No Mind The Sec 2025, um dos cases que mais chamou a atenção veio do setor público. Édipo Avelino, CIO do Ministério Público do Mato Grosso (MP-MT), subiu ao palco não para falar de tecnologias futuristas, mas para contar uma história real, com obstáculos comuns a muitas organizações: falta de recursos, equipes pequenas, rotinas sobrecarregadas e a incerteza trazida por mudanças frequentes de gestão.
“Não existe sistema 100% seguro. Mas quando temos uma direção clara e começamos pelo essencial, conseguimos construir maturidade de forma consistente”
Mind The Sec 2025: O desafio da continuidade
Édipo abriu sua fala lembrando um problema típico do setor público: a cada dois anos, uma nova gestão assume e muitos projetos simplesmente são engavetados. O risco era que a segurança da informação seguisse o mesmo caminho.
Para evitar isso, ele e sua equipe decidiram incluir o projeto de cibersegurança no planejamento estratégico institucional, com prazo de oito anos. Dessa forma, mesmo que mudassem os gestores, a iniciativa continuaria.
“Na nossa realidade, projetos correm o risco de serem esquecidos. Colocá-lo no planejamento institucional foi o que garantiu a sua sobrevivência”, contou.
Do papel à prática
Com a rota definida, veio a escolha das bases: os Controles da CIS, recomendados pelo CNMP e pelo TCU, e o NIST-CSF 2.0, atualizado em 2024. O caminho era claro, mas longe de ser fácil.
A primeira etapa foi olhar para o básico: inventário de hardware e software. Só depois disso a equipe pôde avançar para processos mais complexos, como recuperação de dados e gestão de vulnerabilidades.
“É tentador começar pelo que parece mais sofisticado. Mas não adianta querer falar de recuperação de dados se você nem sabe quais equipamentos e sistemas estão no seu ambiente”, explicou Édipo.
O peso da rotina e a disciplina do Scrum
Um dos trechos mais humanos da palestra foi quando Édipo falou sobre a dificuldade de levar o projeto adiante sem equipe dedicada. Os mesmos profissionais precisavam cuidar do dia a dia e, ao mesmo tempo, implementar novos controles.
“É normal chegar numa reunião e ouvir que nada avançou desde a semana anterior. O importante é ter disciplina e continuar cobrando evolução, mesmo que em passos pequenos”, confidenciou.
Para dar ritmo, o time adotou a metodologia Scrum, com sprints mensais e reviews semanais. Foi o jeito encontrado de manter o projeto vivo, mesmo nos períodos mais desafiadores.
Pequenas vitórias que fazem diferença
Entre os resultados, algumas conquistas se destacaram: a equipe passou a enxergar vulnerabilidades que antes estavam invisíveis; conseguiu se alinhar às recomendações de órgãos de controle; e elevou o nível de maturidade em cibersegurança.
Mais do que isso, ganhou respaldo institucional. Pela primeira vez, a TI conseguiu mostrar de forma clara à administração que a segurança estava sendo cuidada. “Mostramos para a instituição que a TI não está negligenciando. Se houver um incidente, ninguém poderá dizer que não fizemos nada”, destacou.
Lições de uma jornada coletiva
No fim da fala, Édipo compartilhou o que aprendeu nesses dois anos de projeto:
- Comece pequeno, mas comece. Mesmo com recursos limitados, é possível avançar.
- Aposte em open source, desde que avaliado com responsabilidade.
- Confie nas métricas, ainda que no início elas pareçam desmotivadoras.
- Segurança é um esporte coletivo. Quando toda a TI joga junto, o resultado aparece.
Essa última lição veio acompanhada de uma reflexão pessoal: o projeto ajudou a reduzir os atritos entre times de desenvolvimento, infraestrutura e segurança, transformando rivais internos em parceiros.
Mais do que tecnologia, cultura
A palestra de Édipo mostrou que amadurecer em cibersegurança não é apenas adotar frameworks ou comprar ferramentas. É também e principalmente mudar a forma como a instituição enxerga a própria segurança.
“Segurança nunca será absoluta, mas com estratégia, métricas e colaboração, conseguimos proteger melhor o cidadão e fortalecer a instituição”, concluiu, deixando claro que, por trás da sigla MP-MT, existem pessoas tentando todos os dias fazer a diferença.
