01

Introdução
a ISO 27001 e
LGPD.

LGPD
Afinal de contas, o que é
Proteção de Dados ?
Informação

✓ Salários
✓ Códigos de programa
✓ Ata de reunião de diretoria
✓ Estratégias de marketing
✓ Configuração de sistema
✓ Avaliação de desempenho
✓ Senhas
✓ Desenho do produto
✓ Diagramas de rede
✓ Receita
✓ CVV de cartão de crédito
✓ Memorial de cálculo
✓ Material de treinamento
✓ Informação médica
✓ Informação Financeira
✓ Propriedade Intelectual
ORGANIZAÇÃO, CONTEXTO, SIGNIFICADO
E RELAVÂNCIA
Fatos Recentes sobre segurança da informação

✓ EU REGULATION 2016/ 679 GDPR, Vigente a partir de 25/08/2018

✓ Resolução BACEN Nº 4658 de 26/04/2018 – Contratação de serviços em nuvem

a serem observados por instituições financeiras ou não autorizadas a
funcionar pelo banco central do Brasil

✓ Lei 13 709 LGPD Publicada em 14/08/2018

✓ Medida provisória Nº 869 publicada em 27de dezembro de 2018

América Latina e segurança da informação
América Latina e segurança da informação
América Latina e segurança da informação
América Latina e segurança da informação
Ciclo de vida da Informação

Criação
Busca

Processamento

Entrega Transmissão

Descarte Armazenamento
 Evolução conceitual da proteção de dados

✓ PARTES INTERESSADAS
Acionistas, Clientes e Colaboradores

✓ NOVOS FATORES CRITICOS

Globalização
Cultura loca e globalizada
Concorrência, disputas locais e globalizadas
Exposição global e globalizada

✓ PRESSÃO SOBRE OS NEGÓCIOS

Tecnologia
Legislação
Pirataria
Políticas e regulamentos fiscais
Imagem pública
Incidentes de perda de dados registrados no CERT.br
Incidentes Registrados no CERT.br
Pague menos – maio 2019

Logo após a compra

cliente recebe
propaganda de ofertas
A VERDADEIRA NUVEN- MUNDO DOS CABOS SUBMARINOS
OPICE BLUM Cyber View 2019

► 200 empresas de diferentes segmentos industriais onde 74% são de

médio e grande porte.
▪ 10% é o percentual de empresas que declaram que seus dados estão totalmente protegidos
com seus
sistemas atuais de proteção.
▪ 44% das empresas não possuem plano de contingência, nem provisionaram em seus
orçamentos os
custos vinculados a uma possível crise.
▪ 32% dos CEO’s considera cyber segurança uma prioridade.
▪ 23% dos gestores de Recursos Humanos considera cyber segurança uma prioridade.
Mitos e verdades sobre a proteção de dados
 Mitos e verdades sobre a proteção de dados

► Já contratamos um “firewall” e um antivírus. É mais

do que suficiente!
► Nunca aconteceu nada….
► Não utilizo a Internet. Não preciso de dessa historia
de segurança!
► A questão essencial da segurança é a tecnologia e
gastamos muito para tê-la!
► Contratamos uma empresa de segurança que cuida
de tudo!
► Minha mesa de trabalho é segura!
► Não é comigo!
Proteção de dados - Definição

► Mecanismo estratégico que viabiliza a definição, materialização, operação,

monitoramento, revisão, manutenção e melhoria de políticas, processos e procedimentos de
Segurança de Informação que suportam e contribuem para a consecução dos objetivos de
negócio de uma organização
 Proteção de dados – Principais Componentes

“Proteção da confidencialidade, integridade e disponibilidade, autenticidade, não repudio e confiabilidade

de nossos ativos de informação mediante a identificação e implantação de mecanismos de controle que
inviabilizam ou mitigam os riscos de ameaças sobre um determinado ativo”.
Domínios da Segurança de Dados
Benefícios de um SGI na proteção de dados

► Demonstração objetiva da aplicação eficaz de políticas e práticas de

Segurança de Informação
perante clientes, usuários, auditores e organismos regulamentadores.
► Rentabilidade.
► Imagem.
► Assegura o pleno atendimento da legislação aplicável ao negócio.
► Proteção estruturada de ativos da informação onde controles estão
vinculados a riscos, na
medida certa (“nem pouco, nem muito”).
► Alicerce fundamental da governança de uma organização.
► Vantagem competitiva
NBR ISO 27001 como ferramenta para a proteção de dados
Principais componentes da NBR ISO 27001:2013

► Aplicável a qualquer tipo e porte de organização.

► A principal finalidade de um Sistema de Gestão de Segurança da Informação (SGSI) é a
proteção de todos os ativos e meios de tratamento de informação contra a ação de
intrusos,
desavisados, malfeitores e criminosos.
► O conceito abrange os recursos e ativos de informação da segurança física, recursos
humanos,
suprimentos, serviços a clientes, engenharia, manutenção, comercial e (inclusive) o TI.
► A principal missão do SGSI é assegurar a confidencialidade, integridade e
disponibilidade
dos ativos de informação mediante a aplicação de um processo de gestão de riscos que
fornece
confiança para as partes interessadas de que os riscos efetivamente avaliados e tratados.
► Hoje em dia, o SGSI encontra-se plenamente integrado com a estrutura de gestão e de
governança.
► Plena compatibilidade com outras normas ISO de gestão (qualidade, ambiental)
Estrutura da NBR ISO 27001:2013
PDCA – Na ISO 27001
Principais componentes da NBR ISO 27001:2013
Principais componentes da NBR ISO 27001:2013
ANEXO A - NBR ISO 27001-2013