Escolar Documentos
Profissional Documentos
Cultura Documentos
NA
LGPD
ISBN 978-65-00-17120-4
21-56167 CDD-658.472
Índices para catálogo sistemático:
GESTÃO DE RISCOS
NA
LGPD
1
SUMÁRIO
Introdução –––––––––––––––––––––––––––––––––––––– 2
EDM01 ––––––––––––––––––––––––––––––––––––––– 3
EDM03 ––––––––––––––––––––––––––––––––––––––– 4
APO12 ––––––––––––––––––––––––––––––––––––––– 7
APO13 ––––––––––––––––––––––––––––––––––––––– 9
APO14 ––––––––––––––––––––––––––––––––––––––– 12
BAI05 ––––––––––––––––––––––––––––––––––––––– 15
BAI08 ––––––––––––––––––––––––––––––––––––––– 17
DSS05 ––––––––––––––––––––––––––––––––––––––– 20
DSS06 ––––––––––––––––––––––––––––––––––––––– 22
MEA03 ––––––––––––––––––––––––––––––––––––––– 24
Avaliação ––––––––––––––––––––––––––––––––––––––– 26
GESTÃO DE RISCOS
NA
LGPD
2
Introdução
Introdução
Uma área de foco descreve um determinado tópico, domínio ou problema
de governança que pode ser resolvido por uma coleção de objetivos de gover-
nança e gestão e seus sete componentes. Exemplos de áreas de foco incluem:
pequenas e médias empresas, segurança cibernética, transformação digital,
computação em nuvem, privacidade e DevOps.
As áreas de foco podem conter uma combinação de componentes e vari-
antes genéricos de governança. O número de áreas de foco é praticamente
ilimitado. É isso que torna o COBIT um framework aberto. Novas áreas de foco
podem ser adicionadas conforme necessário ou à medida que especialistas e
profissionais nos temas contribuem para o COBIT.
A Lei Geral de Proteção de Dados brasileira é um caso típico de Área de
Foco. Para realizar esse recorte do COBIT 2019, foram utilizados os artigos da
Lei eas ações necessárias para a conformidade com a mesma.
GESTÃO DE RISCOS
NA
LGPD
3
EDM01
Os Componentes do Sistema de Governança aplicáveis ao
Objetivo de Governança/Gestão EDM01, à luz dos requisitos da LGPD
GESTÃO DE RISCOS
NA
LGPD
4
EDM03
Os Componentes do Sistema de Governança aplicáveis ao
Objetivo de Governança/Gestão EDM03, à luz dos requisitos da LGPD
GESTÃO DE RISCOS
NA
LGPD
5
A) Componente Processo
Práticas de Governança do EDM03
EDM03.01 Avaliar a Gestão de Riscos
EDM03.02 Direcionar a Gestão de Riscos
EDM03.03 Monitorar a Gestão de Riscos.
Essas três Práticas são relevantes, pois, para promover a Governança da Pri-
vacidade é preciso termos um alinhamento efetivo entre a Governança Corpo-
rativa, a Governança de I&T e a Governança de Riscos.
GESTÃO DE RISCOS
NA
LGPD
6
GESTÃO DE RISCOS
NA
LGPD
7
APO12
A) Componente Processo
Práticas de Gestão do APO12
APO12.01 Coletar Dados
APO12.02 Analisar Risco
APO12.03 Manutenção dos Perfis de Risco
APO12.04 Articular Risco com as Partes Interessadas
APO12.05 Definir um Portfólio de Ações de Gestão de Risco
APO12.06 Responder aos Riscos
Essas seis Práticas são todas relevantes, pois são necessárias para o
ciclo de vida de gerenciamento de riscos de privacidade.
GESTÃO DE RISCOS
NA
LGPD
8
GESTÃO DE RISCOS
NA
LGPD
9
APO13
O Objetivo APO13 (Segurança Gerenciada) apresenta como finalidade: Man-
tenha o impacto e a frequência de ocorrência de incidentes de segurança da
informação dentro dos níveis de apetite por risco da empresa.
A) Componente Processo
Práticas de Gestão do APO13
APO13.01 Estabelecer e manter um sistema de gestão de segurança da
informação
APO13.02 Definir e gerenciar um plano de tratamento de segurança da
informação e de riscos de privacidade
APO13.03 Monitorar e rever o sistema de gestão de segurança da infor-
mação
Essas três práticas são todas relevantes, pois são necessárias para o ciclo
de vida de gerenciamento de riscos de privacidade. A prática APO13.02 traz
orientações específicas sobre riscos de privacidade. Nessa prática, merecem
destaque as atividades 5 e 6.
GESTÃO DE RISCOS
NA
LGPD
10
GESTÃO DE RISCOS
NA
LGPD
11
GESTÃO DE RISCOS
NA
LGPD
12
APO14
O Objetivo APO14 (Dados Gerenciados) apresenta como finalidade: Ga-
ranta a utilização eficaz dos ativos de dados críticos para atingir as metas e
objetivos da empresa.
A) Componente Processo
Práticas de Gestão do APO14
APO14.01 Definir e comunicar a estratégia de gerenciamento de dados
da organização, suas funções e responsabilidades.
APO14.02 Definir e manter um glossário de negócio consistente.
APO14.03 Estabelecer os processos e a infraestrutura para o gerencia-
mento de metadados.
APO14.04 Definir uma estratégia de qualidade de dados
APO14.05 Estabelecer metodologias, processos e ferramentas de gestão
de perfil de dados.
APO14.06 Estabelecer uma abordagem de avaliação de qualidade de
dados
APO14.07 Defina a abordagem de limpeza de dados.
APO14.08 Gerenciar o ciclo de vida dos ativos de dados
APO14.09 Suportar o arquivamento e retenção de dados
APO14.10 Gerenciar arranjos de backup e restauração de dados.
Essas dez práticas são todas relevantes, pois são necessárias para o ciclo
de vida de governança e gestão de dados. As práticas APO14.08 e APO14.09
merecem destaque por terem relação direta com atividades afetas à LGPD.
GESTÃO DE RISCOS
NA
LGPD
13
GESTÃO DE RISCOS
NA
LGPD
14
GESTÃO DE RISCOS
NA
LGPD
15
BAI05
O Objetivo BAI05 (Mudanças Organizacionais Gerenciadas) apresenta
como finalidade: Prepare e obtenha o compromisso das partes interessadas para
a mudança nos negócios e reduza o risco de falhas.
A) Componente Processo
Práticas de Gestão do BAI05
BAI05.01 Estabelecer o desejo de mudar.
BAI05.02 Formar uma equipe de implementação efetiva.
BAI05.03 Comunicar a visão desejada.
BAI05.04 Empodere os atores com papéis relevantes e identifique
vitórias rápidas.
BAI05.05 Habilite a operação e o uso.
BAI05.06 Incorpore novas abordagens
GESTÃO DE RISCOS
NA
LGPD
16
Estas sete práticas são todas relevantes, pois são necessárias para a mu-
dança organizacional que um programa de compliance com a LGPD demanda.
A prática BAI05.01 é a primeira a ser trabalhada, porque se não houver um
forte desejo de mudar em todos os níveis organizacionais, as resistências à
mudança prevalecerão. Aqui é interessante utilizar técnicas de nudge para
facilitar a adesão.
Em qualquer Projeto/Programa, a comunicação é um elemento de des-
taque. A prática BAI05.03 traz essa preocupação, enfatizando que essa comu-
nicação deve partir da alta administração.
Por outro lado, a prática BAI05.07 é a que mais me preocupa, pois se a
mudança não for sustentável, os ganhos obtidos serão perdidos em pouco
tempo. Esta prática recomenda treinamento contínuo da equipe, campanhas
contínuas de comunicação, compromisso contínuo da alta administração,
monitoramento da adoção e compartilhamento das lições aprendidas em toda
a empresa.
GESTÃO DE RISCOS
NA
LGPD
17
O Encarregado, para o bom desempenho de suas atribuições, deverá ter
um conhecimento sólido de Gestão e Planejamento de Implementação de Mu-
danças.
BAI08
O Objetivo BAI08 (Conhecimento Gerenciado) apresenta como finali-
dade: Forneça o conhecimento e as informações necessárias para apoiar todos
os colaboradores na governança e gerenciamento das atividades de I&T da em-
presa e permita uma tomada de decisão informada.
GESTÃO DE RISCOS
NA
LGPD
18
A) Componente Processo
Práticas de Gestão do BAI08
BAI08.01 Identificar e classificar fontes de informação para a gover-
nança e gestão de I&T.
BAI08.02 Organizar e contextualizar informação em conhecimento.
BAI08.03 Usar e compartilhar conhecimento.
BAI08.04 Avaliar e atualizar ou retirar informação.
GESTÃO DE RISCOS
NA
LGPD
19
GESTÃO DE RISCOS
NA
LGPD
20
DSS05
O Objetivo DSS05 (Serviços de Segurança Gerenciados) apresenta
como finalidade: Minimizar o impacto aos negócios das vulnerabilidades e
incidentes de segurança das informações operacionais.
A) Componente Processo
Práticas de Gestão do DSS05
DSS05.01 Proteger contra software malicioso.
DSS05.02 Gerenciar a segurança de rede e de conectividade em geral.
DSS05.03 Gerenciar a segurança dos pontos finais de rede.
DSS05.04 Gerenciar a identidade e o acesso lógico dos usuários.
DSS05.05 Gerenciar o acesso físico aos ativos de I&T.
DSS05.06 Gerenciar documentos sensíveis e equipamentos de saída.
DSS05.07 Gerenciar as vulnerabilidades e monitorar a infraestrutura
para eventos relacionados à segurança.
Todas as sete práticas desse Objetivo têm forte relação com a LGPD. A
segurança da informação é um dos pilares da privacidade e a sua gestão é
condição sine qua non para que todos os demais componentes funcionem a
contento.
GESTÃO DE RISCOS
NA
LGPD
21
GESTÃO DE RISCOS
NA
LGPD
22
DSS06
O Objetivo DSS06 (Controles de Processos de Negócio Gerenciados)
apresenta como finalidade: Manter a segurança dos ativos de informação e a
integridade das informações manipuladas nos processos de negócios da orga-
nização ou em sua operação terceirizada minimizando o impacto das vulnera-
bilidades e incidentes de segurança das informações nos negócios.
A) Componente Processo
Práticas de Gestão do DSS06
DSS06.01 Alinhar os controles dos processos de negócio com os obje-
tivos corporativos.
DSS06.02 Controlar o processamento das informações.
DSS06.03 Gerenciar papéis, responsabilidades, privilégios de acesso e
níveis de autoridade.
DSS06.04 Gerenciar erros e exceções.
DSS06.05 Garantir rastreabilidade e responsabilização (accountabili-
ty) em eventos relacionados à informação.
DSS06.06 Garantir a segurança dos ativos de informação.
Todas as seis práticas desse Objetivo têm forte relação com a LGPD. A
questão da privacidade coloca-se firmemente na interação dos processos de
negócios com seus clientes. Na prática DSS06.01 busca-se o alinhamento es-
tratégico dos controles dos processos de negócio com os requisitos de pri-
vacidade da Lei; a prática DSS06.02 aborda diretamente o tratamento das
informações pessoais; a DSS06.03 tem a importante atribuição de definir e
gerenciar papéis, responsabilidades, privilégios de acesso e níveis de autori-
dade para os dados pessoais; a DSS06.04 cuido do gerenciamento de erros e
exceções que, inevitavelmente, ocorrerão; a DSS06.05 preocupa-se com a
garantia da rastreabilidade e responsabilização (accountability) em eventos
relacionados à informação; e, finalmente, a prática DSS06.06 aborda a segu-
rança dos ativos de informação.
GESTÃO DE RISCOS
NA
LGPD
23
GESTÃO DE RISCOS
NA
LGPD
24
MEA03
A) Componente Processo
Práticas de Gestão do MEA03
MEA03.01 Identificar requisitos externos de compliance.
MEA03.02 Otimizar a resposta a requisitos externos.
MEA03.03 Confirmar o compliance com requisitos externos.
MEA03.04 Obter garantia de compliance com requisitos externos.
Todas as quatro práticas desse Objetivo têm forte relação com a LGPD.
GESTÃO DE RISCOS
NA
LGPD
25
GESTÃO DE RISCOS
NA
LGPD
26
AVALIAÇÃO
Para finalizar, entraremos em detalharemos a avaliação dos níveis de ca-
pacidade e de maturidade, segundo o COBIT Performance Model – CPM, para
a conformidade com a Lei.
GESTÃO DE RISCOS
NA
LGPD
27
O processo atinge sua finalidade, é bem definido, e o seu
desempenho é avaliado quantitativamente em busca da Nivel 5
melhoria contínua.
O processo alcança
O processo atinge sua finalidade, é bem definido, Nivel 4 sua finalidade por meio
e o seu desempenho é avaliado da aplicação de um
quantitativamente. conjunto básico, mas
Nivel 3 completo, de atividades que
O processo atinge sua finalidade de podem ser caracterizadas
uma maneira mais organizada como executadas.
utilizando ativos organizacionais.
Os processos, tipicamente,
Nivel 2
O processo mais ou menos atinge
são bem definidos. suas finalidades por meio da aplicação
Nivel 1 de um conjunto incompleto de atividades
que podem ser caracterizadas como executadas.
Fonte: o autor.
Adaptado de COBIT® 2019 Framework: Introduction and Methodology, ISACA,
2018, USA.
No começo deste livro, foram escolhidos os Objetivos que compõem esta Área
de Foco:
EDM01 Garantir o Estabelecimento e Manutenção de um Framework de
Governança.
EDM03 Garantir a Otimização de Risco
APO12 Riscos Gerenciados
APO13 Segurança Gerenciada
APO14 Dados Gerenciados
BAI05 Mudanças Organizacionais Gerenciadas
BAI08 Conhecimento Gerenciado
DSS05 Serviços de Segurança Gerenciados
DSS06 Controles de Processos de Negócio Gerenciados
MEA03 Compliance com Requisitos Externos Gerenciada
GESTÃO DE RISCOS
NA
LGPD
28
A questão que agora se coloca é: Qual o nível de capacidade mínimo para cada
Objetivo, de maneira a garantir uma estrutura de Governança e Gestão de
Informação e Tecnologia que suporte a conformidade com a LGPD?
Nivel 5
A empresa está focada na melhoria contínua
Fonte: o autor.
Adaptado de COBIT® 2019 Framework: Introduction and Methodology, ISACA,
2018, USA.
GESTÃO DE RISCOS
NA
LGPD
29
Para a maturidade do ambiente, recomendo que o nível mínimo seja o 3 (pa-
drões corporativos fornecem orientação para toda a empresa). É importante
observar que para alcançar o nível 3 de maturidade, é preciso que os dez Obje-
tivos selecionados estejam no nível 3 de capacidade.
GESTÃO DE RISCOS
NA
LGPD
30
SOBRE O AUTOR
OBRIGADO!
João Souza Neto
sznetoj@gmail.com
/ in /souzaneto
/company/gestão-de-riscos-na-lgpd
res .
o p o r J ú lia Pe
ã
gramaç
n e dia
D esig