No dia 30 de dezembro de 2024, Carlos Eduardo Miranda Zottmann, estudante do Programa de Pós-Graduação Profissional em Engenharia Elétrica (PPEE) da Universidade de Brasília (UnB), defendeu sua dissertação intitulada “Proposta de Modelo de Conformidade sobre as Melhores Práticas relativas à Segurança de Cadeias de Suprimentos de Software”. Sob a orientação do professor Rafael Rabelo Nunes e coorientação do professor João José Costa Gondim, a pesquisa abordou um tema relevante e atual na área de segurança da informação.
A pesquisa de Carlos trata do processo de produção de software, que envolve a colaboração de equipes de desenvolvimento, o uso intensivo de código de terceiros e a automação na implantação para o consumo externo. Essa estrutura é conhecida como cadeia de suprimentos de software, a qual tem sido alvo de ataques cada vez mais sofisticados. Apesar de boas práticas de segurança estarem sendo publicadas, ainda não existe um conjunto único e amplamente reconhecido de padrões para garantir a segurança dessa cadeia. O objetivo da dissertação foi consolidar as melhores práticas de segurança e propor um modelo que reúna as recomendações dos principais frameworks voltados ao tema. Baseado no método do Center for Internet Security, o modelo desenvolvido visa comparar esses frameworks e detalhar os controles de segurança necessários, resultando em um Modelo de Conformidade que abrange o código-fonte, dependências de terceiros, ambiente de compilação e ambiente de implantação. Esse modelo pode ser utilizado tanto para avaliar a conformidade dos controles de segurança adotados quanto para subsidiar a criação de um plano de melhoria para alcançar o nível de segurança desejado.
Durante sua trajetória no PPEE, Carlos se destacou por suas publicações científicas, como os artigos “Comparing Software Supply Chain Protection Approaches” no Workshop on Communication Networks and Power Systems (WCNPS) em dezembro de 2023, “Comparação de abordagens de proteção à cadeia de suprimento de software” na Revista Ibérica de Sistemas e Tecnologias de Informação – RISTI, nº E70, “Proposta de Metodologia para Avaliação de Riscos de Privacidade para Órgãos do Poder Judiciário no Brasil” e “Enfrentando os Ataques Hackers: Controles de Segurança da Informação Prioritários para o Tratamento dos Riscos de Negócio do Poder Judiciário” no Encontro Nacional de Administração da Justiça (ENAJUS), ambos em outubro de 2023, e “Não é só trocar a senha: Segurança Cibernética no Tribunal Superior” na Casoteca ADM, em janeiro de 2024.
Em sua reflexão sobre a experiência no PPEE, Carlos compartilhou como iniciou sua trajetória como aluno especial, com o objetivo de avaliar a possibilidade de conciliar seus estudos com as atividades profissionais cotidianas. Essa experiência inicial foi tão positiva que ele se tornou aluno regular. Durante o curso, teve acesso a disciplinas de alto nível, com professores excelentes, além de ampliar seu conhecimento através do estudo de artigos científicos produzidos por pesquisadores do mundo inteiro. Esse ambiente de aprendizado foi crucial para a expansão do seu pensamento profissional. Carlos destacou que o tema da segurança de cadeias de suprimentos de software é extremamente atual e acredita que sua pesquisa trará uma contribuição valiosa para organizações que buscam realizar diagnósticos de segurança ou planejar melhorias para atingir o nível de segurança desejado.
O trabalho completo está disponível em Produção discente no site do PPEE.
