Menu

Auditoria de TI, GRC, Segurança Cibernética, Riscos e Controles

Sobre – Tiago Souza – Auditoria de TI e Segurança Cibernética

sobre

Da curiosidade tecnológica à liderança em riscos: 18+ anos transformando complexidade em resultados.

Minha paixão por tecnologia começou no final dos anos 90, com um Pentium III e muita curiosidade.

Do autodidatismo à liderança estratégica, hoje combino profundidade técnica em GRC e segurança da informação com visão executiva em ambientes regulados, traduzindo complexidade em soluções práticas.

Destaques de Carreira e Experiências Profissionais

Atuação em Fintech Regulada pelo Banco Central do Brasil (BACEN)

  • Estruturei do zero as áreas de Controles Internos, Riscos Operacionais, Compliance e Riscos Financeiros.

  • Implementei frameworks COSO ICIF e COSO ERM, além de ter escrito políticas, normas e procedimentos considerando os requisitos de supervisão bancária do BACEN.

  • Capacitei 300+ colaboradores em programas de conscientização sobre riscos operacionais e cibernéticos.

  • Implementei as metodologias para mapeamento de processos (BPM/BPMN), identificação e avaliação de riscos, e testes de desenho (TOD) e de efetividade operacional (TOE) dos controles.

LGPD e Resiliência Corporativa
  • Membro de Comitê de Conformidade à LGPD: Escrevi políticas e procedimentos de compliance à Lei Geral de Proteção de Dados, defini controles mínimos necessários para tratamento de dados pessoais, conduzi compliance assessments, mapeei os dados pessoais nos processos e as avaliações de impacto à privacidade (PIA), desenvolvi programas de capacitação e ações de conscientização sobre privacidade.

  • Membro de Comitê de Continuidade de Negócios: Elaborei as estruturas dos planos de continuidade de negócios, resposta a incidentes, continuidade operacional, recuperação de desastres, análise de impacto nos negócios, estratégias de continuidade e os requisitos de segurança, identificação do RTO e RPO dos processos críticos e testes dos planos de continuidade.

Auditoria e Consultoria em Big Four
  • Na Ernst & Young (EY), atuei como auditor e consultor em projetos de ITGC, ITAC, GRC e SOX 404, mapeando riscos de TI, avaliando controles e apoiando a implementação de práticas baseadas em frameworks reconhecidos.

  • Trabalhei com normas e frameworks como ISO 27001, NIST CSF, OWASP e COBIT, sempre alinhando requisitos técnicos aos objetivos estratégicos do negócio.

  • Atendi clientes de setores como instituições financeiras, empresas automotivas, mineradoras, de telecomunicações e de saúde. Alguns dos clientes: Caixa Econômica Federal, Banco de Brasília, FIAT, Jeep, Unimed, Oi, Algar Telecom e AngloGold Ashanti.

Docência e Palestras

  • Professor no MBA “Governança, Risco, Controle e Compliance” da USP/Fundace: Ministro as disciplinas “Cybersecurity e Plano de Resposta a Incidentes” e “Tecnologia Forense e Processos de Cadeia de Custódia para Suporte a Litígios, com foco em Incidentes Cibernéticos”, conectando teoria à prática com casos reais e linguagem acessível.

  • Palestrante: Participei de congressos nacionais, apresentando sobre metodologias de gestão de riscos, e internacionais, reunindo países lusófonos, como as edições e do congresso internacional de administração, discutindo sobre segurança da informação, riscos e inteligência artificial.

Versatilidade Operacional e Estratégica
  • Transitei tanto em funções técnicas e execuções operacionais – como condução de auditorias, mapeamento de processos, testes de controles e avaliações de riscos – quanto em posições de gestão de pessoas, equipes e áreas especializadas, entendendo desafios operacionais e estratégicos.

  • Esta experiência diversificada me permite compreender tanto os aspectos técnicos quanto os desafios de gestão em ambientes corporativos complexos.

Trajetória Profissional Completa
  • Minha carreira iniciou-se em 2005, acumulando experiências diversificadas em diferentes setores e organizações.

  • Para conhecer o histórico completo de minha trajetória profissional, incluindo todas as posições, atividades e projetos desenvolvidos ao longo desses anos, convido você a visitar meu perfil no LinkedIn.

Principais Competências Técnicas

  • Governança, Riscos e Compliance (GRC): COSO ICIF, COSO ERM, ISO 31000, RCSA/CSA, KRIs, compliance regulatório, gestão de riscos corporativos, frameworks integrados de governança, controles-chave, políticas e normativos internos.

  • Auditoria e Controles Internos: ITGC, ITAC, SOX 404, Risk Assessment, testes de controles, avaliação de efetividade de controles, segregação de funções (SoD), trilhas de auditoria, compliance regulatório.

  • Cibersegurança e Segurança da Informação: ISO 27001/27002/27017/27701, NIST CSF, PCI DSS, CIS Controls, OWASP Top 10, MITRE ATT&CK, gestão de vulnerabilidades, resposta a incidentes, threat intelligence, OSINT.

  • Privacidade e Proteção de Dados: LGPD, GDPR, ISO 27701, Privacy Impact Assessment (PIA), governança de dados pessoais, políticas de privacidade, direitos dos titulares, consentimento e minimização de dados, relatório de impacto.

  • Continuidade de Negócios: ISO 22301, BIA, PCN, DRP (Disaster Recovery Plan), RTO e RPO, resiliência operacional, gestão de crises, exercícios de simulação, planos de resposta a incidentes e recuperação.

Formação Acadêmica

  • Pós-graduado em Direito Digital (Legale Educacional)

  • MBA em Big Data e Inteligência na Gestão de Dados (Faculdade VINCIT)

  • Pós-graduado em Ethical Hacking e CyberSecurity (Faculdade VINCIT)

  • MBA em Business Banking, Fintechs e Inovação (Pontifícia Universidade Católica de Minas Gerais – PUC Minas)

  • Pós-graduado em Auditoria, Risco e Controlo de Sistemas de Informação (Instituto Superior de Contabilidade e Administração de Coimbra – ISCAC & Coimbra Business School – CBS)

  • Pós-graduado em Gerenciamento de Projetos (Pontifícia Universidade Católica de Minas Gerais – PUC Minas)

  • Graduado em Sistemas de Informação (Universidade Presidente Antônio Carlos – UNIPAC)

Certificações Profissionais

  • EXIN Privacy and Data Protection Foundation (PDPF)

  • EXIN Information Security Foundation based on ISO/IEC 27001 (ISFS)

  • ITIL Foundation Certificate in IT Service Management (ITIL)

Conteúdo e Reflexões

Neste site e no meu perfil do LinkedIn, compartilho artigos, insights e reflexões sobre:

  • Segurança da Informação e Cibersegurança
  • Auditoria de Sistemas e Tecnologia da Informação
  • LGPD, GDPR e Privacidade de Dados
  • Computação Forense e Perícia Digital
  • Continuidade de Negócios, Riscos Cibernéticos e Resiliência Operacional
  • Cultura comportamental e segurança organizacional

Complementarmente, exploro temas como comportamento humano, cultura digital, produtividade, livros e práticas de meditação – porque segurança real começa pela consciência e responsabilidade individual.

Causas Sociais e Voluntariado

Paralelamente à minha carreira profissional, engajo-me em ações de voluntariado e iniciativas voltadas para as comunidades e causas animais. Valorizo a consciência social e, por isso, faço questão de fazer a diferença, não apenas na esfera profissional, mas também na comunidade em que vivo.

Propósito

Mais do que seguir normas e frameworks, o propósito é ajudar pessoas e organizações a tomarem decisões mais conscientes, seguras e éticas no uso da tecnologia.

Este site é parte desse compromisso: um espaço para trocas, aprendizados e provocações críticas sobre os desafios contemporâneos da Segurança da Informação e da vida digital.

 

* * * * *

 

Site Footer

📜 Todo o conteúdo deste site está disponível sob a licença Creative Commons BY-NC-SA 4.0, salvo disposição em contrário.
🎓 O site possui fins educacionais e informativos, e nenhum conteúdo deve ser interpretado como aconselhamento jurídico ou tecnológico.
💬 As opiniões expressas neste site/blog são exclusivamente minhas e não representam as de meus empregadores passados, presentes ou futuros.
🔒 Valorizamos sua privacidade. Para mais informações, consulte nossa Política de Privacidade e o Aviso Legal.