不仅仅是更改密码：高等法院的网络安全

也可在 电子版

总结

最近，高等法院成为黑客攻击的目标，要求紧急审查和加强其网络安全措施。克拉丽斯 （Clarice） 是组织流程管理办公室 （Office of Organizational Process Management） 的实习生，负责对网络安全进行全面研究，并提交一份包含解决方案建议的报告，以减轻面临的风险，以支持重组法院的战略决策。此场景提供了一个机会来讨论信息安全的基本原理，探索在不损害组织生产力的情况下将网络风险降至最低的策略，并研究高级管理层在关键业务流程和风险管理中实施安全控制时面临的挑战，邀请读者反思最佳实践与安全领域实际采用的最佳实践之间可能存在的差距控制论。通过对巴西高等法院的情况进行背景分析，它不仅旨在强调这种讨论的重要性，还旨在提高人们对网络安全、运营效率和组织文化之间复杂互动的认识。

关键字： 网络安全、法院、黑客攻击、案例管理、风险管理。

抽象

最近，最高法院成为黑客攻击的目标，要求紧急审查和加强其网络安全措施。克拉丽斯 （Clarice） 是组织流程管理办公室 （Organizational Process Management Office） 的实习生，她负责对网络安全进行深入研究，并提交一份报告，其中提出了减轻所面临风险的解决方案，以支持重组法院的战略决策。此方案提供了一个机会，可以讨论信息安全的基本原理，探索在不影响组织生产力的情况下将网络风险降至最低的策略，并研究高级管理层在关键业务流程和风险管理中实施安全控制时面临的挑战。本案例邀请读者反思推荐做法与网络安全领域实际采用的做法之间可能存在的差距。通过对巴西最高法院的情况进行背景分析，其目的不仅是为了强调这种讨论的重要性，也是为了提高人们对网络安全、运营效率和组织文化之间复杂相互作用的认识。

关键字： 网络安全、司法、黑客攻击、流程管理、风险管理。

法律路径：克拉丽斯的法庭之旅

作为一名工商管理专业的学生，在一门流程管理课上，Clarice 对业务流程的主题产生了兴趣，特别是因为工作流程的质量控制在组织现实中的相关性。由于她还没有第一次实习经历，她正在寻找一个可以发展她在该领域或相关领域技能的工作。在这次寻找中，她发现了一个不寻常的机会：在巴西 5 个高等法院之一的组织流程管理办公室实习（巴西，1988 年），协助绘制和改进该机构的业务流程。

进入法院后，当 Clarice 意识到渗透到环境中的技术创新时，她的期望大大超出了她的期望。这是司法系统数字化转型未来的真实一瞥。在这些新奇事物中，她指出了采用视频通话举行听证会，在她看来，这使得司法更容易获得和灵活。

此外，电子流程及其所有数字化阶段，从请愿书到流程完成，都表明官僚主义的面对方式发生了重大变化。最重要的是，通过“虚拟办公桌”提供的远程服务表明，最高法院真正接受了数字化转型，以更好地为民众服务。

Clarice 很高兴能深入研究这一创新领域，同时协助绘制业务流程。她的实习计划将是一次令人兴奋且充满学习的巴西司法系统核心之旅。

在实习的第一天，克拉丽丝的主管举行了一次 入职 ，其中他展示了一些有关该组织的文件，其中包括高等法院的组织结构图，其中突出了所有主要领域和部门。除了组织结构图之外，她还展示了价值链，其中突出了为实现组织目标和结果而执行的主要宏观流程。

通过审查她的上司传递的材料，克拉丽斯能够验证法院的一些特点，其中包括：在法院工作的法官被称为部长，他们都是由总统任命的，事先得到联邦参议院的批准。此外，在那里审判的案件要么直接在法院开始，要么审查州和联邦地区法院 （TRF） 的决定，也就是说，它们在司法程序中审判最终和重要的上诉。

此外，Clarice 对法院的价值链存在一些疑问，即哪些将是最终确定的业务宏观流程，因为价值链包含许多宏观流程，例如：流程的接收和分配、流程的分析和报告、决策的产生、判决、公证行为的司法处理和执行以及对命令和决定的遵守。

基于此，她决定安排一次会议与她的主管 Fernanda 会面以解决这些问题，Fernanda 向她解释说，与准备命令和决定相关的宏观流程被认为是组织的最终决定，因为它们是由地方法官直接执行的。

通过与 Fernanda 的这次谈话，Clarice 对法院的结构以及她在整个实习期间将从事的宏观业务流程有了更多的了解。

墙外：网络入侵和数据泄露

在这个充满新信息和期望的世界里，一个事件撼动了最高法院的进步：最高法院使用的其中一个系统遭到网络攻击。它是用于法院与诉讼各方（律师和案件各方）之间通信的系统，包含一些工具，例如程序咨询研究和提供一般信息，例如访问馆藏和常见问题。此外，在该机构本身内部，员工使用相同的系统作为移动流程的工具，即管辖条款通过该系统。

当攻击发生时，员工不是很清楚发生了什么，因为系统根本不可用。然而，随着时间的推移，情况没有正常化，关于袭击的谣言开始传播，不信任和恐惧的气氛开始出现，因为除了无法完成工作的压力外，现在系统会发生什么还存在不确定性。

后来，发现该系统有其局限性和漏洞，攻击者正是通过其中之一成功渗透了它，获得了对机密信息的访问权限¹。

但是，攻击者并没有直接挪用信息，而是部署了一种称为 “勒索软件” .这种类型的攻击的特点是使用恶意软件，它会加密受感染计算机和服务器上的所有数据。

之后，攻击者要求赎金以换取恢复信息所需的解密密钥。需要注意的是，根据巴西法律，在发生此类攻击的情况下支付赎金没有法律支持。

这导致系统不稳定，导致其离线一段时间，从而延迟了流程并在法院中建立了普遍的不安全感。在这种情况下，克拉丽丝发现自己迷失在了她在法庭上的第一个大问题中。不知道该怎么做，她转向了互联网。2022 年有 1031.6 亿次网络攻击未遂，这是 FortiGuard 实验室 ，这是 Clarice 在研究信息安全和网络攻击时发现的。Clarice 的工作也受到了其中一次攻击的影响，因为她使用了被黑客入侵的系统。现在，她和法院都将不得不面对这一新现实，并尝试解决这种情况，将后果降至最低，并重新考虑法院内的信息安全性，以免同样的情况再次发生。

影响很大！现在怎么办？

在高等法院的组织流程管理办公室，在毁灭性的黑客攻击之后，例行公事让位于一阵混乱和担忧的旋风......后果令人恐惧，并在几个方面立即显现出来。安全系统的功能不足，导致关键信息暴露无遗。一系列事件接踵而至，动摇了最高法院所代表的正义的本质。

组织流程管理办公室 （Office of Organizational Process Management） 的负责人 Miguel 和他的团队很快就意识到了这次攻击的后果。数据供应链中决策过程所需的信息发生了变化，导致法官之间出现混乱和不确定性。

一些秘密过程也被曝光，引起了广泛的愤怒和担忧。此外，在对事件的调查中，发现黑客可以提前获得正在进行的决定和决定，即使没有修改它们，也使司法系统的可信度受到控制。可能决定重要案件未来的决定受到了损害。

管辖权条款被中断，系统被网络攻击者瘫痪。最高法院是脆弱的，面对这种虚拟威胁，组织流程管理办公室的所有努力似乎都不够。

黑客攻击引发了一场与时间的赛跑，以恢复系统和法院形象的完整性。随着时间的推移，实施了姑息措施来遏制直接影响。然而，这一行为留下的伤害是深远的，完全康复的旅程才刚刚开始。现在，除了恢复之外，重点还放在改进安全和流程上，超越了已经实施的应急解决方案。

扭转这场史无前例的袭击影响的努力才刚刚开始，最高法院的每一位成员都知道，他们的承诺和奉献精神对于保护最高法院的诚信和确保正义得到伸张至关重要。

然而，克拉丽丝感到不安和焦虑，不知道面对摆在她面前的场景她能做些什么。有鉴于此，她要求与她的主管召开一次协调会议，以了解帮助公司实施新问题解决方案的最佳方式。

克拉丽斯 ： Fernanda，我对这次会议有点担心。黑客攻击后的情况让我们都感到担忧。

Fernanda （监事） ： 这次攻击真的很令人担忧，但这就是为什么我们需要更加加强自己。我希望您专注于一项重要任务......作为组织流程管理办公室的实习生，我希望您与流程管理办公室的经理之一 Rodrigo 一起进行一项调查，以提出可能的指导方针，重点是提高法院业务流程的安全性。为此，还要咨询技术团队，他们可以帮助您更好地了解挑战。

克拉丽斯 ： 我将努力进行这项研究。我希望它能以某种方式为未来改进流程的行动做出贡献。

费尔南达 ：没错，克拉丽斯。我完全信任您的能力，并且知道在 Rodrigo 的指导下，您都将带来有价值的想法，并有可能改进我们的流程。研究网络安全的最佳实践，探索技术， 框架 如有必要，请咨询 IT 秘书处的工作人员。

鉴于这些指导，Clarice 对分配给她的需求以及在她第一次实习时与其中一位经理一起产生如此相关影响的机会感到兴奋。因此，一项替代方案的研究开始了，试图找出该组织如何更好地构建自身以应对此类网络风险，该研究基于一项探索如何制定预防策略和如何提高法院流程安全性的研究

信息安全：概述

为了满足传递给他的需求，Rodrigo 确定了两人进行研究将要经历的步骤，图 1。

在第一阶段，“书目研究”，Clarice 负责确定一些相关主题，以防止未来黑客对法院的攻击。当她确定这些主题时，Clarice 将它们记录在一份报告中，以便稍后可以提交给她的主管 Fernanda 和办公室负责人 Miguel，整合为研究划定的阶段的结果。

受到她在公共领域工作的启发，她决定从法律中的规定开始，更具体地说，LGPD（通用数据保护法）对信息安全的规定。然而，在分析了法律之后，她发现并没有具体的方法推荐，法律只提到必须有足够的保护——而这，对于数据隐私来说——这被证明是另一个宇宙。

Rodrigo 对安全控制部分进行了研究。在发现的主题中，以下内容很突出： 框架 以及建议防范黑客攻击等必要安全控制的出版物：

信息系统和联邦组织的安全和隐私控制（NIST SP，2020 年）： 在这份出版物中，Rodrigo 确定了一系列关键信息，以提高高等法院业务流程的安全性。该出版物建立了特定的控制措施，这些控制措施可以在任何处理、存储或传输信息的组织或系统中实施。这些控制措施旨在加强网络安全和隐私，保护机构免受潜在威胁。

Rodrigo 还指出，该出版物表明了改善组织之间沟通的重要性，提供了一个通用词典来促进安全、隐私和风险管理概念的讨论。这使参与风险预防的团队能够对术语和目标有统一的理解，从而增强所实施策略的协作和有效性。

该出版物还概述了与安全和隐私控制相关的一些基本概念，全面概述了指导实施这些保护机制的原则和基本原理。她从中收集的关键概念之一是“安全控制”。这些控制措施是指组织可以实施的特定实践，以降低网络安全风险并保护其系统和信息免受威胁。它们涵盖广泛的措施，从安全程序和政策到运营技术和实践。

此外，出版物中的安全和隐私控制措施的整合目录对于组织来说是一个有价值的工具，它提供了特定控制措施的完整列表，每个控制措施都有一个讨论部分，解释了其应用的目的，并提供了有关如何适当实施和评估这些控制措施的有用信息。

我安全吗？我应该了解什么？

在向 Clarice 介绍他的发现时，Rodrigo 强调，该出版物提供了相关控制措施的列表，证明了不同控制措施之间的相互关系和依赖关系。这种全面的理解可以帮助组织流程管理办公室推荐一种综合的协同方法来实施这些安全措施。

NIST 网络安全框架 V 1.1 : 它由 框架 它以一种能够在整个组织（从执行级别到实施/运营级别）传达网络安全活动和结果的方式提供行业标准、指南和实践（NIST CSF，2018 年）。通过阅读列表，Clarice 能够识别出大约 5 个功能、22 个类别、98 个子类别和大约 1200 个安全控制措施，如 框架 ，图 2（NIST，2022 年， 阿普德 阿尔维斯，雷纳托 S.;乔治，马库斯 AC;Nunes， Rafael R.， 2022）。

Clarice 明白，当综合考虑时，这些角色提供了组织网络安全风险管理生命周期的高级战略视图（NIST CSF，2018 年）。然后， 框架核心 确定每个角色的主要基础类别和子类别（即特定结果），并将它们与信息参考示例相关联，例如每个子类别的现有标准、准则和实践。

框架 网络安全 CIS 控制 （CIS，2021 年）： 之 框架 以及 Rodrigo 研究和展示的出版物，Clarice 认为这一点 框架 作为最具说教性和最有前途的，因为它是从 NIST 结构的简化（NIST SP，2020 和 NIST CSF，2018）的基础上构建的。 她在 白皮书 由麦克莱恩&萨格兰德出版社（2018年）指出，这18项控制措施在此得到证明。 框架 旨在以最佳风险收益比满足组织关键基础设施的需求。这是基于帕累托原则，该原则指出 20% 的原因对大约 80% 的效果负责。因此，大约 20% 的 NIST 控制措施可以在网络安全方面提供大约 80% 的改进。

Clarice 意识到 CIS SSC 控制的实施遵循结构化和渐进的方法。该过程从 IG1 组开始，无论其可用资源如何，该组都被视为所有组织的强制性组。这第一步对于建立坚实的安全基础至关重要，即使对于资源有限的组织也是如此。

接下来，该框架解决了 IG2 组的问题，该组考虑了资源适中的组织。在此阶段，添加了额外的控制和安全措施，以应对更复杂的威胁并在中间级别降低风险。

最后，IG3 小组针对的是面临高风险的组织，例如高等法院。他们共同意识到，必须实施先进的控制和更复杂的网络安全策略，以应对极其严重的威胁并保护组织免受高度复杂的攻击（图 3）。

Clarice 意识到 框架 提供了一种战略性和结构良好的方法来加强法院的网络安全。分为三组 - IG1、IG2 和 IG3 - 允许控制措施的实施适应机构的特殊性和资源，使方法更加灵活和可及。

一些出版物和 框架 为了在高等法院实施可能的安全控制措施，Clarice 认为需要确定应优先实施控制措施的业务流程，因为所研究的材料定义了几个流程。

有鉴于此，Rodrigo 还确定了 2021 年 6 月 10 日第 162 号CNJ 法令“司法机构网络危机管理协议 – PGRC-PJ”，该法令规定了在中/长期网络危机发生之前和之后应执行的响应程序。在这份文件中，他能够意识到有必要确定维持组织最终活动的主要活动，确定维持这些活动的资产，并不断评估它们所面临的风险，以及这些是为预防网络危机风险而预见的行动（国家司法委员会， 2021a，第 15-16 页）。

有了这些信息，Clarice 记得她在实习开始时与主管的对话，在谈话中她询问了有关价值链的问题。在这次对话中，Fernanda 解释说，业务流程，即“订单和决策的准备”，被认为是组织的最终决定，因为它们是由地方法官直接执行的。因此，Clarice 得出结论，这些将是她报告中优先考虑的。

在确定业务流程的优先级后，Clarice 分别提交给高等法院，试图了解、分析事件的影响并进行参考研究，与组织中开展的活动相关的主要风险是什么。

在这次搜索中，由ALVES， Renato S. & GEORG， Marcus A. C. & Nunes， Rafael R. （2022）进行的研究被确定出来，该研究确定了司法机构主要活动的商业风险（图4）。

除了业务风险之外，在同一项研究中，Clarice 还能够通过对运营风险的原因和来源的分析来确定业务风险和运营风险之间的联系（图 5）。

在 ALVES、Renato S. 等人（2022 年）的这些研究结果之后，Clarice 已经可以设想在法院的优先业务流程中实施安全控制的地方，以加强其安全性，防止未来的攻击。

法院部门及其业务流程的安全性

在进行研究后，Rodrigo 回忆说，需要了解法院其他部门对其业务流程中安全控制实施的看法。因此，Clarice 负责对这些合作者进行访谈。在这些访谈中，她遇到了关于在业务流程中实施新安全控制的不同观点和担忧。

一些员工对此类更改可能带来的复杂性和延迟表示担忧，这是可以理解的。他们担心采用新的控制措施可能会干扰他们的日常生活，并可能导致运营阻力。

此外，实习生还注意到，对于已经在法院整合的系统的潜在修改，人们不愿意这样做。许多员工已经习惯了现有的界面和功能，任何变化都可能产生不适感，并需要适应新的数字工作环境。

尽管最初存在阻力，但 Clarice 意识到，一些访谈也揭示了他们对理解网络安全重要性的开放态度。更敬业的员工认识到，虽然对复杂性存在合理的担忧，但法院数据的安全性和完整性对于确保可信环境免受数字威胁至关重要。

安全和运营效率：成反比关系

当面临在高等法院研究防止未来网络攻击的替代方案的任务时，Clarice 陷入了一个有趣而关键的困境：增强的网络安全与业务流程中潜在的效率损失之间的反比关系。

Clarice 明白，实施网络安全控制对于加强法院对可能攻击的防御至关重要。采取严格的措施，如出版物和 框架 ，例如“网络安全 CIS CSC V 8.0”（CIS，2021 年），可以使系统更具弹性，不易受到网络威胁的影响。

然而，Rodrigo 提出的信息是，随着安全控制的实施和网络安全的加强，业务流程往往会变得更加复杂和耗时。添加安全层可能需要额外的检查、授权步骤和身份验证过程，这可能会影响活动的正常流程并导致某些进程变慢。

这种双重性使 Clarice 对如何平衡网络安全需求与法院的运营效率进行了深入思考。毕竟，确保信息安全对于保护诉讼程序的公平性和机密性至关重要，但在司法程序中保持敏捷性和效率的重要性也不容忽视。

为了应对这一挑战，Clarice 明白，理想的方法是在实施网络安全控制和优化业务流程之间找到平衡。这可以通过对控制措施的应用进行彻底和仔细的分析来实现，确定安全性最关键的位置以及可以在不影响数据保护的情况下简化程序的位置。也就是说，根据风险评估流程实施控制。没有效果的效率有什么用？

此外，她还意识到为法院员工促进意识和培训文化的重要性，以确保每个人都遵守安全措施并了解它们与运营完整性的相关性。尽管如此，法院的领导在实施安全措施以及平衡运营敏捷性方面发挥着至关重要的作用。

向外看：与其他组织的比较

为了完成她的研究，她决定做一个 基准 在一些巴西公司中分析信息安全实践是如何进行的。为此，我们分析了 Silva Netto， AD 等人的一篇文章。Silveira， M. A. P. D. （2007） 研究了圣保罗 ABC 地区的 43 家中小型公司的样本，以找出哪些是最常见的方法，哪些是激励或抑制采用信息安全管理的因素。结果表明，最常用的技术是防病毒、文件备份和防火墙，主要的消极因素是投资价值、衡量成本效益的难度、缺乏知识和公司本身的组织文化。最后，在安全管理的三个层次——物理、逻辑和人——中，人是最不足的。我们必须让人类成为链条中最坚固的一环！

这项研究让 Clarice 重新思考了她所研究的内容与实践中所做的之间的区别，因为组织并不总是选择最好的方法，要么是因为他们没有信息安全方面的资源或知识，要么是因为他们更愿意拥有较低的安全性，但另一方面他们将在流程中具有更高的敏捷性。

加强网络安全

经过广泛的研究和奉献，实习生 Cally 和高等法院组织流程管理办公室的经理 Rodrigo 准备将这些信息整合成一份综合报告。他们知道这份文件的重要性，因此需要向他们的主管 Fernanda 和办公室负责人 Miguel 介绍他们的发现和建议。该报告将成为指导战略的参考之一，以防止未来的网络攻击并提高法院业务流程的安全性。

为了更好地传达她的结论，Clarice 以简洁的方式组织了信息。她强调了在业务流程中网络安全和效率之间取得平衡方法的重要性，展示了领导者如何在做出明智的决策方面发挥关键作用。

在到达报告的关键部分时，Clarice 提出了实施建议，强调了“IAA 2020 三线模型”（IAA，2020）。她解释说，该模型将帮助法院确定有助于实现目标的结构和流程，并促进强有力的治理和高效的风险管理（图 6）。

Clarice 描述了该模型的要点，包括基于原则的方法、强调风险管理对价值创造的贡献以及对模型中角色和责任的清晰理解。

此外，她还强调了使活动和目标与 利益相关者 ，确保组织流程管理办公室致力于满足那些信任法院安全性和完整性的人的期望。

报告定稿后，Rodrigo 在 Clarice 的支持下准备将其提交给 Fernanda 和 Miguel。罗德里戈要求与两人会面。在报告介绍期间，他强调了这种情况的极端重要性，强调最近的黑客攻击暴露了系统的脆弱性以及迫切需要采取更有力的预防措施。很明显，许多董事会还没有准备好在更高级别的管理层中做出与网络安全相关的决策。这引起了严重的担忧。

组织流程管理办公室负责人 Miguel 同意这种情况的紧迫性。他们意识到应该开展联合工作来实施拟议的变更并加强网络安全。新攻击的可能性及其迫在眉睫的后果表明，需要让所有利益相关者参与快速有效的决策。该团队现在正面临一个关键时刻，必须采取果断行动来保护系统和确保法院运营的连续性。

供讨论的问题

1. 在将网络风险纳入高级管理决策和整体治理时，组织面临的主要挑战是什么？
2. Rodrigo 和 Clarice 的研究结果令人满意吗？评论可以做些什么来改进所进行的研究。
3. 可以采取哪些策略来提高法院对未来网络攻击的抵御能力，同时不影响业务流程的效率？
4. 从之前的黑客攻击中吸取的主要教训是什么，以及如何应用这些教训来加强法院对未来网络威胁的抵御能力？
5. 如何加强组织流程管理办公室与法院其他领域之间的合作，以确保有效实施网络安全措施？
6. 考虑到网络威胁的不断演变，我们如何加强法院的准备工作，以应对未来更复杂的攻击？
7. 实施安全措施对业务流程的效率有何影响？在这种情况下，哪种方法更好：有效性还是效率？
8. 如何将业务风险与运营风险相关联？如何改善不同组织级别之间的风险沟通？

作者笔记

¹需要澄清的是，勒索软件攻击分为几个阶段。在这种教学的情况下，决定简化而不是出于说教目的深入研究这个问题。

画廊

引用

阿尔维斯，雷纳托 S.;乔治，马库斯 AC;努内斯，拉斐尔 R.（2022 年）。黑客攻击下的司法机构：巴西法院网络安全的商业风险。专著 - 管理，FACE，巴西利亚大学 - UnB，巴西利亚。DOI： 10.17013/risti.n.pi-pf.访问日期：7 月 22 日。2023.

巴西。[宪法 （1988）]。1988 年巴西联邦共和国宪法。DF 巴西利亚：共和国总统府，2016 年。于 2023 年 7 月 20 日访问，可在 https://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm 使用。

巴西 [通用数据保护法] （2018）。于 2023 年 7 月 24 日访问 https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

CIS，互联网安全中心。（2021）. “简化和优先网络防御指南 - CIS关键安全控制 - CSC，版本8.0”。于 2023 年 7 月 23 日访问，网址：https://www.cisecurity.org/controls

国家司法委员会 [CNJ]。（2021a）. 司法机构网络安全国家战略。CNJ 第 162/2021 号条例。于 2023 年 7 月 23 日访问，网址： https://atos.cnj.jus.br/files/compilado1402302021061460c7617672ec5.pdf

国家司法委员会 [CNJ]。（2021b）. 正义 4.0。于 2022 年 5 月 21 日访问，网址为 https://www.cnj.jus.br/tecnologia-da-informacao-e-comunicacao/justica-4-0/

国家司法委员会 [CNJ]。（2012）. 高等法院：它们是什么？他们是做什么的？JusBrasil 的于 2023 年 7 月 22 日访问，可在 https://www.jusbrasil.com.br/noticias/tribunais-superiores-quais-sao-o-que-fazem/170117397

FebranTech，（2023 年）。于 2023 年 7 月 23 日访问。 https://febrabantech.febraban.org.br/temas/seguranca/brasil-e-segundo-pais-mais-atingido-por-ciberataques-na-america-latina-diz-relatorio

Hino， M. C. 和 Cunha， M. A. （2020）。从法律专业人士的角度采用技术。Revista Direito GV，第 16 卷（第 1 期），e1952。于 2023 年 7 月 22 日访问。doi：10.1590/2317-6172201952.

利马，爱德华多和莫雷拉，费尔南多和德乌斯，弗拉维奥和阿姆瓦姆·恩泽，乔治和小索萨，拉斐尔和努内斯，拉斐尔。（2022）. 评估巴西电力系统 （ONS） 国家运营商与网络安全相关的风险管理行动的日常作。RISTI - 伊比利亚信息系统与技术杂志。E49.301-312. 于 2023 年 7 月 23 日访问，网址： https://www.researchgate.net/publication/362916438_Avaliacao_da_Rotina_Operacional_do_Operador_Nacional_do_Sistema_Eletrico_Brasileiro_ONS_em_Relacao_as_Acoes_de_Gerenciamento_de_Riscos_Associados_a_Seguranca_Cibernetica

McClain， S. & Sagerand， T. （2018）。“审计、评估、分析：使用帕累托原则的优先方法”。于 2023 年 7 月 23 日访问，网址： https://www.cisecurity.org/insights/white-papers/auditing-assessing-analyzing-a-prioritized-approach-using-the-pareto-principle

NIST_CSF，网络安全框架，1.1 版，（2018 年）。“改善关键基础设施网络安全框架”。于 2023 年 7 月 23 日访问，网址： https://nvlpubs.nist.gov/nistpubs/cswp/nist.cswp.04162018.pdf

NIST 特别出版物 （SP） 800-53，修订版 5，（2020 年）。“联邦信息系统和组织的安全和隐私控制”。于 2023 年 7 月 23 日访问，网址： https://doi.org/10.6028/NIST.SP.800-53r5

PF 逮捕了对 STF 维护的网站进行网络攻击的肇事者 Pinheiro Mirelle 和 Carone Carlos。大都会，2022 年。可在以下网址获得： https://www.metropoles.com/distrito-federal/na-mira/pf-prende-autores-de-ataques-ciberneticos-a-site-mantido-pelo-stf .于 2023 年 7 月 24 日访问

联邦警察确定了入侵 STJ 系统的黑客，总干事 Ortiz， Denis 说。环球电视台，2020 年。可在以下网址获得： https://g1.globo.com/politica/noticia/2020/11/06/policia-federal-identificou-hacker-que-invadiu-sistema-do-stj-diz-diretor-geral.ghtml .于 2023 年 7 月 24 日访问。

Silva Netto， A. D.， & Silveira， M. A. P. D. （2007）.信息安全管理：影响其在中小型企业中采用的因素。JISTEM-信息系统与技术管理杂志，4,375-397。

最高法院，（2023 年）。于 2023 年 7 月 23 日访问 https://portal.stf.jus.br/textos/verTexto.asp?servico=centralDoCidadaoCartaDeServiServicosJurisdicionais&pagina=processosConsultaProcessual

联邦最高法院。（2018）. 电子流程计划：与未来同步的最高法院。于 2023 年 7 月 22 日访问，网址为 https://portal.stf.jus.br/textos/verTexto.asp?servico=processoPeticaoEletronica&pagina=Informacoes_gerais_apos_desligamento_v1 .

内部审计师协会 [IAA]。（2020）. IAA 2020 三线模型：三道防线的更新。于 2023 年 7 月 23 日访问，网址： https://iiabrasil.org.br/noticia/novo-modelo-das-tres-linhas-do-iia-2020

关于作者

加布里埃尔·马里尼奥·戈迪尼奥 是巴西利亚大学工商管理专业的学生，ADM Casoteca 团队的成员，也是 AD&M 商业咨询公司的前成员。他拥有项目顾问的专业经验，与公共管理部门合作，目前在巴西最大的保险经纪人之一担任组织流程分析师。电子邮件：g.marinho99@gmail.com

比阿特丽斯·泰勒斯·费尔南德斯 是巴西利亚大学工商管理专业的学生，也是 Casoteca ADM 团队的成员。电子邮件： falecombtf@gmail.com

雷纳托·索利马尔·阿尔维斯 是一名信息安全和信息技术经理，在司法机构的技术资源保护方面工作了 15 年。他是司法机构信息安全管理委员会的活跃成员，为加强网络安全态势和应对司法领域安全事件的政策和指导方针的制定和实施做出了贡献。他拥有电气工程硕士学位，专攻系统工程，之前毕业于移动电信技术专业，并拥有电子技术背景。他的经验包括领导公共部门和电信公司的团队。

卡洛斯·佐特曼 他拥有巴西利亚天主教综合学院的数据处理技术学位、Unieuro 的 IT 治理 MBA 学位和 IDP 的数字法律和数据保护的 Lato Sensu 研究生学位。他是 ISC2 认证信息系统安全专家 （CISSP），目前是巴西利亚大学 （UnB） 的网络安全硕士生。拥有 30 多年 IT 经验的专业人士，主要在司法机构工作。自 1994 年以来，他一直是高等法院的雇员，在那里他担任基础设施和网络安全领域的经理，自 2018 年以来被分配到高等选举法院，担任网络安全管理战略中心的负责人。

拉斐尔·拉贝洛·努内斯 是一位具有 IT 背景和积极教学事业的专业人士，他寻求技术与人员之间的协同作用，这是组织转型的引擎。他目前是巴西利亚大学的兼职教授，致力于教授和研究个人和组织如何在考虑所涉及的风险的情况下战略性地使用 IT。他是联邦最高法院的风险管理顾问，也是 UniAtenas 大学中心的教授。他拥有巴西利亚大学电气工程博士学位。毕业于巴西利亚大学通信网络工程专业。电子邮件： rafaelrabelo@unb.br

剪辑师：Nicole Alonso Santos de Sousa 她是巴西利亚大学 （UnB） 行政系 （ADM/FACE） 的研究生，也是 ADM Casoteca 的联合协调员。金融与控制研究生学位 （MBA USP/ESALQ）。工商管理学士 （UnB）。电子邮件：nicolealonso2000@gmail.com

编辑：Luiz Henrique Lima Rodrigues 是巴西利亚大学工商管理专业的学生，也是 ADM Casoteca 的联合协调员。Concentro（联邦区初级企业联合会）2024 年关系总监。电子邮件：luizhenriquelima305@gmail.com。

这是一部虚构作品，与名字、人物、事实或现实生活情况的任何相似之处都纯属巧合。本文仅供学术研究和讨论之用，禁止以任何其他形式使用或复制。侵犯版权者将受到第 9,610/1998 号法律的处罚。