Minha jornada é impulsionada por um propósito simples e poderoso: compartilhar conhecimento e fortalecer a governança corporativa e tecnológica. Acredito que a resiliência das organizações nasce da integração entre governança, riscos, compliance e segurança da informação. Minha visão é fomentar um ambiente corporativo consciente, inovador e preparado para transformar desafios em oportunidades de aprendizado e crescimento.
Experiência e Atuação
Com uma trajetória de mais de 18 anos nas áreas de Governança, Riscos e Compliance (GRC), Segurança da Informação, Auditoria de TI e Privacidade de Dados, desenvolvi uma carreira equilibrando visão estratégica e profundidade técnica.
Na Ernst & Young (EY), uma das Big Four, liderei e conduzi auditorias externas e projetos de consultoria de TI para empresas dos setores financeiro, industrial, de telecomunicações e saúde. Apliquei frameworks como COBIT, ISO 27001, OWASP Top 10 e NIST CSF em avaliações de ITGC, ITAC e SOX 404, fortalecendo a governança e a conformidade em ambientes de alta complexidade.
Mais tarde, em uma instituição de pagamento (fintech) supervisionada pelo Banco Central do Brasil (Bacen), atuei na estruturação das áreas de Controles Internos, Riscos Operacionais e Compliance. Implementei frameworks como COSO ICIF, COSO ERM e COBIT, desenvolvendo matrizes de riscos e controles e assegurando aderência regulatória. Também coordenei programas de conformidade à LGPD, integrando a ISO 27701, e iniciei a implantação de práticas de Continuidade de Negócios com base na ISO 22301, conduzindo Análises de Impacto nos Negócios (BIA), desenvolvimento das estruturas dos Planos de Continuidade de Negócios (PCN), como os Planos de Resposta a Incidentos (PRI), Planos de Continuidade Operacional (PCO) e Plano de Recuperação de Desastres, além dos testes de resiliência e validação dos planos. Incorporei metodologias de threat modeling (STRIDE, MITRE ATT&CK) e controles técnicos do CIS Controls, aproximando a visão de governança da realidade operacional da cibersegurança.
Além do meio corporativo, atuo como professor convidado em MBA e palestrante em eventos nacionais e internacionais. Essa vivência acadêmico-profissional reforça minha convicção de que compartilhar conhecimento amplia resultados e consolida maturidade individual e organizacional.
Formação Acadêmica
- Graduação: Sistemas de Informação
- Pós-graduações e MBA’s:
-
- Auditoria, Risco e Controlo de Sistemas de Informação
-
- Direito Digital
-
- Big Data e Inteligência na Gestão de Dados
-
- Ethical Hacking e Cybersecurity
-
- Business Banking, Fintechs e Inovação
-
- Gerenciamento de Projetos
- Pós-graduação atual: Segurança Ofensiva e Inteligência Cibernética (em curso)
Certificações
- Information Security Foundation based on ISO IEC 27001 (ISFS)
- EXIN Privacy & Data Protection Foundation (PDPF)
- ITIL Foundation Certificate in IT Service Management (ITIL)
Competências Técnicas
- Governança, Riscos e Compliance (GRC): COSO ICIF, COSO ERM, COBIT, ISO 31000, ISO 31000, risk assessment, CSA/RCSA, Third-Party Risk Management (TPRM), KRIs/KPIs, compliance regulatório, gestão de políticas e frameworks corporativos.
- Auditoria e Controles Internos: ITGC, ITAC, SOX 404, ISAE 3402 / SOC 1 & 2, due diligence, testes de desenho (TOD) e de efetividade (TOE), SoD (Segregação de Funções), gestão de mudanças (GMUD) e auditorias baseadas em risco.
- Segurança da Informação: ISO 27001, ISO 27002, ISO 27005, ISO 27017, NIST CSF, PCI DSS, CIS Controls, SOC 1, SOC 2, gestão de vulnerabilidades, pentests, OWASP, MITRE ATT&CK, PTES, threat intelligence, gestão de incidentes, políticas de segurança e gestão de riscos de TI e de riscos cibernéticos.
- Privacidade e Proteção de Dados: LGPD, GDPR, ISO 27701, NIST Privacy Framework, RIPD/DPIA, mapeamento de dados (PII/SPI), privacy by design e privacy by default, gestão de consentimento, governança de dados e relacionamento com terceiros.
- Continuidade de Negócios e Resiliência Cibernética: ISO 22301, ISO 22313, Business Impact Analysis (BIA), Plano de Continuidade de Negócios (PCN), Plano de Recuperação de Desastres (DRP), Plano de Resposta a Incidentes (IRP), Plano de Continuidade Operacional (OCP), MTPD/RTO/RPO, testes de continuidade (tabletop) e integração entre continuidade, riscos e segurança.
Consultoria
Atuo também como consultor independente em Governança, Riscos e Compliance (GRC). Meu foco é apoiar organizações na estruturação e fortalecimento de suas linhas de defesa, garantindo a aderência às melhores práticas e às exigências regulatórias mais rigorosas. Meu trabalho é embasado em frameworks internacionais como COSO, COBIT, ISO 22301, ISO 27001, NIST e nas diretrizes específicas do Banco Central do Brasil.
Ofereço consultoria nas seguintes áreas:
- Controles Internos e Riscos Operacionais
- Auditoria e ITGC
- Continuidade de Negócios (GCN)
- LGPD (Lei Geral de Proteção de Dados)
- Gestão de Riscos de Terceiros (TPRM)
- Governança e Compliance Regulatória
- Treinamentos e Capacitação Corporativa
Filosofia de Trabalho
Minha filosofia de trabalho integra rigor técnico com uma visão estratégica apurada. Priorizo a clareza na comunicação, a colaboração interdepartamental e a construção de uma cultura robusta de riscos e controles que seja vivida no dia a dia, e não apenas documentada. Acredito que o compartilhamento de experiências e práticas é fundamental para elevar a maturidade organizacional e preparar profissionais para os desafios presentes e futuros.
Este Espaço
Este site transcende um portfólio profissional. É um espaço dedicado à troca de ideias, reflexões e aprendizado sobre GRC, Segurança da Informação, Controles Internos, Auditoria e Continuidade de Negócios. Meu objetivo é promover networking, fomentar a troca de experiências e disseminar conhecimento que fortaleça o ecossistema corporativo como um todo.
Vamos Conectar?
Se você deseja conversar sobre GRC, Controles Internos, Segurança da Informação ou qualquer tema relacionado à área, sinta-se à vontade para entrar em contato. Será um prazer trocar ideias e, se possível, contribuir com seus desafios.