O Tribunal de Justiça do Estado da Bahia (TJ-BA) tem enfrentado, nos últimos anos, o desafio de conhecer a real postura da corte diante das ameaças digitais, considerando todos os riscos que a estrutura sofre cotidianamente, com processos crescentemente digitalizados. Nesse sentido, a instituição buscou em suas parcerias com a Trend Micro e TecnoAtiva estratégias para ampliar sua observabilidade sobre seu ambiente e estabelecer processos automatizados de gestão. Essa jornada de transformação da gestão de risco foi apresentado durante o Security Leaders Salvador deste ano.
De acordo com o diretor de Infraestrutura de TIC do TJ-BA, Henrique Roma, a demanda do Tribunal envolvia, essencialmente alinhar possibilidades de medição das ameaças em uma plataforma unificada, que possibilitasse a formação de um histórico de evolução do gerenciamento de risco, bem como a uniformização desse padrão com o resto do Judiciário. Essa ausência gerava empecilhos tanto para a priorização das ações quanto a avaliação dos resultados alcançados.
“O trabalho de gerenciamento de risco contínuo vem demonstrando cada vez mais a necessidade de da equipe trabalhar de forma efetiva e direcionada. Sabemos que no, final do dia, nenhum de nós vamos conseguir lidar com todos os problemas. Nós não vamos conseguir resolver todas as vulnerabilidades. A palavra-chave é priorização”, disse Roma, durante o Security Leaders Salvador.
Diante disso, a estratégia utilizada foi a adoção de um modelo de gestão contínua do risco cibernético, apoiado em Big Data, computação em nuvem e Inteligência Artificial. A iniciativa contou com o apoio da Trend Micro e da TecnoAtiva, e de acordo com Andrea Campelo, fundadora e CEO, para se basear em três pilares de ação: Estabelecimento de novas tecnologias para coordenar a infraestrutura, estabelecimento de uma base de dados sólidas a partir desse monitoramento, e o uso de recursos de IA e Machine Learning para detectar vulnerabilidades e promover respostas proativas contra eventuais ameaças.
Esse processo também se baseou no uso de frameworks consolidados, como NIST, ISACA e MITRE, que fornecem metodologias testadas e reconhecidas internacionalmente para cálculo e gestão de risco. Além disso, a atuação contínua de equipes que supervisionam os resultados, transformando os dados técnicos em informações estratégicas para tomada de decisão, foi crucial para a resposta definitiva do projeto.
Redução do risco e Cultura de SI
Segundo Roma, a ação teve resultados bastante eficientes logo nos primeiros momentos, contando, inclusive, com uma redução significativa no índice de risco do órgão: de 60 para 34 pontos. De acordo com Flávio Silva, Especialista em Segurança e Technical Leader da Trend Micro, a redução do risco foi alcançada por uma abordagem baseada no NIST, que orienta tanto a metrificação dos ativos quanto o cálculo de risco propriamente dito.
O diferencial, Na visão de Silva, foi a automatização do processo. Em vez de análises anuais ou manuais, a plataforma adotada passou a monitorar continuamente os ativos, recalculando o índice de risco de forma dinâmica. “O risco muda todo dia. Se nada for feito, ele só sobe. A gestão contínua nos permite reagir e reduzir o impacto”, explicou o especialista.
Outro recurso utilizado foi a aplicação da funcionalidade que permite simular os possíveis caminhos que um atacante poderia percorrer dentro da infraestrutura digital do órgão. De acordo com os Líderes, dessa maneira, é possível identificar pontos críticos e priorizar ações que eliminem vulnerabilidades de maior impacto.
Além dos ganhos técnicos, o projeto promoveu uma mudança cultural no TJ-BA. Roma ressaltou que a Segurança deixou de ser vista apenas como uma questão de infraestrutura de TI e passou a ser tratada como tema estratégico.
“Hoje, conseguimos demonstrar ao alto escalão do tribunal que risco cibernético é um assunto de negócio. Isso abriu espaço para priorizar investimentos, descontinuar sistemas legados e integrar áreas como desenvolvimento, redes e suporte na gestão de Segurança”, conclui.
O Case de Sucesso “Gestão Contínua do Risco Cibernético no TJ-BA” foi apresentado durante a edição de 2025 do Security Leaders Salvador. A próxima parada do Roadmap do Congresso será na cidade de Fortaleza, no próximo dia 10 de setembro. Logo em seguida, a caravana encerrará o ano com chave de ouro no Security Leaders Nacional, em São Paulo, nos dias 22 e 23 de outubro.
