952.

Lima, Eduardo & Moreira, Fernando & Deus, Flavio & Amvame Nze, Georges & de Sousa Junior, Rafael & Nunes, Rafael. (2022). Bewertung der Betriebsroutine des nationalen Betreibers des brasilianischen Stromnetzes (ONS) in Bezug auf Risikomanagementmaßnahmen im Zusammenhang mit der Cybersicherheit. RISTI - Iberische Zeitschrift für Informationssysteme und -technologien. E49. 301-312. Abgerufen am 23. Juli 2023, verfügbar unter: https://www.researchgate.net/publication/362916438_Avaliacao_da_Rotina_Operacional_do_Operador_Nacional_do_Sistema_Eletrico_Brasileiro_ONS_em_Relacao_as_Acoes_de_Gerenciamento_de_Riscos_Associados_a_Seguranca_Cibernetica

McClain, S. & Sagerand, T. (2018). "Prüfen, Bewerten, Analysieren: Ein priorisierter Ansatz nach dem Pareto-Prinzip". Abgerufen am 23. Juli 2023, verfügbar unter: https://www.cisecurity.org/insights/white-papers/auditing-assessing-analyzing-a-prioritized-approach-using-the-pareto-principle

NIST_CSF, Cybersecurity Framework, Version 1.1, (2018). "Rahmenwerk zur Verbesserung der Cybersicherheit kritischer Infrastrukturen". Abgerufen am 23. Juli 2023, verfügbar unter: https://nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.04162018.pdf

NIST-Sonderveröffentlichung (SP) 800-53, Revision 5, (2020). "Sicherheits- und Datenschutzkontrollen für föderale Informationssysteme und -organisationen". Abgerufen am 23. Juli 2023, verfügbar unter: https://doi.org/10.6028/NIST.SP.800-53r5

Die PF verhaftet die Täter von Cyberangriffen auf die von der STF betriebene Website, Pinheiro Mirelle, Carone Carlos. Metropole, 2022. Verfügbar unter: https://www.metropoles.com/distrito-federal/na-mira/pf-prende-autores-de-ataques-ciberneticos-a-site-mantido-pelo-stf . Abgerufen am 24. Juli 2023

Die Bundespolizei identifizierte einen Hacker, der in das STJ-System eingedrungen ist, sagt Generaldirektor Ortiz, Denis. TV Globo, 2020. Verfügbar unter: https://g1.globo.com/politica/noticia/2020/11/06/policia-federal-identificou-hacker-que-invadiu-sistema-do-stj-diz-diretor-geral.ghtml . Abgerufen am 24. Juli 2023.

Silva Netto, A. D., & Silveira, M. A. P. D. (2007). Informationssicherheitsmanagement: Faktoren, die die Einführung in kleinen und mittleren Unternehmen beeinflussen. JISTEM-Zeitschrift für Informationssysteme und Technologiemanagement, 4, 375-397.

Oberster Gerichtshof, (2023). Abgerufen am 23. Juli 2023 https://portal.stf.jus.br/textos/verTexto.asp?servico=centralDoCidadaoCartaDeServiServicosJurisdicionais&pagina=processosConsultaProcessual

Bundesgericht. (2018). Elektronisches Prozessprogramm: Der Oberste Gerichtshof im Einklang mit der Zukunft. Abgerufen am 22. Juli 2023, verfügbar unter https://portal.stf.jus.br/textos/verTexto.asp?servico=processoPeticaoEletronica&pagina=Informacoes_gerais_apos_desligamento_v1 .

Das Institut für Interne Auditoren [IAA]. (2020). IAA 2020 Drei-Linien-Modell: Eine Aktualisierung der drei Verteidigungslinien. Abgerufen am 23. Juli 2023, verfügbar unter: https://iiabrasil.org.br/noticia/novo-modelo-das-tres-linhas-do-iia-2020

Über die Autoren

Gabriel Marinho Godinho ist Student der Betriebswirtschaftslehre an der Universität Brasilia, Mitglied des ADM Casoteca Teams und ehemaliges Mitglied von AD&M Business Consulting. Er verfügt über Berufserfahrung als Projektberater, arbeitete im Bereich Public Management und arbeitet derzeit als Organizational Process Analyst bei einem der größten Versicherungsmakler in Brasilien. E-Mail: g.marinho99@gmail.com

Beatriz Teles Fernandez studiert Betriebswirtschaftslehre an der Universität Brasília und ist Mitglied des Casoteca ADM Teams. E-Mail: falecombtf@gmail.com

Renato Solimar Alves ist Manager für Informationssicherheit und Informationstechnologie und arbeitet seit 15 Jahren im Bereich des Schutzes technologischer Ressourcen in der Justiz. Er ist aktives Mitglied des Information Security Management Committee of the Judicial und hat zur Definition und Umsetzung von Richtlinien und Richtlinien beigetragen, die die Cybersicherheit und die Reaktion auf Sicherheitsvorfälle im Justizbereich stärken. Er hat einen Master-Abschluss in Elektrotechnik, eine Spezialisierung in Systems Engineering, nachdem er zuvor einen Abschluss in Mobilfunktechnik gemacht hat und einen technischen Hintergrund in Elektronik hat. Seine Erfahrung umfasst die Leitung von Teams im öffentlichen Sektor und in Telekommunikationsunternehmen.

Carlos Zottmann Er hat einen Abschluss in Datenverarbeitungstechnologie von den Integrated Colleges der Católica de Brasília, einen MBA in IT-Governance von Unieuro und einen Postgraduierten-Abschluss in digitalem Recht und Datenschutz von IDP in Lato Sensu. Er ist Certified Information Systems Security Professional (CISSP) von ISC2 und studiert derzeit Masterstudent in Cybersicherheit an der Universität Brasília (UnB). Fachmann mit mehr als 30 Jahren Erfahrung in der IT, der hauptsächlich in Justizbehörden gearbeitet hat. Seit 1994 ist er Mitarbeiter des Obersten Gerichtshofs, wo er als Manager in den Bereichen Infrastruktur und Cybersicherheit tätig war, und seit 2018 dem Obersten Wahlgericht zugeordnet, wo er als Leiter des Strategischen Zentrums für Cybersicherheitsmanagement tätig ist.

Rafael Rabelo Nunes ist ein Fachmann mit einem Hintergrund in der IT und einer aktiven Lehrtätigkeit, der in der Synergie zwischen Technologie und Menschen den Motor für die Transformation von Organisationen sucht. Derzeit ist er in Teilzeit außerordentlicher Professor an der Universität Brasilia, wo er sich der Lehre und Forschung widmet, wie IT von Menschen und Organisationen unter Berücksichtigung der damit verbundenen Risiken strategisch eingesetzt werden kann. Er ist Berater für Risikomanagement am Bundesgericht und Professor am UniAtenas University Center. Er hat an der Universität Brasilia in Elektrotechnik promoviert. Abschluss in Kommunikationsnetztechnik an der Universität Brasilia. E-Mail: rafaelrabelo@unb.br

Herausgeber: Nicole Alonso Santos de Sousa Sie ist Doktorandin der Abteilung für Verwaltung (ADM/FACE) der Universität Brasília (UnB) und Co-Koordinatorin der ADM Casoteca. Postgraduierten-Abschluss in Finanzen und Controlling (MBA USP/ESALQ). Bachelor in Betriebswirtschaftslehre (UnB). E-Mail: nicolealonso2000@gmail.com

Herausgeber: Luiz Henrique Lima Rodrigues studiert Betriebswirtschaftslehre an der Universität Brasília und ist Co-Koordinator der ADM Casoteca. Direktor für Beziehungen 2024 bei Concentro (Verband der Nachwuchsunternehmen des Bundesdistrikts). E-Mail: luizhenriquelima305@gmail.com.

Es handelt sich um ein Werk der Fiktion, jede Ähnlichkeit mit Namen, Personen, Fakten oder Situationen aus dem wirklichen Leben wird rein zufällig gewesen sein. Dieser Text ist ausschließlich für akademische Studien und Diskussionen bestimmt, und seine Verwendung oder Vervielfältigung in anderer Form ist untersagt. Bei Urheberrechtsverletzungen wird der Täter mit den Strafen des Gesetzes Nr. 9,610/1998 bestraft.

Dieser Beitrag war eine Zusammenarbeit zwischen

Casoteca Team

Support-Team

Gabriel Marinho Godinho

Beatriz Teles Fernandez

Rafael Rabelo Nunes

Nicole Alonso Santos de Sousa

Doktorand und Bachelor in Verwaltung an der Fakultät für Verwaltung der Universität Brasília und Co-Koordinator der ADM Casoteca. Postgraduiertenabschluss in Finanzen und Controlling (USP/ESALQ).

Der Link wurde kopiert!
Sie haben Casoteca ADM erfolgreich abonniert
Willkommen zurück! Sie haben sich erfolgreich angemeldet.
Großartig! Sie haben sich erfolgreich angemeldet.
Ihr Link ist abgelaufen
Erfolg! Überprüfen Sie Ihre E-Mails auf einen magischen Link zur Anmeldung.