Sobre

Sou profissional de segurança da informação, cibersegurança e gestão de riscos, com mais de 12 anos de experiência em ambientes regulados e de alta criticidade, como serviços financeiros, governo e indústria.

Minha principal habilidade é traduzir riscos técnicos em linguagem de negócio. Apoio decisões estratégicas conectando tecnologia, processos e pessoas, com foco em segurança da informação, governança, riscos, LGPD/privacidade e continuidade de negócios.

Atuação como fomentador de cultura de privacy by design & privacy by default e de uma visão integrada entre segurança, riscos, compliance e operações.

Segurança da Informação e Gestão de Riscos

Minha atuação em segurança da informação combina visão técnica e visão de governança.

Trabalho com:

  • Gestão de riscos de TI e riscos cibernéticos.
  • Análise de vulnerabilidades, exposição e superfície de ataque.
  • Uso de frameworks como NIST CSF, CIS Controls, normas ISO 27001, ISO 27002, ISO 27017 e atendimento ao PCI DSS.
  • Aplicação de OWASP, threat modeling (STRIDE), MITRE ATT&CK e MITRE ATLAS em avaliações técnicas e discussões de riscos.

Experiência também em testes de invasão (pentest) e participação em iniciativas de segurança ofensiva, apoiando avaliações de resiliência em sistemas críticos e exercícios de Red Team conduzidos por equipes especializadas. Nessas frentes, o foco é sempre traduzir achados técnicos em impacto para o negócio, priorizando correções com base em risco.

GRC, Auditoria de TI, LGPD e Continuidade de Negócios

Construí minha base em segurança da informação atuando em governança, riscos, controles internos, LGPD e auditoria de TI.

Na Ernst & Young (EY), atuei como Auditor e Consultor em IT Risk Assurance com:

  • Avaliações de ITGC e ITAC em grandes organizações.
  • Aplicação de COBIT, COSO ICIF, COSO ERM, ISO 27001 e NIST CSF em auditorias e projetos de consultoria.
  • Experiência nos setores financeiro, indústria automotiva, mineração, telecomunicações, industrial e saúde.
  • Atuação em clientes como Caixa Econômica Federal (CEF), Banco de Brasília (BRB), Fiat, Jeep, Unimed, Oi, Algar Telecom e AngloGold Ashanti.

Experiência em:

  • Auditoria de TI, controles gerais de TI (ITGC) e controles de aplicação (ITAC).
  • Revisão de acessos, SoD, perfis e RBAC em ambientes complexos, inclusive mainframe (z/OS, RACF) e bancos de dados corporativos.
  • Avaliações de terceiros com base em ISAE 3402 (SOC 1/2).

Em instituição de pagamento supervisionada pelo Banco Central do Brasil, atuei na construção e operação de áreas de:

  • Controles Internos e Riscos Operacionais.
  • Continuidade de Negócios (BCMS / PCN).
  • Conformidade à LGPD e proteção de dados pessoais.

Entre as principais entregas:

  • Estruturação de políticas, processos e governança de riscos com base em COSO ICIF, COSO ERM, ISO 31000 e COBIT.
  • Criação e evolução de RCSA / CSA, KRIs, KPIs, TPRM e matriz de riscos alinhada ao negócio e às Três Linhas de Defesa.
  • Experiência em testes de controles (TOD / TOE) e gestão de evidências de conformidade.
  • Atuação prática na condução de auditorias internas, externas, certificação PCI DSS e inspeções do Banco Central do Brasil (Bacen).

Com LGPD e proteção de dados:

  • Estruturação do Programa de Conformidade à LGPD, em alinhamento com LGPD, GDPR, ISO 27701 e NIST Privacy Framework.
  • Mapeamento de dados pessoais (PII / SPI), elaboração de RIPD / DPIA e definição de controles.
  • Integração entre LGPD, gestão de riscos e segurança da informação, com enfoque em privacy by design & privacy by default desde o desenho de produtos e processos.

Em continuidade de negócios:

  • Estruturação do Programa de Gestão da Continuidade de Negócios (PGCN) com base em ISO 22301 e ISO 22313.
  • Condução de BIA, definição de MTPD, RTO e RPO e mapeamento de processos críticos ponta a ponta.
  • Desenvolvimento de planos de continuidade de negócios (BCP), continuidade operacional (OCP), resposta a incidentes (IRP) e de recuperação de desastres (DRP), com testes e exercícios de mesa.
  • Integração entre continuidade, segurança da informação, gestão de incidentes, mudanças, problemas e TPRM.

Essa combinação de GRC, auditoria, LGPD e continuidade reforça minha visão de segurança da informação como função estratégica, e não apenas técnica.

Atuação Acadêmica e Compartilhamento de Conhecimento

Experiência como professor em MBA e capacitações online, com foco em:

  • Cibersegurança e plano de resposta a incidentes.
  • Tecnologia forense e cadeia de custódia em suporte a litígios.
  • Governança, riscos, controles internos e compliance em ambientes regulados.

As aulas são orientadas à prática. Uso estudos de caso, simulações e exemplos reais para aproximar frameworks e normas da realidade corporativa, fortalecendo a capacidade de tomada de decisão em cenários de risco e incidentes cibernéticos.

Sou também autor do curso online gravado ISO 27002 na prática: Guia completo dos 93 controles, disponível na Udemy com preço promocional. No curso, detalho cada um dos 93 controles da ISO/IEC 27002 com foco prático, mostrando como aplicar os requisitos em ambientes reais de negócios, auditoria e conformidade.

Acessar o curso ISO 27001 e 27002 na Prática na Udemy

Formação e Certificações

Formação acadêmica:

  • Pós-graduação em Segurança Ofensiva e Inteligência Cibernética (em curso)
  • Pós-graduação em Direito Digital
  • MBA em Big Data e Inteligência na Gestão de Dados
  • Pós-graduação em Ethical Hacking e Cybersecurity
  • Pós-graduação em Auditoria, Risco e Controlo de Sistemas de Informação
  • MBA em Business Banking, Fintechs e Inovação
  • Pós-graduação em Gerenciamento de Projetos
  • Graduação em Sistemas de Informação

Certificações:

  • EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS)
  • EXIN Privacy and Data Protection Foundation (PDPF)
  • ITIL Foundation Certificate in IT Service Management (ITIL)
  • Security+ (em andamento)

A formação em segurança ofensiva e inteligência cibernética complementa a base em GRC, auditoria, LGPD e continuidade, fortalecendo uma visão completa do ciclo de vida dos riscos e dos controles.

Este Espaço

Este site é um espaço para discutir segurança da informação, cibersegurança, governança, riscos, LGPD/privacidade, auditoria de TI e continuidade de negócios.

Aqui compartilho análises, referências de frameworks (ISO 27001, NIST, OWASP, MITRE ATT&CK, PCI DSS, CIS Controls, ISO 22301, LGPD, entre outros) e reflexões sobre como transformar segurança e gestão de riscos em decisões práticas de negócio.

Vamos conversar?

Se você busca alguém para apoiar temas de segurança da informação, gestão de riscos, LGPD/privacidade, controles internos, auditoria de TI ou continuidade de negócios, sinta-se à vontade para entrar em contato.

Será um prazer entender o contexto da sua organização e, quando fizer sentido, contribuir com soluções técnicas e orientadas a risco.