No dia 30 de dezembro de 2024, Carlos Eduardo Miranda Zottmann, estudante do Programa de P\u00f3s-Gradua\u00e7\u00e3o Profissional em Engenharia El\u00e9trica (PPEE) da Universidade de Bras\u00edlia (UnB), defendeu sua disserta\u00e7\u00e3o intitulada “Proposta de Modelo de Conformidade sobre as Melhores Pr\u00e1ticas relativas \u00e0 Seguran\u00e7a de Cadeias de Suprimentos de Software”. Sob a orienta\u00e7\u00e3o do professor Rafael Rabelo Nunes e coorienta\u00e7\u00e3o do professor Jo\u00e3o Jos\u00e9 Costa Gondim, a pesquisa abordou um tema relevante e atual na \u00e1rea de seguran\u00e7a da informa\u00e7\u00e3o.<\/p>\n\n\n\n
A pesquisa de Carlos trata do processo de produ\u00e7\u00e3o de software, que envolve a colabora\u00e7\u00e3o de equipes de desenvolvimento, o uso intensivo de c\u00f3digo de terceiros e a automa\u00e7\u00e3o na implanta\u00e7\u00e3o para o consumo externo. Essa estrutura \u00e9 conhecida como cadeia de suprimentos de software, a qual tem sido alvo de ataques cada vez mais sofisticados. Apesar de boas pr\u00e1ticas de seguran\u00e7a estarem sendo publicadas, ainda n\u00e3o existe um conjunto \u00fanico e amplamente reconhecido de padr\u00f5es para garantir a seguran\u00e7a dessa cadeia. O objetivo da disserta\u00e7\u00e3o foi consolidar as melhores pr\u00e1ticas de seguran\u00e7a e propor um modelo que re\u00fana as recomenda\u00e7\u00f5es dos principais frameworks voltados ao tema. Baseado no m\u00e9todo do Center for Internet Security, o modelo desenvolvido visa comparar esses frameworks e detalhar os controles de seguran\u00e7a necess\u00e1rios, resultando em um Modelo de Conformidade que abrange o c\u00f3digo-fonte, depend\u00eancias de terceiros, ambiente de compila\u00e7\u00e3o e ambiente de implanta\u00e7\u00e3o. Esse modelo pode ser utilizado tanto para avaliar a conformidade dos controles de seguran\u00e7a adotados quanto para subsidiar a cria\u00e7\u00e3o de um plano de melhoria para alcan\u00e7ar o n\u00edvel de seguran\u00e7a desejado.<\/p>\n\n\n\n
Durante sua trajet\u00f3ria no PPEE, Carlos se destacou por suas publica\u00e7\u00f5es cient\u00edficas, como os artigos “Comparing Software Supply Chain Protection Approaches” no Workshop on Communication Networks and Power Systems (WCNPS) em dezembro de 2023, “Compara\u00e7\u00e3o de abordagens de prote\u00e7\u00e3o \u00e0 cadeia de suprimento de software” na Revista Ib\u00e9rica de Sistemas e Tecnologias de Informa\u00e7\u00e3o – RISTI, n\u00ba E70, “Proposta de Metodologia para Avalia\u00e7\u00e3o de Riscos de Privacidade para \u00d3rg\u00e3os do Poder Judici\u00e1rio no Brasil” e “Enfrentando os Ataques Hackers: Controles de Seguran\u00e7a da Informa\u00e7\u00e3o Priorit\u00e1rios para o Tratamento dos Riscos de Neg\u00f3cio do Poder Judici\u00e1rio” no Encontro Nacional de Administra\u00e7\u00e3o da Justi\u00e7a (ENAJUS), ambos em outubro de 2023, e “N\u00e3o \u00e9 s\u00f3 trocar a senha: Seguran\u00e7a Cibern\u00e9tica no Tribunal Superior” na Casoteca ADM, em janeiro de 2024.<\/p>\n\n\n\n
Em sua reflex\u00e3o sobre a experi\u00eancia no PPEE, Carlos compartilhou como iniciou sua trajet\u00f3ria como aluno especial, com o objetivo de avaliar a possibilidade de conciliar seus estudos com as atividades profissionais cotidianas. Essa experi\u00eancia inicial foi t\u00e3o positiva que ele se tornou aluno regular. Durante o curso, teve acesso a disciplinas de alto n\u00edvel, com professores excelentes, al\u00e9m de ampliar seu conhecimento atrav\u00e9s do estudo de artigos cient\u00edficos produzidos por pesquisadores do mundo inteiro. Esse ambiente de aprendizado foi crucial para a expans\u00e3o do seu pensamento profissional. Carlos destacou que o tema da seguran\u00e7a de cadeias de suprimentos de software \u00e9 extremamente atual e acredita que sua pesquisa trar\u00e1 uma contribui\u00e7\u00e3o valiosa para organiza\u00e7\u00f5es que buscam realizar diagn\u00f3sticos de seguran\u00e7a ou planejar melhorias para atingir o n\u00edvel de seguran\u00e7a desejado.<\/p>\n\n\n\n