COBIT 2019 - Área de Foco LGPD

GESTÃO DE RISCOS
NA
LGPD
Uma Área de Foco do

COBIT 2019
para a LGPD
Dados Internacionais de Catalogação na Publicação (CIP)
(Câmara Brasileira do Livro, SP, Brasil)
Souza Neto, João

Uma área de foco COBIT 2019 para a LGPD [livro
eletrônico] / João Souza Neto. -- 1. ed. --
Brasília : Ed. do Autor, 2021.
PDF
ISBN 978-65-00-17120-4
1. Gerenciamento de recursos de informação

2. Gestão de riscos 3. Organizações - Administração
4. Proteção de dados - Direito - Brasil
5. Segurança - Administração I. Título.
21-56167 CDD-658.472
Índices para catálogo sistemático:
1. Segurança de informações : Administração de

empresas 658.472
Maria Alice Ferreira - Bibliotecária - CRB-8/7964
GESTÃO DE RISCOS
NA
LGPD
1
SUMÁRIO
Introdução –––––––––––––––––––––––––––––––––––––– 2
EDM01 ––––––––––––––––––––––––––––––––––––––– 3
EDM03 ––––––––––––––––––––––––––––––––––––––– 4
APO12 ––––––––––––––––––––––––––––––––––––––– 7
APO13 ––––––––––––––––––––––––––––––––––––––– 9
APO14 ––––––––––––––––––––––––––––––––––––––– 12
BAI05 ––––––––––––––––––––––––––––––––––––––– 15
BAI08 ––––––––––––––––––––––––––––––––––––––– 17
DSS05 ––––––––––––––––––––––––––––––––––––––– 20
DSS06 ––––––––––––––––––––––––––––––––––––––– 22
MEA03 ––––––––––––––––––––––––––––––––––––––– 24
Avaliação ––––––––––––––––––––––––––––––––––––––– 26
Sobre o autor ––––––––––––––––––––––––––––––––––– 30
GESTÃO DE RISCOS
NA
LGPD
2
Introdução
Introdução
Uma área de foco descreve um determinado tópico, domínio ou problema
de governança que pode ser resolvido por uma coleção de objetivos de gover-
nança e gestão e seus sete componentes. Exemplos de áreas de foco incluem:
pequenas e médias empresas, segurança cibernética, transformação digital,
computação em nuvem, privacidade e DevOps.
As áreas de foco podem conter uma combinação de componentes e vari-
antes genéricos de governança. O número de áreas de foco é praticamente
ilimitado. É isso que torna o COBIT um framework aberto. Novas áreas de foco
podem ser adicionadas conforme necessário ou à medida que especialistas e
profissionais nos temas contribuem para o COBIT.
A Lei Geral de Proteção de Dados brasileira é um caso típico de Área de
Foco. Para realizar esse recorte do COBIT 2019, foram utilizados os artigos da
Lei eas ações necessárias para a conformidade com a mesma.
A lista de Objetivos de Governança/Gestão para essa Área de Foco é:

EDM01 Garantir o Estabelecimento e Manutenção de um
Framework de Governança.
EDM03 Garantir a Otimização de Risco
APO12 Riscos Gerenciados
APO13 Segurança Gerenciada
APO14 Dados Gerenciados
BAI05 Mudanças Organizacionais Gerenciadas
BAI08 Conhecimento Gerenciado
DSS05 Serviços de Segurança Gerenciados
DSS06 Controles de Processos de Negócio Gerenciados
MEA03 Compliance com Requisitos Externos Gerenciada
Nos próximos capítulos, cada um desses Objetivos será detalhado e as

práticas e componentes aplicáveis serão apresentadas. No final, serão mostra-
dos os níveis de capacidade e de maturidade, segundo o COBIT Performance
Model – CPM, para a conformidade com a Lei.
GESTÃO DE RISCOS
NA
LGPD
3
EDM01
Os Componentes do Sistema de Governança aplicáveis ao
Objetivo de Governança/Gestão EDM01, à luz dos requisitos da LGPD
O Objetivo EDM01 (Garantir o Estabelecimento e Manutenção de um

Framework de Governança) apresenta como finalidade: forneça uma aborda-
gem consistente, integrada e alinhada com a abordagem de governança corpora-
tiva. As decisões relacionadas à Tecnologia da Informação (TI) são tomadas de
acordo com as estratégias e objetivos da empresa e o valor desejado é alcançado.
Para esse fim, é preciso garantir que os processos relacionados à Informação e
Tecnologia (I&T) sejam supervisionados de maneira eficaz e transparente; a
conformidade com os requisitos legais, contratuais e regulamentares seja con-
firmada; e os requisitos de governança para os membros do conselho de admi-
nistração sejam atendidos.
Segue a configuração do EDM01 para essa Área de Foco:

A) Componente Processo
Práticas de Governança do EDM01
EDM01.01 Avaliar o Sistema de Governança,
EDM01.02 Direcionar o Sistema de Governança, e
EDM01.03 Monitorar o Sistema de Governança,
Essas três Práticas são relevantes, pois, para promover a Governança da
Privacidade é preciso termos um alinhamento efetivo entre a Gover-
nança Corporativa e a Governança de I&T.
B) Componente Estrutura Organizacional

Na matriz RACI, o Conselho de Administração é responsabilizado
(accountable) pelas três práticas de Governança.
Na lista de responsáveis, temos, para cada Prática:
EDM01.01 Presidente, Diretoria Executiva e Diretor de TI.
EDM01.02 Diretoria Executiva e Controlador.
EDM01.03 Presidente, Diretoria Executiva, Diretor de TI,
Controlador e Encarregado (DPO).
GESTÃO DE RISCOS
NA
LGPD
4
C) Componente Fluxos e Itens de Informação

Artefatos de entrada e de saída padrões.
D) Componente Pessoas, Habilidades e Competências Habilidades:

Governança de Sistemas de Informação
Governança de TI
Governança da Privacidade
E) Componente Políticas e Procedimentos

Política de Delegação de Autoridade
Política de Governança
Política de Privacidade
F) Componente Cultura, Ética e Privacidade

Identificar e comunicar a cultura de tomada de decisão e a cultura da
privacidade, a ética organizacional e os comportamentos individuais
que incorporam valores da empresa.
Demonstre liderança ética e definir o tom no topo quanto ao respeito
pelas dados pessoais dos clientes, colaboradores e fornecedores.
EDM03
Objetivo de Governança/Gestão EDM03, à luz dos requisitos da LGPD
O Objetivo EDM03 (Garantir a otimização de risco) apresenta como fina-

lidade: Certifique-se de que o risco corporativo relacionado à I&T não exceda o
apetite e a tolerância a riscos da empresa, que o impacto do risco de I&T no valor
da empresa seja identificado e gerenciado, e que o potencial de falhas de confor-
midade seja minimizado.
GESTÃO DE RISCOS
NA
LGPD
5
Segue a configuração do EDM03 para essa Área de Foco:
Práticas de Governança do EDM03
EDM03.01 Avaliar a Gestão de Riscos
EDM03.02 Direcionar a Gestão de Riscos
EDM03.03 Monitorar a Gestão de Riscos.
Essas três Práticas são relevantes, pois, para promover a Governança da Pri-
vacidade é preciso termos um alinhamento efetivo entre a Governança Corpo-
rativa, a Governança de I&T e a Governança de Riscos.

Na matriz RACI, o Conselho de Administração é responsabilizado (ac-
countable) pelas três práticas de Governança. Na lista de responsáveis, temos,
para cada Prática:
EDM03.01 Presidente, Diretoria Executiva, Diretor de Risco, Comitê
Corporativo de Risco e Diretor de TI.
Corporativo de Risco e Diretor de TI.
Corporativo de Risco, Diretor de Segurança da Informação, Diretor de TI,
Controlador e Encarregado (DPO).
Como podemos observar, a gestão corporativa de riscos é um problema

com complexidade social, envolvendo um grande número de partes interessa-
das, cada qual com suas próprias expectativas, visões e interesses.

Artefatos de entrada e de saída padrões, merecendo destaque as saídas:
Orientação de Apetite a Risco, e Níveis de Tolerância a Risco Aprovados.
Para um monitoramento adequado, o Encarregado deve acompanhar
atentamente os artefatos Resultados de Análise de Riscos (APO12.02) e a saída
Ações de Remediação para Tratar Desvios da Gestão de Riscos.
GESTÃO DE RISCOS
NA
LGPD
6

Gestão de Riscos
Gestão de Riscos de Negócio
Gestão de Riscos de Privacidade
O Encarregado, para o bom desempenho de suas atribuições, deverá ter

um conhecimento sólido de Gestão de Riscos de Privacidade, o que não temos
visto, hoje, nos cursos de formação desses profissionais.

Política Corporativa de Riscos
F) Componente Cultura, Ética e Privacidade

Promova uma cultura de risco em todos os níveis organizacionais e ca-
pacite a empresa, de forma proativa, a identificar, reportar e escalar riscos,
oportunidades e possíveis impactos nos dados pessoais de clientes, colabora-
dores e fornecedores. A Diretoria Executiva define a direção e demonstra
apoio visível e genuíno às práticas de risco de privacidade. Além disso, a Dire-
toria deve definir claramente o apetite a risco na categoria privacidade e ga-
rantir um nível adequado de debate como parte das atividades de rotina. Com-
portamentos desejáveis incluem incentivar os funcionários a levantar
questões ou resultados negativos e mostrar transparência em relação aos
riscos de privacidade. Os gestores devem aceitar a propriedade dos riscos de
privacidade (principalmente o Controlador e/ou Operador), quando aplicável,
e demonstrar compromisso genuíno com a gestão de riscos de privacidade,
provendo níveis adequados de recursos.
GESTÃO DE RISCOS
NA
LGPD
7
APO12

Objetivo de Governança/Gestão APO12, à luz dos requisitos da LGPD
O Objetivo APO12 (Riscos Gerenciados) apresenta como finalidade:

Integre o gerenciamento de riscos relacionados à Informação & Tecnologia
(I&T) com a gestão de riscos corporativos (ERM) e equilibre os custos e
benefícios do gerenciamento de riscos relacionados à I&T.
Segue a configuração do APO12 para essa Área de Foco:
Práticas de Gestão do APO12
APO12.01 Coletar Dados
APO12.02 Analisar Risco
APO12.03 Manutenção dos Perfis de Risco
APO12.04 Articular Risco com as Partes Interessadas
APO12.05 Definir um Portfólio de Ações de Gestão de Risco
APO12.06 Responder aos Riscos
Essas seis Práticas são todas relevantes, pois são necessárias para o
ciclo de vida de gerenciamento de riscos de privacidade.

Na matriz RACI, o Diretor de Risco (Chief Risk Officer) é responsabiliza-
do (accountable) por cinco práticas de Gestão. A sexta Prática, APO12.06,
tem como responsabilizado o Diretor de TI.
Se na sua organização não houver um Diretor de Risco, esse papel pode ser
exercido pelo Coordenador do Comitê de Risco ou equivalente.
GESTÃO DE RISCOS
NA
LGPD
8
Na lista de responsáveis, merecem destaque o Diretor de TI e os ges-

tores de processos de negócio, com participação em todas as Práticas. O
Comitè de Risco Corporativo também é muito atuante.
Quanto ao Controlador e ao Encarregado (DPO), recomendo que
tenham participação (sejam responsáveis (R)) por todas as seis Práticas,
tendo foco nos riscos de privacidade.

Resultados de Análises de Riscos de Privacidade, Cenários de Risco Docu-
mentados por Linha de Negócio e Função e Comunicação dos Impactos dos
Riscos.

Gestão de Riscos de Negócio
Gestão de Riscos
Gestão de Riscos de Privacidade
O Encarregado, para o bom desempenho de suas atribuições, deverá ter um conheci-

mento sólido de Gestão de Riscos de Privacidade, o que não temos visto, hoje, nos
cursos de formação desses profissionais.

Política Corporativa de Riscos
F) Componente Cultura, Ética e Comportamento

Para apoiar uma cultura de risco transparente e participativa, a gerên-
cia sênior deve definir a direção e demonstrar um suporte visível e genuíno
à incorporação de práticas de risco em toda a organização. A gerência deve
incentivar a comunicação aberta e a responsabilidade dos colaboradores
para riscos de privacidade. Os comportamentos desejáveis incluem alinhar
as políticas ao apetite a risco definido, relatar as tendências de risco à alta
administração e aos órgãos reguladores, recompensar o gerenciamento
eficaz dos riscos de privacidade e monitorar proativamente os riscos e o
progresso dos planos de ação.
GESTÃO DE RISCOS
NA
LGPD
9
G) Componente Serviços, Infraestrutura e Aplicações

Para o desempenho adequado desse Objetivo, são necessários:
Ferramentas de governança, risco e conformidade (GRC)
Ferramentas de análise de risco
Serviços de inteligência de risco
.
APO13
O Objetivo APO13 (Segurança Gerenciada) apresenta como finalidade: Man-
tenha o impacto e a frequência de ocorrência de incidentes de segurança da
informação dentro dos níveis de apetite por risco da empresa.
APO13.01 Estabelecer e manter um sistema de gestão de segurança da
informação
APO13.02 Definir e gerenciar um plano de tratamento de segurança da
informação e de riscos de privacidade
APO13.03 Monitorar e rever o sistema de gestão de segurança da infor-
mação
Essas três práticas são todas relevantes, pois são necessárias para o ciclo
de vida de gerenciamento de riscos de privacidade. A prática APO13.02 traz
orientações específicas sobre riscos de privacidade. Nessa prática, merecem
destaque as atividades 5 e 6.
GESTÃO DE RISCOS
NA
LGPD
10
Atividade 5 Implementar programas de treinamento e conscientização

sobre segurança da informação e privacidade
Atividade 6 Integrar o planejamento, desenho, implementação e moni-

toramento dos procedimentos de segurança da informação e privacidade com
outros controles capazes de permitir prevenção imediata, detecção de even-
tos de segurança e resposta a incidentes de segurança.

Na matriz RACI, o Diretor de Segurança da Informação (Chief Informa-
tion Security Officer - CISO) é responsabilizado (accountable) por todas as
três práticas de Gestão.
Na lista de responsáveis, merecem destaque o Diretor de TI, o gestor de
segurança da informação e o responsável pelas operações da TI.
Quanto ao Controlador e ao Encarregado (DPO), recomendo que tenham par-
ticipação (sejam responsáveis (R)) na prática APO13.02.

política de segurança da informação, plano de tratamento de riscos de segu-
rança da informação e os relatórios de auditoria sobre o sistema de gestão de
segurança da informação.

Segurança da Informação
Desenvolvimento de Estratégias de Segurança da Informação
Gestão de Riscos

um conhecimento sólido de Gestão de Riscos, o que não temos visto, hoje, nos
cursos de formação desses profissionais.

Política de Segurança da Informação
GESTÃO DE RISCOS
NA
LGPD
11
A descrição do COBIT 2019 para essas políticas é a seguinte:

Definem diretrizes comportamentais para proteger informações, siste-
mas e infraestrutura corporativos. Dado que os requisitos de negócios relacio-
nados à segurança são mais dinâmicos do que o gerenciamento de riscos de
I&T e de privacidade, sua governança deve ser tratada separadamente. Para
eficiência operacional, deve haver forte alinhamento entre a política de segu-
rança da informação, a política de privacidade e a política de risco de I&T.

Estabeleça uma cultura de conscientização sobre segurança e privaci-
dade que influencie positivamente o comportamento desejável e a implemen-
tação efetiva da política de segurança e de privacidade na prática diária.
Forneça orientações suficientes sobre segurança e privacidade, indique de-
fensores da segurança e privacidade (incluindo executivos de nível C, líderes
em RH e profissionais de segurança e/ou privacidade) e apoie e comunique de
forma proativa programas, inovações e desafios de segurança e privacidade.

Ferramentas de gestão de configuração
Serviços de conscientização em segurança da informação e privacidade
Serviços de avaliação da segurança da informação por terceiros acredi-
tados
GESTÃO DE RISCOS
NA
LGPD
12
APO14
O Objetivo APO14 (Dados Gerenciados) apresenta como finalidade: Ga-
ranta a utilização eficaz dos ativos de dados críticos para atingir as metas e
objetivos da empresa.
APO14.01 Definir e comunicar a estratégia de gerenciamento de dados
da organização, suas funções e responsabilidades.
APO14.02 Definir e manter um glossário de negócio consistente.
APO14.03 Estabelecer os processos e a infraestrutura para o gerencia-
mento de metadados.
APO14.04 Definir uma estratégia de qualidade de dados
APO14.05 Estabelecer metodologias, processos e ferramentas de gestão
de perfil de dados.
APO14.06 Estabelecer uma abordagem de avaliação de qualidade de
dados
APO14.07 Defina a abordagem de limpeza de dados.
APO14.08 Gerenciar o ciclo de vida dos ativos de dados
APO14.09 Suportar o arquivamento e retenção de dados
APO14.10 Gerenciar arranjos de backup e restauração de dados.
Essas dez práticas são todas relevantes, pois são necessárias para o ciclo
de vida de governança e gestão de dados. As práticas APO14.08 e APO14.09
merecem destaque por terem relação direta com atividades afetas à LGPD.
GESTÃO DE RISCOS
NA
LGPD
13
A prática APO14.08 exige que a organização compreenda, mapeie, faça

inventários e controle seus fluxos de dados através dos processos de negócios
ao longo do ciclo de vida dos dados, desde a criação ou aquisição até a aposen-
tadoria. Esse é o olhar que devemos ter com os dados pessoais, acompanhan-
do-os por todo os seus ciclos de vida. Não basta se preocupar com a coleta,
não basta se preocupar com o armazenamento, é preciso analisar todo o ciclo.
A prática APO14.09, por seu lado, lança luz na questão do compliance com o
regulatório referente ao armazenamento dos dados, garantindo que os requi-
sitos legais e regulamentares para arquivamento e retenção de dados sejam
atendidos.

Na matriz RACI, o Diretor de TI é responsabilizado (accountable) por
todas as dez práticas de Gestão.
Na lista de responsáveis, merecem destaque as participações ativas em
todas as dez práticas do Diretor de Risco, do CDO (Chief Digital Officer), do
Diretor de Segurança da Informação e do Gestor Sênior de Dados (Data Mana-
gement Function) .
Quanto ao Controlador, recomendo que tenha participação (seja
responsável (R)) nas práticas APO14.01, APO14.04, APO14.05, APO14.06,
APO14.07, APO14.08 e APO14.09.
Quanto ao Encarregado (DPO), recomendo que tenha participação (seja
responsável (R)) nas práticas APO14.01, APO14.05, APO14.06 e APO14.08.

papéis e responsabilidades definidos para a gestão e governança de dados,
plano de implementação da estratégia de gestão de dados, estratégia de quali-
dade de dados, resultados da avaliação da qualidade de dados e reportes de
questão referentes à qualidade de dados
Os artefatos em negrito devem ser encaminhados, OBRIGATORIAMENTE,
para o Encarregado.

Análise de Dados
Gestão de Dados
Gestão da Informação
Garantia da Informação
GESTÃO DE RISCOS
NA
LGPD
14
O Encarregado, para o bom desempenho de suas atribuições, deverá ter um

conhecimento sólido de Gestão de Dados.

Documenta a coleta, o uso, a divulgação e o gerenciamento de dados
pessoais. Os dados pessoais podem ser aqueles que podem ser usados para
identificar um indivíduo, incluindo, entre outros, nome, endereço, data de
nascimento, estado civil, informações de contato, emissão de ID e data de vali-
dade, registros financeiros, informações de crédito, histórico médico, destino
de viagem e intenção de adquirir bens ou serviços.
A política de privacidade define como uma empresa coleta, armazena e
libera informações pessoais; como e quando o cliente é informado das infor-
mações específicas coletadas e se é mantido em sigilo, compartilhado com
parceiros ou vendido a outras firmas ou empresas. A política exige conformi-
dade com a legislação relevante relacionada à proteção de dados.
Referência: Lei 13.709/18
Observação: o COBIT, mais uma vez, acertou em cheio!
Política de Limpeza de Dados

Esta Política descreve o compromisso do gerenciamento com a limpeza
de dados. Prescreve frequência, diretrizes e responsabilidade; documenta
métodos, soluções e ferramentas disponíveis.
Referência: CMMI Data Management Maturity Model, 2014
Política de Gestão de Dados

Descreve o compromisso da organização em gerenciar ativos de dados
ao longo do seu ciclo de vida, desde a criação até a entrega, manutenção e
arquivamento.
Política de Avaliação da Qualidade de Dados

Descreve a filosofia de avaliação da garantia de qualidade de dados da or-
ganização para garantir a integridade dos dados usados para tomar decisões
que impactam a organização. Atribui a frequência, diretrizes e responsabili-
dades pela avaliação da qualidade dos dados. Descreve os métodos, soluções e
ferramentas disponíveis.
GESTÃO DE RISCOS
NA
LGPD
15

Crie uma cultura de responsabilidade compartilhada pelos ativos de
dados da organização; reconheça o valor potencial dos ativos de dados e ga-
ranta que as funções e responsabilidades sejam claras para a governança e o
gerenciamento dos ativos de dados.
Crie consciência sobre integridade, precisão, integridade e proteção dos
dados para estabelecer uma cultura de qualidade dos dados. Relacione a quali-
dade dos dados aos principais valores da empresa. Comunique continuamente
o impacto e o risco de perda de dados. Garanta que os funcionários entendam
o verdadeiro custo de não implementar uma cultura de qualidade de dados.
Referência: CMMI Data Management Maturity Model, 2014
Observação: O Componente Cultura da Privacidade no #FrameworkLGPD
aborda esse tema em mais detalhes.

Ferramentas de modelagem de dados
Serviços de gestão de repositórios de dados
BAI05
O Objetivo BAI05 (Mudanças Organizacionais Gerenciadas) apresenta
como finalidade: Prepare e obtenha o compromisso das partes interessadas para
a mudança nos negócios e reduza o risco de falhas.
Segue a configuração do BAI05 para essa Área de Foco:
Práticas de Gestão do BAI05
BAI05.01 Estabelecer o desejo de mudar.
BAI05.02 Formar uma equipe de implementação efetiva.
BAI05.03 Comunicar a visão desejada.
BAI05.04 Empodere os atores com papéis relevantes e identifique
vitórias rápidas.
BAI05.05 Habilite a operação e o uso.
BAI05.06 Incorpore novas abordagens
GESTÃO DE RISCOS
NA
LGPD
16
Estas sete práticas são todas relevantes, pois são necessárias para a mu-
dança organizacional que um programa de compliance com a LGPD demanda.
A prática BAI05.01 é a primeira a ser trabalhada, porque se não houver um
forte desejo de mudar em todos os níveis organizacionais, as resistências à
mudança prevalecerão. Aqui é interessante utilizar técnicas de nudge para
facilitar a adesão.
Em qualquer Projeto/Programa, a comunicação é um elemento de des-
taque. A prática BAI05.03 traz essa preocupação, enfatizando que essa comu-
nicação deve partir da alta administração.
Por outro lado, a prática BAI05.07 é a que mais me preocupa, pois se a
mudança não for sustentável, os ganhos obtidos serão perdidos em pouco
tempo. Esta prática recomenda treinamento contínuo da equipe, campanhas
contínuas de comunicação, compromisso contínuo da alta administração,
monitoramento da adoção e compartilhamento das lições aprendidas em toda
a empresa.

Na matriz RACI, a Diretoria Executiva é responsabilizada (accountable)
por todas as dez práticas de Gestão, com exceção da prática BAI05.1, cujo
responsabilizado é o Presidente da empresa.
Na lista de responsáveis, merecem destaque as participações ativas em
todas as sete práticas do Diretor de TI, do CDO (Chief Digital Officer) e do Di-
retor de Operações.
responsável (R)) por todas as práticas.
Quanto ao Encarregado (DPO), recomendo que tenha participação (seja
responsável (R)) nas práticas BAI05.05 e BAI05.07.

Artefatos de entrada e de saída padrões, merecendo destaque as saídas: Co-
municações da Diretoria Executiva sobre as mudanças que a conformidade
com a LGPD impõe, plano de comunicação da visão, medidas e resultados de
sucesso, resultados da revisão de desempenho da gestão de pessoas, comuni-
cações de conscientização, resultados de auditoria de compliance e planos de
transferência de conhecimento.

Gestão de Mudanças em Negócios
Gestão e Planejamento de Implementação de Mudanças
Implementação e Desenho Organizacional
GESTÃO DE RISCOS
NA
LGPD
17
um conhecimento sólido de Gestão e Planejamento de Implementação de Mu-
danças.

Política de Gestão de Mudança Organizacional
Fornece estrutura e descreve princípios para gerenciar mudanças organi-
zacionais. Reflete a legislação atual e fornece boas práticas de gestão de pes-
soas; garante uma abordagem consistente para gerenciar as mudanças em
toda a organização.

A realização do valor dos investimentos em tecnologia da informação
exige mais do que oferecer soluções e serviços de I&T. Também requer alte-
rações nos processos de negócios, habilidades e competências, cultura e com-
portamento, entre outros, todos os quais devem ser incluídos no business
case. A liderança deve criar uma cultura de mudança contínua por meio de
flexibilidade, abertura e confiança, e estabelecer suporte e comunicação ade-
quados para o gerenciamento da mudança.

Ferramentas e canais de comunicação
Instrumentos de pesquisa
BAI08
O Objetivo BAI08 (Conhecimento Gerenciado) apresenta como finali-
dade: Forneça o conhecimento e as informações necessárias para apoiar todos
os colaboradores na governança e gerenciamento das atividades de I&T da em-
presa e permita uma tomada de decisão informada.
GESTÃO DE RISCOS
NA
LGPD
18
Práticas de Gestão do BAI08
BAI08.01 Identificar e classificar fontes de informação para a gover-
nança e gestão de I&T.
BAI08.02 Organizar e contextualizar informação em conhecimento.
BAI08.03 Usar e compartilhar conhecimento.
BAI08.04 Avaliar e atualizar ou retirar informação.
A prática BAI08.02 é muito importante no contexto da LGPD. A prática

consiste na organização das informações com base em critérios de classifi-
cação, e na identificação e criação de relacionamentos significativos entre os
elementos de informação. Não podemos esquecer que parte dessa informação
é oriunda de dados coletados junto a clientes, colaboradores e fornecedores.
Portanto, os requisitos da LGPD também são aplicáveis a essas informações. O
fato de o dado ter sido transformado para gerar informação não garante a
anonimização automática.
No caso da prática BAI08.03, que trata do compartilhamento do conheci-
mento, vale a preocupação de garantir que, na divulgação dos recursos de
conhecimento disponíveis para as partes interessadas relevantes, seja comu-
nicada a existência de dados pessoais sensíveis.

Na matriz RACI, a Diretoria de TI é responsabilizada (accountable) por
todas as quatro práticas de Gestão.
Na lista de responsáveis, merece destaque a participação ativa em todas
as quatro práticas do Gestor de Dados (Digital Management Function).
responsável (R)) pelas práticas BAI08.02, BAI08.03 e BAI08.04.
OQuanto ao Encarregado
Objetivo (DPO), recomendo
BAI08 (Conhecimento que apresenta
Gerenciado) tenha participação (seja
como finali-
responsável
dade: Forneça(R)) onas práticas BAI08.03
conhecimento e as einformações
BAI08.04. necessárias para apoiar
todos os colaboradores na governança e gerenciamento das atividades de I&T
da empresa e permita uma tomada de decisão informada.
GESTÃO DE RISCOS
NA
LGPD
19

Classificação de fontes de informação e repositórios de conhecimento publi-
cados.

Gestão de Informação
Gestão do Conhecimento

um conhecimento básico de gestão da informação.

N/A

Incorpore uma cultura de compartilhamento de conhecimento na em-
presa. Comunique proativamente o valor do conhecimento para incentivar a
criação, uso, reutilização e compartilhamento de conhecimento.
Incentive o compartilhamento e a transferência de conhecimento, identifi-
cando e alavancando fatores motivacionais.
Tudo isso com a cautela de avaliar se esse conhecimento foi gerado a
partir de dados pessoais sensíveis. Nesse caso, cabe uma avaliação rigorosa da
sua anonimização.

Plataforma de colaboração
Repositório de conhecimento
GESTÃO DE RISCOS
NA
LGPD
20
DSS05
O Objetivo DSS05 (Serviços de Segurança Gerenciados) apresenta
como finalidade: Minimizar o impacto aos negócios das vulnerabilidades e
incidentes de segurança das informações operacionais.
Segue a configuração do DSS05 para essa Área de Foco:
Práticas de Gestão do DSS05
DSS05.01 Proteger contra software malicioso.
DSS05.02 Gerenciar a segurança de rede e de conectividade em geral.
DSS05.03 Gerenciar a segurança dos pontos finais de rede.
DSS05.04 Gerenciar a identidade e o acesso lógico dos usuários.
DSS05.05 Gerenciar o acesso físico aos ativos de I&T.
DSS05.06 Gerenciar documentos sensíveis e equipamentos de saída.
DSS05.07 Gerenciar as vulnerabilidades e monitorar a infraestrutura
para eventos relacionados à segurança.
Todas as sete práticas desse Objetivo têm forte relação com a LGPD. A
segurança da informação é um dos pilares da privacidade e a sua gestão é
condição sine qua non para que todos os demais componentes funcionem a
contento.

Na matriz RACI, o Gestor de Segurança da Informação é responsabili-
zado (accountable) por todas as sete práticas de Gestão, com exceção da
sexta prática, que está a cargo do Diretor de TI.
Na lista de responsáveis, merece destaque a participação ativa em
todas as sete práticas do Diretor de Operações de TI e do Gestor de Segu-
rança da Informação.
Quanto ao Controlador, recomendo que tenha participação ativa seja
responsável (R)) em todas as sete práticas.
Quanto ao Encarregado (DPO), recomendo que tenha participação ativa (seja
responsável (R)) em todas as sete práticas.
GESTÃO DE RISCOS
NA
LGPD
21

Política de Prevenção de Software Malicioso, Política de Segurança de
Conectividade, Inventário de Serviços e Documentos Sensíveis, e Resultados
de Testes de Penetração.

Gestão de Segurança da Informação
Testes de Penetração
Administração da Segurança
O Encarregado, para o bom desempenho de suas atribuições, deverá

ter um conhecimento sólido de segurança da informação.

Política de Segurança da Informação
Define diretrizes para proteger informações corporativas e sistemas e
infraestrutura relacionados.

Criar uma cultura de conscientização sobre a responsabilidade do
usuário com relação às práticas de segurança e privacidade.

Serviços de diretório
Sistemas de filtragem de e-mail
Sistema de gerenciamento de identidade e acesso
Serviços de conscientização de segurança
Ferramentas de informações de segurança e gerenciamento de eventos
(SIEM)
Serviços do centro de operações de segurança (SOC)
Serviços de avaliação de segurança de terceiros
Sistemas de filtragem de URL
GESTÃO DE RISCOS
NA
LGPD
22
DSS06
O Objetivo DSS06 (Controles de Processos de Negócio Gerenciados)
apresenta como finalidade: Manter a segurança dos ativos de informação e a
integridade das informações manipuladas nos processos de negócios da orga-
nização ou em sua operação terceirizada minimizando o impacto das vulnera-
bilidades e incidentes de segurança das informações nos negócios.
Segue a configuração do DSS06 para essa Área de Foco:
Práticas de Gestão do DSS06
DSS06.01 Alinhar os controles dos processos de negócio com os obje-
tivos corporativos.
DSS06.02 Controlar o processamento das informações.
DSS06.03 Gerenciar papéis, responsabilidades, privilégios de acesso e
níveis de autoridade.
DSS06.04 Gerenciar erros e exceções.
DSS06.05 Garantir rastreabilidade e responsabilização (accountabili-
ty) em eventos relacionados à informação.
DSS06.06 Garantir a segurança dos ativos de informação.
Todas as seis práticas desse Objetivo têm forte relação com a LGPD. A
questão da privacidade coloca-se firmemente na interação dos processos de
negócios com seus clientes. Na prática DSS06.01 busca-se o alinhamento es-
tratégico dos controles dos processos de negócio com os requisitos de pri-
vacidade da Lei; a prática DSS06.02 aborda diretamente o tratamento das
informações pessoais; a DSS06.03 tem a importante atribuição de definir e
gerenciar papéis, responsabilidades, privilégios de acesso e níveis de autori-
dade para os dados pessoais; a DSS06.04 cuido do gerenciamento de erros e
exceções que, inevitavelmente, ocorrerão; a DSS06.05 preocupa-se com a
garantia da rastreabilidade e responsabilização (accountability) em eventos
relacionados à informação; e, finalmente, a prática DSS06.06 aborda a segu-
rança dos ativos de informação.
GESTÃO DE RISCOS
NA
LGPD
23

Na matriz RACI, o Conselho de Governança de I&T é responsabilizado
(accountable) pelas três primeiras práticas, envolvendo o alinhamento es-
tratégico dos controles, o controle do processamento das informações e a
gestão de papéis e responsabilidades, enquanto que os gestores de proces-
sos de negócio são responsabilizados pelas três últimas, gestão de erros e
exceções, rastreabilidade e responsabilização, e segurança dos ativos de
informação.
Na lista de responsáveis, merece destaque a participação ativa do Dire-
tor de TI e do Gestor de Segurança da Informação.
Quanto ao Controlador, recomendo que tenha participação ativa seja
responsável (R)) em todas as seis práticas.
Quanto ao Encarregado (DPO), recomendo que tenha participação ativa
(seja responsável (R)) pelas práticas DSS06.04 e DSS06.05.

análise de causa-raiz, relatórios de controle do processamento, papéis e res-
ponsabilidades atribuídos, evidências de correção de erros, e registro de
violações.

Administração da Segurança
O Encarregado, para o bom desempenho de suas atribuições, deverá

ter um conhecimento sólido de segurança da informação.

Política de Controles de Negócios
Define controles de processos de negócios para garantir o controle
adequado e reduzir o risco de fraude e erros. Identifica controles manuais
para proteger documentos (por exemplo, documentos de origem, entrada,
processamento e saída); identifica controles de supervisão para revisar o
fluxo de documentos e garantir o processamento correto. Inclui controles
gerais de I&T (por exemplo, segurança física, acesso e autenticação, e geren-
ciamento de alterações) e controles de aplicativos (por exemplo, verificação
de edição, configuração do sistema e configurações de segurança).
GESTÃO DE RISCOS
NA
LGPD
24

Crie uma cultura que promova a necessidade de controles sólidos nos
processos de negócios, incorporando-os a aplicativos em desenvolvimento
ou exigindo-os em aplicativos comprados ou acessados como um serviço.
Incentive todos os funcionários a terem uma consciência de controle para
proteger todos os ativos da organização (por exemplo, registros e insta-
lações em papel). Isso tem tudo a ver com a cultura de privacidade!

Controles automatizados de aplicações
Ferramentas de log de eventos para auditoria
MEA03
O Objetivo MEA03 (Compliance com Requisitos Externos Gerenciado)

apresenta como finalidade: Garantir que a organização esteja em conformi-
dade com todos os requisitos externos aplicáveis.
Segue a configuração do MEA03 para essa Área de Foco:
Práticas de Gestão do MEA03
MEA03.01 Identificar requisitos externos de compliance.
MEA03.02 Otimizar a resposta a requisitos externos.
MEA03.03 Confirmar o compliance com requisitos externos.
MEA03.04 Obter garantia de compliance com requisitos externos.
Todas as quatro práticas desse Objetivo têm forte relação com a LGPD.
GESTÃO DE RISCOS
NA
LGPD
25
Na prática MEA03.01, tem-se a monitoração contínua de eventuais altera-

ções nas leis, regulamentos e outros requisitos externos e locais de privaci-
dade;
a prática MEA03.02 aborda a necessidade de revisar e ajustar políticas,
princípios, padrões, procedimentos e metodologias para garantir que a con-
formidade contínua com os requisitos legais, regulamentares e contratuais;
a MEA03.03 tem a importante atribuição de, regularmente, confirmar a
conformidade de políticas, princípios, normas, procedimentos e metodologias
com os requisitos legais, regulamentares e contratuais (por exemplo, por meio
de Relatórios de Impacto); e, finalmente,
a MEA03.04 cuido de obter e relatar a garantia de conformidade e ade-
rência a políticas, princípios, padrões, procedimentos e metodologias, confir-
mando se as ações corretivas descritas no Relatório de Impacto para solucio-
nar as lacunas de conformidade são executadas em tempo hábil.

Na matriz RACI, temos o papel preponderante da equipe de compliance
e da Auditoria, que são os responsabilizados (accountable) por esse objetivo de
gestão.
Na lista de responsáveis, merece destaque a participação ativa do Diretor
de TI e da Jurídica.
Quanto ao Controlador, recomendo que tenha participação ativa (seja
responsável (R)) em todas as quatro práticas.
Quanto ao Encarregado (DPO), recomendo que tenha participação ativa
(seja responsável (R)) pelas práticas MEA03.01, MEA03.02 e MEA03.03. O obje-
tivo, inclusive faz menção a um Privacy Officer, que tem pontos em comum
com o papel do Encarregado.

Log de ações de conformidade necessárias; registro de requisitos de confor-
midade; comunicações de requisitos de conformidade alterados; políticas,
princípios, procedimentos e normas atualizados; confirmações de conformi-
dade; lacunas de conformidade identificadas; relatórios de garantia de confor-
midade; relatórios de não conformidade; e problemas e causas raiz.
D) Componente Pessoas, Habilidades e Competências

Habilidades:
Segundo o SCTY do SFIA v6 de 2015.
GESTÃO DE RISCOS
NA
LGPD
26

um conhecimento sólido de segurança da informação.

Política de Compliance
Identifica os requisitos regulatórios, contratuais e de conformidade
interna. Explica o processo para avaliar a conformidade com os requisitos
regulatórios, contratuais e internos. Lista as funções e responsabilidades de
diferentes atividades no processo e fornece orientação sobre métricas para
medir a conformidade. Obtém relatórios de conformidade e confirma ações
corretivas ou de conformidade para corrigir as falhas de conformidade em
tempo hábil.

Promova uma cultura de conformidade, incluindo tolerância zero pelo
não cumprimento de requisitos legais e regulamentares.

Serviço/Processo de monitoramento do regulatório
Serviços de avaliação de conformidade de terceiros
AVALIAÇÃO
Para finalizar, entraremos em detalharemos a avaliação dos níveis de ca-
pacidade e de maturidade, segundo o COBIT Performance Model – CPM, para
a conformidade com a Lei.
A Figura 1 mostra os níveis de capacidade para os 40 Objetivos de Gover-

nança/Gestão do COBIT 2019.
GESTÃO DE RISCOS
NA
LGPD
27
O processo atinge sua finalidade, é bem definido, e o seu
desempenho é avaliado quantitativamente em busca da Nivel 5
melhoria contínua.
O processo alcança
O processo atinge sua finalidade, é bem definido, Nivel 4 sua finalidade por meio
e o seu desempenho é avaliado da aplicação de um
quantitativamente. conjunto básico, mas
Nivel 3 completo, de atividades que
O processo atinge sua finalidade de podem ser caracterizadas
uma maneira mais organizada como executadas.
utilizando ativos organizacionais.
Os processos, tipicamente,
Nivel 2
O processo mais ou menos atinge
são bem definidos. suas finalidades por meio da aplicação
Nivel 1 de um conjunto incompleto de atividades
que podem ser caracterizadas como executadas.
Falta de qualquer capacidade básica; abordagem incompleta

Nivel 0
para endereçar a finalidade de governança e gestão; pode ou
não atender o objetivo de algumas práticas do processo.
Fonte: o autor.
Adaptado de COBIT® 2019 Framework: Introduction and Methodology, ISACA,
2018, USA.
É bom relembrarmos que o nível de capacidade é avaliado individualmente

para cada Objetivo, isto é, os níveis de capacidade são independentes uns dos
outros.
No começo deste livro, foram escolhidos os Objetivos que compõem esta Área
de Foco:
EDM01 Garantir o Estabelecimento e Manutenção de um Framework de
Governança.
EDM03 Garantir a Otimização de Risco
APO12 Riscos Gerenciados
APO13 Segurança Gerenciada
APO14 Dados Gerenciados
BAI05 Mudanças Organizacionais Gerenciadas
BAI08 Conhecimento Gerenciado
DSS05 Serviços de Segurança Gerenciados
DSS06 Controles de Processos de Negócio Gerenciados
MEA03 Compliance com Requisitos Externos Gerenciada
GESTÃO DE RISCOS
NA
LGPD
28
A questão que agora se coloca é: Qual o nível de capacidade mínimo para cada
Objetivo, de maneira a garantir uma estrutura de Governança e Gestão de
Informação e Tecnologia que suporte a conformidade com a LGPD?
De maneira geral, o nível de capacidade mínimo é o nível 2, que exige que o

processo do Objetivo alcance sua finalidade (purpose) por meio da aplicação
de um conjunto básico, mas completo, de atividades que podem ser caracteri-
zadas como executadas. A lista dessas atividades, para cada Objetivo, pode ser
encontrada no Guia COBIT® 2019 Framework: Governance and Management
Objectives.
Entretanto, uma organização mais madura pode almejar o nível 3 de capaci-

dade, o processo atinge sua finalidade de uma maneira mais organizada utili-
zando ativos organizacionais. Os processos, tipicamente, são definidos nos
Objetivos EDM01, EDM03, APO12, APO13, APO14 e MEA03.
A Figura 2 mostra os níveis de maturidade para um conjunto de Objetivos de

Governança/Gestão do COBIT 2019. Aqui você precisará ter um olhar de alto
nível para o conjunto de Objetivos selecionados.
Figura 2 – Níveis de Maturidade do CPM
Nivel 5
A empresa está focada na melhoria contínua
A empresa é orientada a dados com melhoria Nivel 4

de desempenho quantitativa.
O planejamento e a medição de
Padrões corporativos fornecem Nivel 3 desempenho ocorrem, mas de
orientação para toda a empresa.
forma não padronizada.
Nivel 2 O trabalho foi completado, mas o

objetivo e a intenção gerais da área
de foco não foram ainda atingidos.
Nivel 1
O trabalho pode ou não ter sido
completado com a intenção de atingir a
Nivel 0 finalidade dos objetivos de governança e gestão da área de foco.
Fonte: o autor.
Adaptado de COBIT® 2019 Framework: Introduction and Methodology, ISACA,
2018, USA.
GESTÃO DE RISCOS
NA
LGPD
29
Para a maturidade do ambiente, recomendo que o nível mínimo seja o 3 (pa-
drões corporativos fornecem orientação para toda a empresa). É importante
observar que para alcançar o nível 3 de maturidade, é preciso que os dez Obje-
tivos selecionados estejam no nível 3 de capacidade.
Em resumo, vamos estabelecer, para 2020, a meta de nível 2 de capacidade

para todos os dez Objetivos e, para 2021, a meta de nível 3 de capacidade.
Desta forma, garantindo um nível 3 de maturidade para o ambiente em 2021.
Feitas as avaliações de capacidade e de maturidade, é preciso definir os planos

de ação das melhorias necessárias para o alcance das metas estabelecidas.
Com esse fim, a ISACA publicou o COBIT® 2019 Implementation Guide. O
método de implementação de melhorias proposto tem como referência o ciclo
de implementação mostrado na Figura 3.
Figura 3 – Ciclo de Implementação do COBIT 2019
Fonte: COBIT® 2019 Implementation Guide, ISACA, 2018, USA.
GESTÃO DE RISCOS
NA
LGPD
30
Conclui-se que essa Área de Foco LGPD é aplicável à RGPD portuguesa e à

GDPR da União Europeia.
Com este trabalho, espero ter contribuído para o aprimoramento da gover-
nança e gestão da privacidade nas organizações.
SOBRE O AUTOR
João Souza Neto é um profissional

excepcional e competente. Mestre em TI,
Professor e fundador da Gestão de Riscos
na LGPD.
Seu vasto conhecimento sobre a
LGPD trouxe um grande público para seus
artigos no LinkedIn.
OBRIGADO!
João Souza Neto
sznetoj@gmail.com
/ in /souzaneto
/company/gestão-de-riscos-na-lgpd
res .
o p o r J ú lia Pe
ã
gramaç
n e dia
D esig

COBIT 2019 - Área de Foco LGPD

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

COBIT 2019 - Área de Foco LGPD

Enviado por

Direitos autorais:

Formatos disponíveis

GESTÃO DE RISCOS

Uma Área de Foco do

Souza Neto, João

1. Gerenciamento de recursos de informação

1. Segurança de informações : Administração de

Maria Alice Ferreira - Bibliotecária - CRB-8/7964

Sobre o autor ––––––––––––––––––––––––––––––––––– 30

A lista de Objetivos de Governança/Gestão para essa Área de Foco é:

Nos próximos capítulos, cada um desses Objetivos será detalhado e as

O Objetivo EDM01 (Garantir o Estabelecimento e Manutenção de um

Segue a conﬁguração do EDM01 para essa Área de Foco:

B) Componente Estrutura Organizacional

C) Componente Fluxos e Itens de Informação

D) Componente Pessoas, Habilidades e Competências Habilidades:

E) Componente Políticas e Procedimentos

F) Componente Cultura, Ética e Privacidade

O Objetivo EDM03 (Garantir a otimização de risco) apresenta como ﬁna-

Segue a conﬁguração do EDM03 para essa Área de Foco:

B) Componente Estrutura Organizacional

Como podemos observar, a gestão corporativa de riscos é um problema

C) Componente Fluxos e Itens de Informação

D) Componente Pessoas, Habilidades e Competências Habilidades:

O Encarregado, para o bom desempenho de suas atribuições, deverá ter

E) Componente Políticas e Procedimentos

F) Componente Cultura, Ética e Privacidade

Os Componentes do Sistema de Governança aplicáveis ao

O Objetivo APO12 (Riscos Gerenciados) apresenta como ﬁnalidade:

Segue a conﬁguração do APO12 para essa Área de Foco:

B) Componente Estrutura Organizacional

Na lista de responsáveis, merecem destaque o Diretor de TI e os ges-

C) Componente Fluxos e Itens de Informação

D) Componente Pessoas, Habilidades e Competências Habilidades:

O Encarregado, para o bom desempenho de suas atribuições, deverá ter um conheci-

E) Componente Políticas e Procedimentos

F) Componente Cultura, Ética e Comportamento

G) Componente Serviços, Infraestrutura e Aplicações

Segue a conﬁguração do APO13 para essa Área de Foco:

Atividade 5 Implementar programas de treinamento e conscientização

Atividade 6 Integrar o planejamento, desenho, implementação e moni-

B) Componente Estrutura Organizacional

C) Componente Fluxos e Itens de Informação

D) Componente Pessoas, Habilidades e Competências Habilidades:

O Encarregado, para o bom desempenho de suas atribuições, deverá ter

E) Componente Políticas e Procedimentos

A descrição do COBIT 2019 para essas políticas é a seguinte:

F) Componente Cultura, Ética e Comportamento

G) Componente Serviços, Infraestrutura e Aplicações

Segue a conﬁguração do APO14 para essa Área de Foco:

A prática APO14.08 exige que a organização compreenda, mapeie, faça

B) Componente Estrutura Organizacional

C) Componente Fluxos e Itens de Informação

D) Componente Pessoas, Habilidades e Competências Habilidades:

O Encarregado, para o bom desempenho de suas atribuições, deverá ter um

E) Componente Políticas e Procedimentos

Política de Limpeza de Dados

Política de Gestão de Dados

Política de Avaliação da Qualidade de Dados

F) Componente Cultura, Ética e Comportamento

G) Componente Serviços, Infraestrutura e Aplicações

Segue a conﬁguração do BAI05 para essa Área de Foco:

B) Componente Estrutura Organizacional

C) Componente Fluxos e Itens de Informação

D) Componente Pessoas, Habilidades e Competências Habilidades:

E) Componente Políticas e Procedimentos