Tomada de Decisão em Segurança Cibernética: Modelo para Identificação de Joias da Coroa

Edvan Gomes da Silva; Marcus Aurélio Carvalho Georg; Luiz Antônio Ribeiro Júnior; Leonardo Rodrigo Ferreira; Rafael Rabelo Nunes

Ayuda

Tomada de Decisão em Segurança Cibernética: Modelo para Identificação de Joias da Coroa

Edvan Gomes da Silva ^[1] ; Marcus Aurélio Carvalho Georg ^[1] ; Luiz Antônio Ribeiro Júnior ^[1] ; Leonardo Rodrigo Ferreira ^[2] ; Rafael Rabelo Nunes ^[3]
1. [1] Universidade de Brasília
  
  Universidade de Brasília
  
  Brasil
2. [2] Secretaria de Governo Digital do Ministério da Gestão e da Inovação em Serviços Públicos (MGI), Brasil.
3. [3] Centro Universitário UniAtenas, Paracatu-MG, Brasil – Zipcode 38602-108 .
Mostrar afiliaciones +
Localización: RISTI: Revista Ibérica de Sistemas e Tecnologias de Informação, ISSN-e 1646-9895, Nº. Extra 77, 2025, págs. 60-73
Idioma: portugués
Títulos paralelos:
- Decision-Making in Cybersecurity: A Model for Identifying Crown Jewels
Enlaces
- Texto completo (pdf)
Resumen
- English
  The increasing reliance of organizations on critical information technology systems, known as “Crown Jewels,” underscores the need for effective methods for their identification and evaluation. This study presents a structured approach to classifying critical IT assets within the Brazilian Federal Executive Branch. The methodology involved a literature review, surveys with 57 System for the Administration of Information Technology Resources (SISP) managers, and collaborative brainstorming sessions to define and validate criteria and subcriteria.
  
  The findings identified five key criteria: Organizational Mission, Image and Reputation, Affected User Volume, Financial Impact, and Legal/Regulatory Impact, organized into a hierarchical model. The main contribution of this study is the development of a structured methodology that integrates theoretical foundations with empirical validation, providing an adaptable model for various organizational contexts while enhancing risk management and cybersecurity practices.
- português
  A crescente dependência de organizações em sistemas críticos de tecnologia da informação, conhecidos como “Joias da Coroa”, torna essencial o desenvolvimento de métodos eficazes para sua identificação e avaliação. Este estudo propõe uma abordagem estruturada para classificar ativos críticos no contexto dos órgãos do Poder Executivo Federal brasileiro. A metodologia adotada envolveu revisão de literatura, aplicação de questionários a 57 gestores do Sistema de Administração dos Recursos de Tecnologia da Informação (SISP) e sessões colaborativas de brainstorming para definir e validar critérios e subcritérios. Como resultado, foram identificados cinco critérios principais: Missão da Organização, Imagem e Reputação, Volume de Usuários Afetados, Impacto Financeiro e Impacto Legal/Regulatório, organizados em um modelo hierárquico. A principal contribuição deste estudo é a formulação de uma metodologia estruturada que integra bases teóricas e validação empírica, proporcionando um modelo adaptável a diferentes contextos organizacionais e aprimorando a gestão de riscos e segurança cibernética.