Material Oficial Curso

Curso preparatório para as certificações
InfoSec Foundation, Information Security Risk

Management Foundation, LGPD Foundation e IT
Governance Foundation
InfoSec Foundation
Conteúdo do módulo
• Normas
• Principais normas de segurança
• Conceitos e definições
• Medidas de segurança
• Gestão de vulnerabilidades técnicas
• Política de Segurança da Informação
• Classificação da Informação
• Gestão da continuidade do negócio
• Conformidade com requisitos legais
• Legislações e regulamentações
• Simulados
Normas
• Normas
• Normas são documentos estabelecidos por consenso e aprovado por um organismo
reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características
para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um
dado contexto.
• Normas da família ISO IEC 27000

• As normas da família ISO/IEC 27000 são normas internacionais que apresentam os requisitos
necessários para a implementação de um Sistema de Gestão da Segurança da Informação
(SGSI) em qualquer organização por meio do estabelecimento de políticas de segurança,
controles e gerenciamento de risco.
Principais normas de segurança
• ISO/IEC 27000
• Overview and vocabulary (Termos e definições aplicáveis a todas as normas da família 27000)
• ABNT NBR ISO/IEC 27001
• Sistemas de gestão da segurança da informação — Requisitos
• Código de prática para controles de segurança da informação
• Diretrizes para implantação de um sistema de gestão da segurança da informação
• Gestão da segurança da informação — Medição
• Gestão de riscos de segurança da informação
Outras normas importantes
• ABNT NBR ISO 31000
• Gestão de riscos - Diretrizes
• ABNT NBR ISO/IEC 20000-1
• Tecnologia da informação — Gestão de serviços
Parte 1: Requisitos do sistema de gestão de serviços
• ABNT NBR ISO/IEC 20000-2
• Tecnologia da informação — Gerenciamento de serviços
Parte 2: Guia de aplicação do sistema de gestão de serviços
• Governança corporativa de tecnologia da informação
• ABNT NBR ISO 22301
• Requisitos para um sistema de gestão da continuidade de negócios
Conceitos e definições
• Informação
• A informação é um ativo que, como qualquer outro ativo importante, é essencial para os
negócios de uma organização e, consequentemente, necessita ser adequadamente
protegida.
• A informação pode existir em diversas formas:

• Impressa ou escrita em papel;
• Armazenada eletronicamente;
• Transmitida pelo correio ou por meios eletrônicos ;
• Arquivos de imagem, áudio ou vídeo.
• Ciclo de vida da informação
• Manuseio: trata-se do início do ciclo, onde a informação é gerada e manipulada;
• Armazenamento: momento em que a informação é armazenada;
• Transporte: momento em que a informação é enviada e/ou transportada;
• Descarte: parte final do ciclo, onde a informação é descartada, eliminada, apagada, destruída
de forma definitiva.
Manuseio
Descarte Armazenamento
Transporte
• Requisitos de Segurança da Informação

• Confiabilidade
• Aspectos da Confiabilidade da Informação
• Confidencialidade: proteger uma informação contra acesso não autorizado.
• Integridade: proteger a informação contra alteração não autorizada.
• Disponibilidade: garantir que um recurso esteja disponível sempre que necessário.
• Autenticação: verificar se a entidade é realmente quem ela diz ser.
• Autorização: determinar as ações que a entidade pode executar.
• Identificação: permitir que uma entidade se identifique, ou seja, diga quem ela é.
• Não-repúdio (Irretratabilidade): evitar que uma entidade possa negar que foi ela quem
executou uma ação.
• Ativo
• Qualquer coisa que tenha valor para a organização.
• Classes de ativos
• Ativo tangível – produto, bem, equipamento, imóvel, informação em papel;
• Ativo intangível – marca, reputação e catálogo intelectual.
• Ativo de informação
• Bases de dados, arquivos, documentação de sistema, manuais de usuário, planos de
continuidade do negócio, contratos, etc...
• Vulnerabilidade
• Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
• É uma condição que, quando explorada por um atacante, pode resultar em uma violação de
segurança.
• Patch
• Termo atribuído à correção desenvolvida para eliminar falhas de segurança em um programa
ou sistema operacional.
• Ameaça
• Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
• Tipos de ameaça
• Humana intencional – danos causados de forma proposital.
• Hackers;
• Engenharia social;
• Vandalismo;
• Roubo e furto;
• Sabotagem;
• Incêndio culposo.
• Humana não intencional – danos causados de forma involuntária.
• Pen-drive com vírus;
• Uso inadequado de extintor de incêndio.
• Não humana
• Incêndio;
• Relâmpagos;
• Inundação;
• Enchente.
• Incidente de segurança da informação
• Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas
de computação ou de redes de computadores.
• Alguns exemplos de incidentes de segurança são: tentativa de uso ou acesso não autorizado
a sistemas ou dados, tentativa de tornar serviços indisponíveis, modificação em sistemas
(sem o conhecimento ou consentimento prévio dos donos) e o desrespeito à política de
segurança ou à política de uso aceitável de uma organização.
• Ciclo de vida do incidente
AMEAÇA INCIDENTE DANO RECUPERAÇÃO

• Gestão de incidentes de segurança da informação

• Convém que responsabilidades e procedimentos de gestão sejam estabelecidos para assegurar
respostas rápidas, efetivas a incidentes de segurança da informação.
• Notificação de fragilidades e incidentes de segurança da informação

• Assegurar que fragilidades e eventos de segurança da informação associados com sistemas de
informação sejam comunicados, permitindo a tomada de ação corretiva em tempo hábil.
• Time de respostas a incidentes de segurança da informação (CSIRT)

• É o nome dado à organização responsável por receber, analisar e responder a notificações e
atividades relacionadas à incidentes de segurança da informação.
• Danos
• São as consequências de um incidente. Os danos podem ser diretos ou indiretos.
• Danos diretos – são consequências diretas do incidente.
• Exemplo: furto de um veículo.
• Danos indiretos – são consequências indiretas do incidente.
• Exemplo: após o furto do veículo, a pessoa perder compromissos.
• Impacto
• Mudança adversa no nível obtido dos objetivos do negócio.
Medidas de segurança
• Funções das medidas de segurança
• Redutivas
• Medidas redutivas são aquelas destinadas a reduzir a probabilidade de que um incidente
ocorra.
• Exemplo: Instalação de um antivírus.
• Preventivas
• Medidas preventivas são aquelas cujo objetivo é evitar a exploração de uma vulnerabilidade.
Visam evitar o risco e reduzir a zero a probabilidade de ocorrência de um incidente, eliminando
também a atividade geradora do risco.
• Exemplo: uso de um sistema de chave de acesso (crachá) ou o armazenamento de
informações sigilosas em um cofre.
• Detectivas
• As medidas detectivas são aquelas que procuram identificar um incidente no momento em que
ele ocorre.
• Exemplo: sistema de detecção de instrusão.
• Funções das medidas de segurança (cont.)
• Repressivas
• As medidas repressivas são aquelas que combatem o dano causado pelo incidente.
• Exemplo: combate a um incêndio.
• Corretivas
• As medidas corretivas, ou de recuperação, visam a restauração do ambiente após um incidente
de segurança. As medidas corretivas são importantes para que as operações da organização
voltem à normalidade após um incidente.
• Exemplo: restaurar o banco de dados usando backup.
• Medidas de segurança x ciclo de vida do incidente
AMEAÇA INCIDENTE DANO RECUPERAÇÃO
REDUÇÃO PREVENÇÃO DETECÇÃO REPRESSÃO CORREÇÃO AVALIAR

• Segurança física e do ambiente
• A segurança física e do ambiente tem por objetivo previnir o acesso físico não autorizado,
danos e interferências com as instalações e informações da organização.
• Perímetro de segurança física

• Proteção contra acesso físico não autorizado;
• Barreiras como paredes , portões de entrada, portas, fechaduras, etc;
• Alarmes;
• Sistemas de deteccão de intrusos.
• Controles de entrada
• Assegurar que somente pessoas autorizadas tenham acesso;
• Identificações, registro de entrada e saída, crachás, etc.
• Segurança em escritórios, salas e instalações

• Segurança física e do ambiente (cont.)
• Proteção contra ameaças externas e do meio ambiente
• Convém que sejam levadas em consideração todas ameças à segurança representadas por
instalações vizinhas.
• Segurança de equipamentos
• Impedir perdas, danos, furto ou roubo, ou comprotimento de ativos e interrupção das
atividades da organização;
• Monitoramento das condições ambientais, como temperatura e umidade;
• Proteção contra raios;
• Proteção contra falta de energia (no-breaks, UPS, geradores de emergência, etc.).
• Segurança do cabeamento
• Evitar interferências;
• Cabos de energia segregados dos cabos de comunicações;
• Blindagem eletromagnética para proteção dos cabos;
• Piso elevado.
• Segurança em recursos humanos
• Tem por objetivo estabelecer diretrizes e controles para a implementação de uma efetiva
gestão de segurança em recursos humanos.
• Antes da contratação
• Seleção
• Verificações do histórico de todos os candidatos a emprego (Referências, informações do
currículo, confirmação das qualificações acadêmicas e profissionais, verificação
independente da identidade e atestado de Antecedentes Criminais).
• Termos e condições de contratação
• Assinatura de um termo de confidencialidade.
• Durante a contratação
• Conscientização, educação e treinamento em segurança da informação;
• Processo disciplinar.
• Encerramento da contratação
• Devolução de ativos;
• Retirada de direito de acesso.
• Proteção contra códigos maliciosos

• Visa proteger a integridade do software e da informação por meio da implantação de
controles de detecção, prevenção e recuperação contra códigos maliciosos e conscientização de
usuários.
• Diretrizes para implantação

• Proibir o uso de softwares não autorizados;
• Instalar e atualizar regularmente softwares de detecção e remoção de códigos maliciosos;
• Estabelecer planos de continuidade do negócio para recuperação em casos de ataques por
códigos maliciosos;
• Conscientização dos usuários.
• Descarte de mídias
• Garantir que as mídias sejam descartadas de forma segura e protegida quando não forem
mais necessárias para minimizar o risco de vazamento de informacões sensíveis para pessoas
não autorizadas.
• Cópias de segurança
• Convém que as cópias de segurança sejam efetuadas e testadas regularmente conforme a
política de backup.
• Convém que as cópias de segurança sejam armazenadas em uma localidade remota.
• Convém que os procedimentos de recuperação sejam testados e verificados regularmente.
• Autenticação segura
• A autenticação, apesar de ser também utilizada para controle de acesso lógico, é um
instrumento indispensável na segurança física. A autenticação se dá através de um ou mais
fatores dentre os três a seguir:
• O que você sabe? – Nome de usuário e senha;
• O que você tem? – Cartão, crachá, smartcards e tokens;
• Quem você é? – Dispositivo biométrico.
• Para termos uma autenticação considerada segura, aconselha-se a utilização de, no mínimo,
dois requisitos de autenticação agregados. Exemplos:
• ID + Senha + Crachá;
• Crachá + Biometria.
• Segregação de funções
• Prega a divisão de tarefas e permissões na organização, não concentrando o conhecimento
em apenas uma pessoa, reduzindo, consequentemente, o risco de fraudes, uma vez que seriam
necessários dois ou mais colaboradores para que essa se consumasse.
• Gerenciamento de acesso
• Manter um controle efetivo sobre os direitos de acesso necessários para que os colaboradores
exerçam suas atribuições, sem que lhes seja concedido nenhum direito além do necessário.
• Gestão de mudanças
• Modificações em equipamentos, sistemas operacionais e aplicativos devem ser devidamente
controladas. Em particular, devem ser considerados os seguintes items:
• Identificação e registro das mudanças significativas;
• Planejamento e testes de mudanças;
• Avaliação de impactos;
• Comunicação dos detalhes das mudanças para todas as pessoas envolvidas;
• Procedimento formal de aprovação das mudanças;
• Procedimentos de recuperação.
• Monitoramento
• Tem por objetivo detectar atividades não autorizadas de processamento da informação. Inclui
itens como:
• Registros de auditoria;
• Monitoramento do uso dos sistemas;
• Proteção das informações de registro (log);
• Registro (log) de falhas;
• Sincronização dos relógios.
• Gerenciamento de acesso do usuário

• Assegurar o acesso de usuário autorizado e previnir acesso não autorizado a sistemas de
informação.
• Convém que procedimentos formais sejam implementados para controlar a distribuição de
direitos de acesso a sistemas de informação e serviços.
• Inclui itens como:
• Registro de usuário;
• Gerenciamento de privilégios;
• Gerenciamento de senha do usuário.
• Responsabilidades dos usuários

• Garantir que os usuários estejam conscientes de suas responsabilidades para manter efetivo
controle de acesso, principalmente em relação ao uso de senhas e equipamentos.
• Uso de Senhas;
• Política de mesa limpa e tela limpa.
• Controle de acesso a rede

• Prevenir acesso não autorizado aos serviços da rede.
• Política de uso dos recursos da rede;
• Autenticação para conexão externa do usuário;
• Segregação de redes.
• Vulnerability Management Foundation
• Gestão de vulnerabilidades técnicas
• A Gestão de vulnerabilidades técnicas tem por objetivo reduzir riscos resultantes da exploração
de vulnerabilidades técnicas conhecidas.
• Convém que seja obtida informação em tempo hábil sobre vulnerabilidades técnicas dos
sistemas de informação em uso, avaliada a exposição da organização a estas vulnerabilidades e
tomadas as medidas apropriadas para lidar com os riscos associados.
• A norma ISO/IEC 27002 estabelece que a gestão de vulnerabilidades técnicas seja
implementada de forma efetiva, sistemática e de forma repetível com medições de
confirmação de efetividade.
• Gestão de vulnerabilidades técnicas (cont.)
• Diretrizes para implementação:
• Um inventário completo e atualizado dos ativos de informação é um pré-requisito para uma
gestão efetiva de vulnerabilidade técnica.
• Utilização de ferramentas para identificação de vulnerabilidades técnicas.
• Exemplo: OpenVAS - http://www.openvas.org/ (Ferramenta de varreduras e
gerenciamento de vulnerabilidades open-source largamente utilizada).
• Uma vez que uma vulnerabilidade técnica potencial tenha sido identificada, convém que a
organização avalie os riscos associados e as ações a serem tomadas.
• Se um patch for disponibilizado, convém que sejam avaliados os riscos associados a sua
instalação (patches devem ser testados e avaliados antes de serem instalados).
• O processo de gestão de vulnerabilidades técnicas deve ser regularmente monitorado e
avaliado.
• Gestão de vulnerabilidades técnicas (cont.)
• Exemplos de vulnerabilidades técnicas
• Vulnerabilidade de software
• Procedimentos de teste de software insuficientes ou inexistentes.
• Vulnerabilidade de hardware
• Sensibilidade à variação de temperatura.
• Vulnerabilidade de rede
• Conexão de redes públicas desprotegidas.
• Vulnerabilidade do local ou das instalacões
• Inexistência de mecanismos de proteção física no prédio, portas e janelas.
• Vulnerabilidade em recursos humanos
• Procedimentos de recrutamento e seleção inadequados.
• Sistema de gestão da segurança da informação (SGSI)

• A organização deve estabelecer, implementar, operar, analisar criticamente, manter e
melhorar um SGSI;
• O SGSI deve ser baseado no modelo “Plan-Do-Check-Act” (PDCA).
Política de Segurança da Informação
• Information Security Policy Foundation

• Introdução a Política de Segurança da Informação (PSI)
• Uma política de segurança não é apenas um documento contendo instruções de uso de
senhas, mas, sim, um documento estruturado que estabelece um conjunto de regras, normas
e procedimentos que define as obrigações e as responsabilidades referentes à segurança da
informação e deve ser observado e seguido pelos colaboradores da organização, sob pena de
advertência e até desligamento por justa causa, no caso do não cumprimento.
• É considerada como um importante mecanismo de segurança, tanto para as instituições
como para os usuários.
• Objetivos de uma PSI
• O objetivo da política de segurança da informação é prover uma orientação e apoio da direção
para a segurança da informação de acordo com os requisitos do negócio e com as leis e
regulamentações pertinentes.
• “Convém que a direção estabeleceça uma clara orientação da política, alinhada com os objetivos
do negócio e demonstre apoio e comprometimento com a segurança da informação por meio da
publicação e manutenção de uma política de segurança da informação para toda a organização.”
(ISO/IEC 27002).
• Os principais objetivos de uma política de segurança da informação são:
• Proteger os negócios da organização frente ao impacto de incidentes;
• Padronizar a segurança da informação dentro da organização;
• Orientar colaboradores, prestadores de serviço e terceiros a respeito de suas obrigações
quanto à segurança da informação.
• Uma política de segurança atribui direitos e responsabilidades às pessoas em relação à segurança
dos recursos computacionais com os quais trabalham.
• Uma política de segurança também estipula as penalidades às quais estão sujeitos aqueles que a
descumprem.
• Benefícios da adoção de uma PSI
• O principal benefício da adoção de uma PSI é o estabelecimento de um padrão de conduta
que seja amplamente difundido na organização e que sirva como referência para tomada de
decisões da alta direção em assuntos relacionados à segurança da informação.
• A Política de Segurança da Informação tem a importante função de fornecer as diretrizes para
proteger ativos de informação contra ameaças ou incidentes, assegurando:
• Redução da probabilidade da ocorrência de incidentes por meio da adoção de controles
de segurança e diminuição dos riscos;
• Tratamento imediato de quaisquer violações de segurança da informação detectadas e
minimização dos danos provocados;
• Efetividade dos planos de continuidade de negócios por meio de avaliações,
manutenções e testes periódicos;
• Comprometimento e responsabilidade de todos os funcionários com a PSI, observando
as normas de conduta e ética da empresa;
• Treinamentos e conscientização regulares disponíveis para todos os usuários com acesso
ao sistema de informações.
• Diretrizes para implementação de uma PSI
• Conjunto de regras efetivas e atuais
• Uma PSI deve especificar um conjunto de regras efetivas e atuais:
• Efetivas: as regras precisam ser tangíveis e aplicáveis dentro da realidade da
organização no momento de sua efetivação e publicação;
• Atuais: as regras devem cobrir todos os elementos relativos às novas tecnologias.
• Extratificação
• A política de segurança da informação deve especificar processos e controles de
segurança da informação, em diferentes níveis de detalhamento, com a finalidade de
proporcionar a devida segurança da informação.
• As regras devem ser organizadas de forma hierárquica.
• Extratificação da PSI em diretrizes, regras e procedimentos.
• Responsabilização
• Indica as sansões cabíveis em casos de violação ou não observância à PSI.
• Diretrizes para implementação de uma PSI (cont.)
• Viabilidade
• O custo de implantação de todas as exigências da PSI deve ser justificado pelo valor do
ativo e do negócio a ser protegido.
• A política deve estar alinhada com os objetivos do negócio e ser aderente à realidade da
organização.
• Aplicabilidade
• As regras estabelecidas em uma PSI devem ser aplicáveis e implementáveis.
• Clareza e objetividade
• A linguagem utilizada na redação da PSI deve ser clara, objetiva e concisa, facilitando a
leitura e a compreensão. Textos longos podem desestimular a leitura ou suscitar
dubiedade na interpretação.
• “A política de segurança da informação deve ser um documento simples e de fácil
entendimento, pois será lida por todos os colaboradores da organização, de todos os
níveis hierárquicos.” (Campos, 2007)
• Diretrizes para implementação de uma PSI (cont.)
• Respaldo
• O comprometimento da alta direção é indispensável para o sucesso da implementação da
PSI.
• “A aprovação da direção para as iniciativas de segurança da informação é essencial.”
(Campos, 2007)
• Conhecimento
• A PSI deve ser amplamente divulgada. As pessoas precisam estar devidamente informadas e
conscientizadas sobre a importância do cumprimento das regras, normas e procedimentos
estabelecidos na política de segurança da informação.
• “Convém que um documento da política da segurança da informação seja aprovado pela
direção, publicado e comunicado para todos os funcionários e partes externas relevantes.”
(ISO/IEC 27002)
• Obrigatoriedade
• O cumprimento da PSI deve ser obrigatório com consequências efetivas em caso de
descumprimento.
• Recomenda-se que os usuários estejam cientes de que existam ou possam existir meios de
identificação do descumprimento da PSI.
• Análise crítica da PSI

• “Convém que a política de segurança da informação seja analisada criticamente, atualizada e
aprimorada dentro de intervalos preestabelecidos ou quando ocorrem mudanças
significativas que possam comprometer a sua pertinência, adequação e eficácia.” (ISO/IEC
27002)
• Políticas específicas
• A política de segurança pode conter outras políticas específicas, como:
• Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais,
como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
• Política de backup: define as regras sobre a realização de cópias de segurança, como tipo
de mídia utilizada, período de retenção e frequência de execução.
• Política de privacidade: define como são tratadas as informações pessoais, sejam elas de
clientes, usuários ou funcionários.
• Política de confidencialidade: define como são tratadas as informações institucionais, ou
seja, se elas podem ser repassadas a terceiros.
• Políticas específicas (cont.)

• Política de mesa limpa e tela limpa
• Política que tem por objetivo evitar que papéis e mídias removíveis fiquem acessíveis a
terceiros.
• Informações sensíveis ou críticas, por exemplo, em papel ou em mídia de
armazenamento eletrônico devem ser guardadas em lugar seguro (cofre ou armário)
quando não em uso.
• Documentos que contenham informação sensível devem ser removidos da impresssora
imediatamente.
• Computadores e terminais quando não utilizados devem ser mantidos desligados ou
protegidos por mecanismos de travamento de tela e teclado.
• Controle do uso de copiadoras.
• Proteção de correspondências e fax.
• Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): também chamada de "Termo de
Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as
responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
• A política de uso aceitável costuma ser disponibilizada na página Web e/ou ser apresentada no
momento em que a pessoa passa a ter acesso aos recursos. Algumas situações que geralmente
são consideradas de uso abusivo (não aceitável) são:
• compartilhamento de senhas;
• divulgação de informações confidenciais;
• envio de boatos e mensagens contendo spam e códigos maliciosos;
• envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;
• cópia e distribuição não autorizada de material protegido por direitos autorais;
• ataques a outros computadores;
• comprometimento de computadores ou redes.
• Código de conduta
• Dentro das organizações, utiliza-se o código de conduta como uma forma de direcionar as
atitudes dos colaboradores para que estejam em conformidade com a conduta esperada pela
alta gestão. Para que seja efetivo, o código precisa ser publicado e divulgado
constantemente, desde o momento da contratação até o desligamento.
• Para que a política de segurança seja igualmente inserida no cotidiano dos colaboradores, ela
deve ser inserida no código de conduta da empresa, tornando-se parte do conjunto de
diretrizes que todo colaborador deve seguir para atender aos requisitos da organização.
• Considerações finais
• O desrespeito à política de segurança ou à política de uso aceitável de uma instituição pode
ser considerado como um incidente de segurança e, dependendo das circunstâncias, ser
motivo para encerramento de contrato (de trabalho, de prestação de serviços, etc.).
• Se a política de segurança da informação for distribuída fora da organização, convém que
sejam tomados cuidados para não revelar informações sensíveis.
Classificação da informação
• A classificação da informação tem por objetivo assegurar que a informação receba um nível adequado de
proteção.
• Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e
criticidade para a organização.
• A classificação dada a informação é a maneira de determinar como a informação vai ser tratada e protegida.
• A classificação da informação não é necessariamente fixa;
• Documentos de outras organizações devem ser reclassificados;
• Muitos níveis de classificação podem deixar o processo complexo e economicamente inviável;
• O proprietário da informação deve ser o responsável pela sua classificação e análise crítica;
• Rótulos e tratamento da informação: definir e implementar um conjunto de procedimentos para
rotulação e tratamento da informação segundo o esquema de classificação adotado pela empresa.
• Níveis de classificação
• Pública;
• Interna;
• Restrita;
• Confidencial.
Gestão da continuidade do negócio
• Gestão da continuidade do negócio

• A gestão da continuidade do negócio tem por objetivo não permitir a interrupção das
atividades do negócio, proteger os processos críticos contra efeitos de falhas ou desastres
significativos e assegurar a sua retomada em tempo hábil.
• Planos de continuidade do negócio

• Os planos de continuidade do negócio devem ser testados e atualizados regularmente, de
forma a assegurar a sua permanente atualização e efetividade.
• Os planos de continuidade do negócio devem incluir o plano de recuperação de desastres e o
plano de gerenciamento de crise.
Conformidade com requisitos legais
• Direitos de propriedade intelectual

• Convém que sejam adotados procedimentos apropriados para assegurar a proteção aos
direitos de propriedade intelectual.
• Proteção de registros organizacionais

• Registros organizacionais devem ser protegidos contra perda, destruição e falsificação.
• Proteção de dados e privacidade de informações pessoais

• Convém que privacidade e a proteção de dados sejam asseguradas conforme exigido nas
legislações, regulamentações e, se aplicável, nas cláusulas contratuais pertinentes.
Legislações e regulamentações
• PCI DSS
• Conjunto de requisitos de segurança desenvolvido para proteger os dados de portadores de
cartão de crédito.
• Lei Sarbanes-Oxley
• Lei promulgada pelo governo norte-americano que tem por objetivo estabelecer maior
responsalibidade e transparência na divulgação de informações financeiras por parte dos
executivos.
• GDPR (General Data Protection Regulation) - Regulamentação Geral de Proteção de Dados – Europa
• Entrou em vigor no dia 25/05/2018 em todos os países da União Europeia.
• A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem dados
pessoais de residentes da União Europeia.
• Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil

• LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.
• Sancionada no dia 14 de Agosto de 2018, a lei define regras para a proteção de dados pessoais.
• The Personal Information Protection and Electronic Documents Act (PIPEDA)

• Lei de Proteção de Informações Pessoais e Documentos Eletrônicos canadense. Lei federal de
privacidade para organizações do setor privado no Canadá.
• A lei aplica-se a todas as organizações do setor privado que coletam informações pessoais no
Canadá.
• Lei Nº 12.737, DE 30 de NOVEMBRO DE 2012 (Lei “Carolina Dieckmann”)

• Lei que torna crime no Brasil invadir dispositivo informático alheio, conectado ou não à rede
de computadores, mediante violação indevida de mecanismo de segurança e com o fim de
obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do
titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita.
• LEI Nº 12.965, DE 23 DE ABRIL DE 2014 (Marco Civil da Internet)

• Estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil.
Simulados
1. Identifique nas alternativas abaixo a etapa na qual se inicia o ciclo de vida da informação.
a. Descarte
b. Manuseio
c. Transporte
d. Armazenamento
Simulados
2. Selecione nas alternativas abaixo o termo atribuído a fragilidade de um ativo ou grupo de ativos
que pode ser explorada por uma ou mais ameaças.
a. Vulnerabilidade
b. Impacto
c. Ameaça
d. Dano
Simulados
3. Selecione nas alternativas abaixo o conjunto de requisitos de segurança desenvolvido para

proteger os dados de portadores de cartão de crédito.
a. PCI DSS
b. PGP
c. SSH
d. WPA
Information Security Risk Management Foundation
• Gestão de Riscos de Segurança da Informação

• Termos e definições
• Análise/avaliação de riscos de segurança da informação
• Atividades do processo de análise/avaliação de riscos
• Tratamento do risco de segurança da informação
• Processo de gestão de riscos de segurança da informação
• Comunicação do risco de segurança da informação
• Monitoramento e análise crítica de riscos de segurança da informação
• Simulados
Gestão de Riscos de Segurança da Informação
• Gestão de Riscos de Segurança da Informação
• A norma ISO/IEC 27005 fornece diretrizes para o processo de gestão de riscos de segurança
da informação.
• Gestão de Riscos
• O processo de Gestão de Riscos consiste na definição do contexto, análise/avaliação de
riscos, tratamento do risco, aceitação do risco, comunicação do risco, monitoramento e
análise crítica de riscos.
• Estimativa de Risco
• Processo utilizado para atribuir valores à probabilidade e à consequência de um risco.
• Estimativa qualitativa - Utiliza uma escala com atributos que descrevem a magnitude
das consequências potencias (por exemplo, pequena, média e grande) e a probabilidade
dessas consequências ocorrerem.
• Estimativa quantitativa - Utiliza uma escala com valores numéricos tanto para
consequências quanto para a probabilidade, usando dados de diversas fontes.
• Identificação de Riscos
• Processo que tem por objetivo localizar, listar e caracterizar elementos de risco.
• Impacto
• Mudança adversa no nível obtido dos objetivos de negócios.
• Termos e definições (cont.)
• Redução do Risco
• Ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas,
associadas a um risco.
• Retenção do Risco
• Aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco.
• Risco
• Probabilidade de uma ameaça explorar uma vulnerabilidade de um ativo, causando danos ou
perdas à organização.
• Termos e definições (cont.)
• Risco Residual
• Risco remanescente após o tratamento do risco.
• Transferência do Risco
• Compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho
associado a um risco.
• Tratamento do Risco
• Processo de seleção e implementação de medidas para modificar um risco.
• Definição do contexto
• Primeiramente o contexto é estabelecido.
• Levantamento de todas as informações relevantes sobre a organização para definição do contexto da gestão de riscos da
segurança da informação;
• Definição do escopo e dos limites da gestão de riscos de segurança da informação (objetivos estratégicos da organização,
processos de negócio, requisitos legais e regulatórios, como por exemplo, LGPD e GDPR, etc...);
• Definição de critérios básicos necessários para a gestão de riscos de segurança da informação (critérios para avaliação de
riscos, critérios de impacto e critérios para a aceitação do risco);
• Análise/avaliação de Riscos de Segurança da Informação
• A análise/avaliação de risco tem por objetivo determinar o valor dos ativos de informação, identificar as ameaças e
vulnerabilidades existentes, identificar os controles existentes e priorizar os riscos derivados, ordenando-os de acordo com os
critérios de avaliação de risco estabelecidos na definição do contexto.
• A análise/avaliação de riscos consiste nas seguintes atividades:
• Análise de Riscos
• Identificação dos ativos;
• Identificação das ameaças;
• Identificação dos controles existentes;
• Identificação das vulnerabilidades;
• Identificação das consequências.
• Estimativa de Riscos
• Avaliação de Riscos
• Atividades do processo de análise/avaliação de Riscos:

• Identificar os ativos, vulnerabilidades, ameaças e Definição do Contexto
controles existentes e as consequências da ocorrência
de um incidente de segurança da informação para o Análise/Avaliação de Risco
negócio.
Análise de Risco
• Estimativa de Riscos
• Avaliação da probabilidade e do impacto sobre o Identificação de Riscos
negócio em caso da ocorrência de um incidente de
segurança.
• Avaliação de Riscos Estimativa de Riscos
• Definição das prioridades para tratamento dos riscos,
levando-se em consideração os níveis de riscos
Avaliação de Riscos
estimados.
• Saída: uma lista de riscos ordenados por prioridade (de
acordo com os critérios de avaliação de riscos) e
associados ao cenários de incidentes que o provocam.
• Após a realização da analise/avaliação de riscos, as opções de Ponto de decisão 1

NÃO
tratamento são então selecionadas, com base no custo esperado Avaliação satisfatória?
SIM
para implementação das opções e nos benefícios esperados.
• Tratamento do Risco de Segurança da Informação Tratamento do risco
• Reduzir o Risco Opções do tratamento do risco
• Reduzir o risco por meio da seleção de controles para
que o risco residual possa ser considerado aceitável.
• Reter o Risco Reduzir Reter Evitar Transferir
• Se o nível de risco atender os critérios para aceitação o risco o risco o risco o risco
do risco, neste caso, não há necessidade de

implementar controles adicionais (aceitar as
consequências de perda associadas ao risco). Riscos residuais
• Evitar o Risco
NÃO
• Evitar a atividade ou condição que dá origem ao risco. Ponto de decisão 2
Tratamento satisfatório?
• Tranferir o Risco SIM
• Tranferir o risco para outra entidade que possa Aceitação do risco

gerenciá-lo de forma mais eficaz.
Visão geral do processo de Gestão de Riscos de Definição do Contexto
Segurança da Informação
Monitoramento e análise crítica de risco

Análise/Avaliação de Risco
Comunicação do risco
Análise de Risco
Identificação de Riscos
Estimativa de Riscos
Avaliação de Riscos
NÃO
Ponto de decisão 1
Avaliação satisfatória? SIM
Tratamento do Risco
NÃO
Ponto de decisão 2
Tratamento satisfatória?
SIM
Aceitação do Risco
• Alinhamento do processo do SGSI e do processo de Gestão de Riscos de Segurança da Informação
Processo do SGSI Processo de Gestão de Riscos de Segurança da Informação

Planejar • Definição do contexto;
• Análise/Avaliação de riscos;
• Definição do plano de tratamento do risco.
Executar • Implementação do plano de tratamento do risco.
Verificar • Monitoramento contínuo e análise crítica de riscos.
Agir • Manter e melhorar o processo de Gestão de Riscos de

Segurança da Informação.
• Comunicação do Risco de Segurança da Informação
• Processo de troca ou compartilhamento de informação sobre o risco entre o tomador de
decisão e as partes interessadas.
• Monitoramento e Análise Crítica de Riscos de Segurança da Informação
• Processo que por objetivo garantir que os riscos e seus fatores sejam monitorados e
analisados criticamente, a fim de se identificar, o mais rapidamente possível, eventuais
mudanças no contexto da organização e manter uma visão geral dos riscos.
Simulados
1. Selecione nas alternativas abaixo a primeira atividade do processo de gestão de riscos em

segurança da informação.
a. tratamento do risco
b. análise/avaliação de riscos
c. definição do contexto
d. monitoramento e análise crítica de riscos
Simulados
2. Selecione nas alternativas abaixo a saída da atividade de aceitação do risco de segurança da

informação.
a. garantia permanente da relevância do processo de gestão de riscos de segurança da informação

para os objetivos de negócio da organização ou atualização do processo.
b. uma lista de riscos avaliados, ordenados por prioridade de acordo com os critérios de avaliação
de riscos.
c. entendimento contínuo dos processos de gestão de riscos de segurança da informação da
organização.
d. uma lista de riscos aceitos, incluindo uma justificativa para aqueles que não satisfaçam os
critérios normais para aceitação do risco.
Simulados
3. Selecione nas alternativas abaixo a saída da atividade de avaliação de riscos.
a. uma lista de riscos ordenados por prioridade (de acordo com os critérios de avaliação de riscos) e
associados ao cenários de incidentes que o provocam.
b. uma lista de riscos aceitos, incluindo uma justificativa para aqueles que não satisfaçam os
critérios normais para aceitação do risco.
c. entendimento contínuo dos processos de gestão de riscos de segurança da informação da
organização.
d. garantia permanente da relevância do processo de gestão de riscos de segurança da informação
para os objetivos de negócio da organização ou atualização do processo.
Simulados
4. Selecione nas alternativas abaixo as 4 (quatro) opções para tratamento de risco de acordo com a
norma ISO/IEC 27005.
a. Redução do risco, retenção do risco, ação de evitar o risco e transferência do risco

b. Aumento do risco, análise crítica do risco, monitoramento do risco e transferência do risco
c. Monitoramento do risco, redução do risco, ação de esconder o risco e transferência do risco
d. Ação de esconder o risco, retenção do risco, monitoramento do risco e transferência do risco
Simulados
5. Selecione nas alternativas abaixo o tipo de tratamento de risco atribuído a aceitação do ônus da
perda ou do benefício do ganho associado a um determinado risco.
a. ação de evitar o risco

b. redução do risco
c. transferência do risco
d. retenção do risco
Simulados
6. Selecione nas alternativas abaixo as atividades que fazem parte da análise de riscos.
a. identificação do risco e estimativa de riscos

b. gerenciamento de incidente e gerenciamento de evento
c. gerenciamento de mudança e gerenciamento de configuração
d. comunicação do risco e monitoramento
LGPD Foundation
• Visão Geral
• Sobre a LGPD
• Princípios
• Do Tratamento de Dados Pessoais
• Do Tratamento de Dados Pessoais Sensíveis
• Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
• Do Término do Tratamento de Dados
• Direitos do Titular
• Da transferência Internacional de Dados
• Da Autoridade Nacional de Proteção de Dados (ANPD)
• Das Sanções Administrativas
• Simulados
Visão Geral
• Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil

• LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.
• Sancionada no dia 14 de Agosto de 2018, a lei define regras para a proteção de dados
pessoais.
• Exige consentimento explícito para coleta e uso dos dados, tanto pelo poder público quanto
pela iniciativa privada.
• A lei entrará em vigor 24 (vinte e quatro) meses após a data de sua publicação (MEDIDA
PROVISÓRIA Nº 869, DE 27 DE DEZEMBRO DE 2018).
• Em caso de descumprimento da lei, o texto prevê multa de até 2% do faturamento da
empresa, limitado até R$ 50 milhões.
Visão Geral
• Lei Geral de Proteção de Dados – Brasil (cont.)

• Entre outros pontos, a lei estabele que:
• Dados pessoais deverão ser excluídos após o encerramento da relação entre o cliente e a
empresa;
• As empresas deverão coletar somente os dados necessários aos serviços prestados;
• Os titulares das informações poderão corrigir dados que estejam em posse de uma
empresa;
• As empresas deverão adotar medidas de segurança para proteger os dados pessoais de
acessos não autorizados e de "situações acidentais ou ilícitas" de destruição, perda,
alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito;
• O responsável pela gestão dos dados deverá comunicar casos de "incidente de
segurança", como vazamentos, que possam trazer risco ou dano ao titular das
informações;
• Dados de crianças devem ser tratados com o consentimento dos pais.
Sobre a LGPD
• A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa
natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade.
• A lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa
jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do
país onde estejam localizados os dados, desde que:
• a operação de tratamento seja realizada no território nacional;
• os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Sobre a LGPD
• A Lei não se aplica ao tratamento de dados pessoais:

• I - realizado por pessoa natural para fins exclusivamente particulares e não econômicos;
• II - realizado para fins exclusivamente:
• a) jornalístico e artísticos; ou
• b) acadêmicos;
• III - realizado para fins exclusivos de:
• a) segurança pública;
• b) defesa nacional;
• c) segurança do Estado; ou
• d) atividades de investigação e repressão de infrações penais; ou
• IV - provenientes de fora do território nacional
Termos e definições
• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

• Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado
referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa
natural;
• Dado anonimizado: dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Termos e definições (cont.)
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
• Agentes de tratamento: o controlador e o operador;
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais;
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador;
• Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
• Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração;
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento,
por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um
indivíduo;
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada;
• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado
pessoal ou do banco de dados;
• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados,
independentemente do procedimento empregado;
• Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou

organismo internacional do qual o país seja membro;
• Relatório de impacto à proteção de dados pessoais: documentação do controlador que contém a
descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades
civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação
de risco;
• Autoridade nacional: órgão da administração pública responsável por zelar, implementar e
fiscalizar o cumprimento da Lei.
Princípios
• I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e

informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com
essas finalidades;
• II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de
acordo com o contexto do tratamento;
• III - Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas
finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação
às finalidades do tratamento de dados;
• IV - livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração
do tratamento, bem como sobre a integralidade de seus dados pessoais;
Princípios (cont.)
• V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
• VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial;
• VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão;
Princípios (cont.)
• VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do

tratamento de dados pessoais;
• IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios
ilícitos ou abusivos;
• X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas
eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de
dados pessoais e, inclusive, da eficácia dessas medidas.
Do Tratamento de Dados Pessoais
• Dos Requisitos para o Tratamento de Dados Pessoais
• I - mediante o fornecimento de consentimento pelo titular;
• II - para o cumprimento de obrigação legal ou regulatória pelo controlador;
• III - pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de
políticas públicas previstas em leis e regulamentos;
• IV - para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados
pessoais;
• V - quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do
qual seja parte o titular, a pedido do titular dos dados;
• VI - para o exercício regular de direitos em processo judicial, administrativo ou arbitral;
• VII - para a proteção da vida ou da incolumidade física do titular ou de terceiro;
• VIII - para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades
sanitárias;
• IX - quando necessário para atender aos interesses legítimos do controlador ou de terceiro; ou
• X - para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Do Tratamento de Dados Pessoais Sensíveis
• O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
• I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para
finalidades específicas;
• II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável
para:
• cumprimento de obrigação legal ou regulatória pelo controlador;
• tratamento compartilhado de dados necessários à execução, pela administração pública,
de políticas públicas previstas em leis ou regulamentos;
• realização de estudos por órgão de pesquisa;
• exercício regular de direitos;
• proteção da vida ou da incolumidade física do titular ou de terceiro;
• tutela da saúde
• garantia da prevenção à fraude e à segurança do titular.
Do Tratamento de Dados Pessoais de Crianças e de
Adolescentes
• O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico
e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
Do Término do Tratamento de Dados
• O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

• I - verificação de que a finalidade foi alcançada ou de que os dados deixaram de ser
necessários ou pertinentes ao alcance da finalidade específica almejada;
• II - fim do período de tratamento;
• III - comunicação do titular, inclusive no exercício de seu direito de revogação do
consentimento, resguardado o interesse público; ou
• IV - determinação da autoridade nacional, quando houver violação ao disposto nesta Lei.
Direitos do Titular
• O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular
por ele tratados, a qualquer momento e mediante requisição:
• I - confirmação da existência de tratamento;
• II - acesso aos dados;
• III - correção de dados incompletos, inexatos ou desatualizados;
• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados
em desconformidade com o disposto da Lei;
• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição
expressa;
• VI - eliminação dos dados pessoais tratados com o consentimento do titular;
• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados;
• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as
consequências da negativa;
• IX - revogação do consentimento.
Da transferência Internacional de Dados
• A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

• Para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais
adequado ao previsto nesta Lei;
• Quando o controlador oferecer e comprovar garantias de cumprimento dos princípios, dos
direitos do titular e do regime de proteção de dados previstos nesta Lei.
Da Autoridade Nacional de Proteção de Dados (ANPD)
• Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da

Lei.
• Dentre as competências conferidas à ANPD no âmbito da proteção de dados pessoais, estão:
• zelar pela proteção dos dados pessoais;
• editar normas e procedimentos sobre a proteção de dados pessoais;
• fiscalizar e aplicar sanções na hipótese de tratamento de dados realizado em
descumprimento à legislação;
• comunicar às autoridades competentes as infrações penais das quais tiver conhecimento;
• elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais
e privacidade, entre outras.
Das Sanções Administrativas
• I - advertência, com indicação de prazo para adoção de medidas corretivas;

• II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de
direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os
tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• III - multa diária, observado o limite total;
• IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• VI - eliminação dos dados pessoais a que se refere a infração;
Simulados
1. Selecione nas alternativas a lei que representa um marco legal para a proteção de dados pessoais
e privacidade no Brasil.
a. Lei 13.709
b. Lei 12.737
c. Lei 11.340
d. Lei 12.305
Simulados
2. Selecione nas alternativas abaixo o prazo de adequação que as empresas terão após sancionada a
lei de proteção de dados (prazo para que as empresas se adequem).
a. 120 meses
b. 3 meses
c. 24 meses
d. 6 meses
Simulados
3. Selecione nas alternativas abaixo a data em que foi sancionada a LGPD.
a. 29 de outubro de 1984
b. 30 de novembro de 2012
c. 14 de agosto de 2018
d. 23 de abril de 2014
Simulados
4. Selecione nas alternativas abaixo o valor da multa à qual as empresas estão sujeitas em caso de
descumprimento da lei.
a. 2% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 50 milhões por

infração
b. 20% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 5 milhões por
infração
c. 50% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 500 milhões
por infração
d. 10% do faturamento da empresa, grupo ou conglomerado no Brasil, limitada a R$ 5 mil por
infração
Simulados
5. Selecione nas alternativas abaixo dois importantes pilares da LGPD.
a. Violabilidade da intimidade e da honra

b. Consentimento e interesse legítimo
c. Violabilidade da honra e vicio de consentimento
d. Possibilidade de realização do tratamento de dados para fins discriminatórios e violabilidade da
honra
Introdução ao GDPR
Sobre a GDPR
• Regulamento Geral de Proteção de Dados (General Data Protection Regulation - GDPR)

• Regulamento que estabelece regras sobre a privacidade, proteção e tratamento de dados de
cidadãos da União Europeia.
• A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem
dados pessoais de residentes da União Europeia independentemente de onde a empresa
esteja situada.
• Entrou em vigor em todos os países da União Europeia em 25 de Maio de 2018.
• Titular (Data subject)

• Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• Dados pessoais (Personal data)
• Informação relativa a uma pessoa natural identificada ou identificável.
• Exemplos: nome, data de nascimento, endereço, documento de identificação, etc...
• Categoria de dados pessoais especiais
• Dados que revelam a origem racial ou ética, as opiniões políticas, as convicções religiosas ou
filosóficas, ou a filiação sindical, bem como dados genéticos, dados biométricos para
identificar uma pessoa de forma inequívoca, dados relativos à saúde ou dados relativos à
vida sexual ou orientação sexual de uma pessoa.
• Tratamento de dados (Processing)
• Qualquer operação ou conjunto de operações efetuadas sobre dados pessoais ou sobre
conjuntos de dados pessoais, por meio automatizados ou não automatizados, tais como
coleta, registro, organização, estruturação, conservação, adaptação ou alteração,
recuperação, consulta, utilização, divulgação por transmissão ou qualquer outra forma de
disponibilização, apagamento ou destruição.
• Consentimento (Consent)
• Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos
dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe
dizem respeito sejam objeto de tratamento
• Base legal e principal hipótese para o tratamento de dados de acordo com a GDPR
• O consentimento deve ser específico, inteligível, de fácil acesso e uma linguagem clara e
simples, dado mediante um ato positivo que indique uma manifestação de vontade livre,
específica, informada e inequívoca do titular dos dados.
• O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.
Princípios
• Princípios relativos ao tratamento de dados pessoais

• Licitude, Lealdade e Transparência (Lawfullness, Fairness and Transparency)
• Os dados pessoais devem ser objeto de um tratamento lícito, leal e transparente em relação
ao titular dos dados.
• Limitação do armazenamento (Storage limitation)
• Princípio da GDPR segundo o qual dados devem ser armazenados de uma forma que permita
a identificação dos seus titulares apenas durante o período necessário para as finalidades
para as quais são tratados, com excessão daqueles que sejam tratados exclusivamente para
fins de interesse público, investigação científica ou histórica, ou para fins estatísticos, sujeitos
à aplicação das medidas técnicas e organizacionais adequadas exigidas.
Princípios
• Limitação da finalidade (Purpose limitation)

• Princípio segundo o qual os dados pessoais devem ser coletados para finalidades específicas,
explícitas e legítimas e não podem ser tratados posteriomente de uma forma incompatível
com essas finalidades
• Privacy by default
• Princípio segundo o qual devem ser aplicadas medidas técnicas e organizacionais para
assegurar que, por padrão, só sejam tratados os dados pessoais que forem necessários para
cada finalidade específica do tratamento, de acordo com a quantidade de dados pessoais
coletados, à extensão do seu tratamento, ao seu prazo de armazenamento e à sua
acessibilidade.
• Privacy by design
• Abordagem que visa garantir a privacidade do usuário desde a etapa de concepção de uma
aplicação ou processo.
Princípios
• Integridade e Confidencialidade (Integrity and confidentiality)
• Dados pessoais devem ser tratados de uma forma que garanta a sua segurança, adotando-se
as medidas técnicas e organizacionais adequadas.
• Prestação de contas (Accountability)

• Responsabilização e compliance.
• Exatidão (Accuracy)
• Os dados pessoais devem ser exatos e atualizado sempre que necessário.
• Minimização de dados (Data minimization)

• Princípio da GDPR o qual dispõe que dados pessoais devem ser adequados, pertinentes
e limitados ao que é realmente necessário relativamente às finalidades para os quais são
tratados.
Direitos dos titulares de dados (Rights of the data subject)
• 1. Direito de informação;
• 2. Direito de acesso aos dados (Right of access by the data subject);
• 3. Direito de retificação (Right to rectification);
• 4. Direito ao apagamento “direito de ser esquecido” (Right to erasure “Right to be forgotten”);
• 5. Direito a limitação do tratamento (Right to restriction of processing);
• 6. Direito a portabilidade dos dados (Right to data portability);
• 7. Direito de oposição (Right to object);
• 8. Direito de não ser submtido a decisões automatizadas e profiling (Automated individual
decision-making, including profiling).
Violação de dados pessoais
• Violação de dados pessoais (Personal data breach)

• Violação de segurança que leva, de forma acidental ou ilegal, à destruição, perda, alteração,
divulgação ou acesso não autorizado de dados pessoais.
• Em caso de vazamento ou violação de dados pessoais as autoridades supervisoras europeias
devem ser informadas dentro de até 72 horas.
Controlador e subcontratante
• Controlador (Controller)
• Responsável pelo tratamento de dados pessoais.
• Pessoa física ou jurídica, autoridade pública, a agência ou outro órgão que, individualmente
ou em conjunto com outros, determina as finalidades e os meios de tratamento de dados
pessoais.
• Responsável pela comprovação do cumprimento de todos os princípios relativos ao
tratamento de dados de acordo com a GDPR.
• Subcontratante (Processor)
• Pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados
pessoais em nome do controlador.
Avaliação de Impacto sobre Proteção de Dados
• Avaliação de Impacto sobre Proteção de Dados (Data Protection Impact Assessment - DPIA)
• Atividade que deverá ser realizada sempre que um certo tipo de tratamento de dados, em
particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e
finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades dos
titulares.
Sanções (Penalties)
• Em caso de violação, as multas podem chegar a € 20 milhões ou 4% do faturamento global da

companhia - o que for maior.
DPO
• DPO (Data Protection Officer)

• Encarregado pela proteção de dados pessoais.
Autoridade de Proteção de Dados
• Autoridade de Proteção de Dados (Data Protection Authority)

• Autoridade pública independente responsável pela fiscalização e aplicação da GDPR.
Simulados
1. Selecione nas alternativas abaixo o principal propósito da GDPR.
a. Estabelecer regras referentes à proteção e tratamento de dados pessoais de todos os cidadões da

União Europeia.
b. Conceder incentivos fiscais para empresas de tecnologia estabelecidas na União Europeia.
c. Regulamentar a forma como as organizações do setor privado lidam com informações pessoais no
Canadá.
d. Regular como empresas do setor público e privado devem tratar os dados pessoais que coletam
dos cidadões no Brasil.
Simulados
2. Selecione nas alternativas abaixo como é chamada na GDPR a manifestação de vontade, livre,
específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato
positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
a. Bloqueio
b. Anonimização
c. Tratamento
d. Consentimento
IT Governance Foundation
• Governança Corporativa
• Governança Corporativa no Brasil
• Governança de TI
• Benefícios da Governança de TI
• Norma ISO/IEC 38500 – Governança Corporativa de TI
• Frameworks, conjuntos de boas práticas e normas
• Simulados
Governança Corporativa
• É o conjunto de boas práticas que regulam a maneira como uma empresa deve ser dirigida e
controlada a fim de proteger as partes interessadas.
• O objetivo da governança corporativa é criar mecanismos eficientes de controle, monitoramento
e gestão para garantir que as decisões tomadas pelos executivos estejam alinhadas aos interesses
dos proprietários ou dos acionistas da empresa.
• A adoção da governança corporativa tem por objetivo:

• proporcionar maior transparência na prestação de contas, equidade e responsabilidade
corporativa;
• ajudar dirigentes a manter conformidade com regulações, leis e contratos pelos quais poderiam
ser pessoalmente responsabilizados;
• diminuir o risco de não cumprimento de obrigações corporativas e a probabilidade de
ocorrência de fraudes.
• O movimento de governança corporativa teve início nos EUA no final da década de 90 após uma
série de escândalos financeiros e contábeis envolvendo grandes empresas como Enron, Worldcom
e Tyco que abalaram a confiança dos investidores e contribuíram para a pressão descendente nos
preços das ações no mundo todo e principalmente nos EUA.
• Esses escândalos fizeram com o que o governo dos EUA interviesse e promulgasse a Lei Sarbanes-
Oxley com o objetivo de recuperar a credibilidade do mercado de capitais, aumentando a
responsabilidade e a exigência de transparência na prestação de contas por parte dos executivos.
• Esta lei também ampliou substancialmente as penalidades associadas às fraudes e crimes de
colarinho branco.
Governança Corporativa no Brasil
• No Brasil, o movimento de governança corporativa ganhou força devido à aceleração dos

processos de globalização, privatização e desregulamentação da economia.
• Outro impulso à adoção de práticas de governança corporativa no Brasil foi dado pela Bolsa de
Valores de São Paulo, com a criação segmentos especiais de listagem destinados a empresas com
padrões superiores de governança corporativa.
Governança de TI
• Governança de TI pode ser definida como um conjunto de estruturas e processos que tem por
objetivo garantir que TI suporte adequadamente os objetivos e as estratégias organizacionais.
• O objetivo da governança de TI é avaliar e direcionar o uso eficaz de TI.
• O conceito de governança de TI surgiu devido a:
• crescente importância da Tecnologia da Informação;
• necessidade de se promover o seu uso eficaz, eficiente e aceitável dentro das organizações.
Benefícios da Governança de TI
• A adoção de governança de TI tem por objetivo:

• aumentar a confiança da alta administração na tomada de decisões;
• garantir que os processos e serviços mais críticos de TI sejam monitorados;
• garantir que falhas ou incidentes de segurança da informação sejam prontamente endereçados
e resolvidos, aumentando a satisfação dos usuários e clientes;
• garantir que os investimentos em TI estejam alinhados com os objetivos estratégicos da
empresa e TI seja capaz de entregar os benefícios prometidos dentro de um custo aceitável;
• garantir que os riscos significativos de TI sejam entendidos e gerenciados de forma correta, a
fim de assegurar a proteção dos ativos de TI, a recuperação e a manutenibilidade da
continuidade da operação dos serviços em caso de incidentes.
Norma ISO/IEC 38500 – Governança Corporativa de TI
• Norma ISO/IEC 38500:2015

• A norma ISO/IEC 38500 fornece princípios para orientar os dirigentes sobre o uso eficaz,
eficiente e aceitável da TI dentro das organizações.
• O objetivo da norma ISO/IEC 38500 é garantir às partes interessadas que a organização adote
uma estrutura de princípios para avaliar, gerenciar e monitorar o uso da TI.
• Esta norma se aplica a governança e ao gerenciamento de processos relacionados aos serviços
de informação e comunicação em todos os tipos e tamanhos de organizações.
• A adoção da norma ISO/IEC 38500 minimiza o risco de não cumprimento de obrigações
corporativas por meio de um modelo de ciclo de ações e aplicação de um conjunto de
princípios e ajuda os dirigentes a manterem conformidade com regulações, leis e contratos
pelos quais podem ser pessoalmente responsabilizados.
• Termos e definições importantes
• Dirigente - Membro da mais alta direção de uma organização.
• Gerenciamento - O sistema de controle e processos necessário para alcançar os objetivos
estratégicos estabelecidos pela direção da organização.
• Governança Corporativa - O sistema pelo qual as organizações são dirigidas e controladas.
• Governança corporativa de TI - O sistema pelo qual o uso atual e futuro da TI é dirigido e
controlado.
• Risco - Combinação da probabilidade de um evento e suas consequências.
• Gerenciamento de risco - Atividades coordenadas para dirigir e controlar uma organização com
relação ao risco.
• Política - Instruções claras e mensuráveis da direção e comportamento desejado que
condicionem as decisões tomadas dentro de uma organização.
• Parte interessada (stakeholder) - Qualquer indivíduo, grupo ou organização que possa afetar,
ser afetado, ou ter a percepção de que será afetado por uma decisão ou atividade.
• Estrutura para uma boa Governança Corporativa de TI
• Princípios (Principles)
• Os princípios expressam o comportamento preferido para orientar uma tomada de
decisão.
• Principio 1: Responsabilidade (Responsibility)
• Os indivíduos e grupos dentro da organização compreendem e aceitam suas
responsabilidades com respeito ao fornecimento e demanda de TI.
• Principio 2: Estratégia (Strategy)
• A estratégia de negócio da organização leva em conta as capacidades atuais e futuras de
TI; os planos estratégicos para TI satisfazem as necessidades atuais e continuas da
estratégia de negócio da organização.
• Estrutura para uma boa Governança Corporativa de TI (cont.)
• Principio 3: Aquisição
• As aquisições de TI são feitas por razões válidas, com base em análise apropriada e
contínua, com tomada de decisão clara e transparente. Existe um quilibrio apropriado
entre benefícios, oportunidade, custos e riscos, de curto e longo prazo.
• Principio 4: Desempenho (Performance)
• A TI é adequada ao propósito de apoiar a organização, fornecendo serviços, níveis de
serviço e qualidade de serviço, necessários para atender aos requisitos atuais e futuros do
negócio.
• Principio 5: Conformidade (Conformance)
• A TI cumpre com toda a legislação e regulamentos obrigatórios. As políticas são claramente
definidas, implementadas e fiscalizadas.
• Principio 6: Comportamento Humano (Human Behaviour)
• As políticas, práticas e decisões de TI demonstram respeito pelo comportamento humano,
incluindo as necessidades atuais e futuras de todas as pessoas no processo.
• Modelo Avaliar-Dirigir-Monitorar para a governança de TI

• Convém que os dirigentes governem TI através de 3 tarefas principais:
• a) Avaliar o uso atual e futuro da TI (Avaliar);
• b) Orientar a preparação e a implementação de planos e políticas para assegurar que o
uso de TI atenda aos objetivos do negócio (Dirigir);
• c) Monitorar o cumprimento das políticas e o desempenho em relação aos planos
(Monitorar).
• Modelo do ciclo Avaliar-Dirigir-Monitorar para a governança de TI
Modelo para Governança Corporativa de TI

Frameworks, conjuntos de boas práticas e normas
• A fim de garantir o cumprimento das obrigações regulamentares e assegurar que TI suporte os
objetivos e as estratégias do negócio eficazmente, as organizações tem utilizado cada vez mais
metodologias, normas e conjuntos de boas práticas consolidados no mercado:
• ITIL®
• COBIT
• COSO
• TOGAF®
• PMBOK®
• PRINCE2®
• CMMI
• ISO/IEC 20000
• Outras normas importantes
• ITIL®
• ITIL® (Information Technology Infrastructure Library) é um conjunto de publicações de
melhores práticas para o Gerenciamento de Serviço de TI.
• É um modelo não proprietário que pode ser utilizado por qualquer organização,
independente de tecnologia e fornecedor.
• Não prescritivo, ou seja, pode ser adotado e adaptado por qualquer organização, pública ou
privada, independente do seu tamanho.
• ITIL® é baseado nas melhores práticas que já se mostraram eficientes e que são utilizadas
com sucesso por muitas Organizações.
• Atualmente na versão 4 (ITIL 4).
• ITIL
• Escopo da estrutura ITIL®
– Uma fonte de melhores práticas em Gerenciamento de Serviço;
– Usado para estabelecer e melhorar as capacidades no Gerenciamento de Serviço;
– ITIL® NÃO é um padrão; Já a ISO/lEC 20000, por exemplo, apresenta um padrão formal e
universal para Organizações que buscam ter as capacidades do Gerenciamento de Serviço
auditadas e certificadas;
– ITIL® oferece insumos para aderência à ISO/IEC 20000.
• Componentes da Biblioteca ITIL® (ITIL® Library)
– Núcleo do ITIL® (ITIL® Core) - Guia de melhores práticas aplicável a todos os tipos de
Organizações que provêm serviços ao negócio.
• A arquitetura do ITIL® Core é baseada no Ciclo de Vida de Serviço e está organizada em
cinco livros: Estratégia de Serviço, Desenho de Serviço, Transição de Serviço, Operação
de Serviço e Melhoria de Serviço Continuada.
• Lean IT
• A filosofia Lean IT tem por objetivo eliminar atividades desnecessárias, reduzir custos, agregar
valor e aumentar a satisfação dos clientes, promovendo maior eficiência e a melhoria contínua
dos serviços de TI, com ênfase no envolvimento dos colaboradores na otimização dos processos
de negócios da organização.
• DevOps
• É uma abordagem que tem por objetivo promover maior alinhamento e colaboração entre as
áreas de desenvolvimento e operações de TI.
• Green IT (TI Verde)
• É uma abordagem que tem por objetivo promover o uso sustentável dos recursos de TI nas
organizações.
• COBIT
• O COBIT é um framework (estrutura de controle) amplamente aceito para a governança de TI.
• A estrutura de controle do COBIT provê um modelo de referência e uma linguagem comum à
todos os envolvidos, alinhando os objetivos de TI aos objetivos do negócio.
• O COBIT funciona como um guarda-chuva identificando as necessidades de negócio e, então,
justificando os objetivos que necessitam ser alcançados e relacionando-os com outros padrões
e conjuntos de boas práticas, como CMMI, IS0 9000 e IS0/IEC 27002 a fim de alinhá-los de
acordo com a necessidade da organização.
• Na prática, o COBIT ajuda as organizações a reduzir os riscos de TI, aumentar o valor obtido da
TI e atender às regulamentações de controle.
• Atualmente na versão COBIT 2019.
• COSO (The Committee of Sponsoring Organizations of the Treadway Commission)

• O COSO é uma estrutura de controles internos utilizada para garantir a eficácia e eficiência das
operações, a confiabilidade das informações financeiras e a conformidade com as leis e
regulamentações.
• TOGAF® (The Open Group Architecture Framework)

• O TOGAF® é um modelo conceitual de arquitetura corporativa, cujo objetivo é fornecer uma
abordagem global para o desenho, o planejamento, a implementação e a governança de uma
arquitetura corporativa.
• Atualmente na versão 9.2.
• PMBOK®
• PMBOK® é um guia de boas práticas que fornece uma visão geral sobre o gerenciamento de
projetos.
• Fornece diversos processos, ferramentas e técnicas.
• Atualmente na 6ª edição.
• Áreas de conhecimento:
• Gerenciamento das aquisições do projeto;
• Gerenciamento da qualidade do projeto;
• Gerenciamento dos riscos dos projetos;
• Gerenciamento do escopo do projeto;
• Gerenciamento dos custos do projeto;
• Gerenciamento da integração do projeto;
• Gerenciamento das comunicações do projeto;
• Gerenciamento dos recursos do projeto;
• Gerenciamento do cronograma do projeto;
• Gerenciamento das partes interessadas do projeto.
• PRINCE2®
• O PRINCE2® é um método de gerenciamento de projetos amplamente utilizado no mundo
todo, cujo objetivo é fornecer um conjunto de atividades necessárias para a direção,
gerenciamento e entrega do projeto com sucesso.
• O propósito do PRINCE2® é fornecer um método de gerenciamento de projetos que possa ser
aplicado a qualquer tipo de projeto, tamanho, organização ou fatores culturais envolvidos.
• O PRINCE2® oferece um caminho completo para se tirar um projeto do papel, desenvolvê-lo e
entregá-lo em tempo hábil e dentro do orçamento.
• Atualmente na versão 2017 (Managing Successful Projects with PRINCE2 2017 Edition).
• CMMI (Capability Maturity Model Integration)

• Modelo de maturidade de processos utilizado para a avaliação do estágio de maturidade dos
processos de uma Organização em relação à sua capacidade de cumprir com sua missão na
prestação de serviços para a corporação.
• O modelo visa ajudar organizações envolvidas com o desenvolvimento de produtos,
prestação de serviços e aquisição a melhorar a capacidade de seus processos.
• Atualmente na verão 2 (CMMI V2.0).
CMMI (Capability Maturity Model Integration)
Os 5 níveis de maturidade do CMMI

• ISO/IEC 20000 - Gestão de serviços - TI

• Estabelece as diretrizes para o gerenciamento de serviços de TI.
• ISO/IEC 20000-1:2018 (Parte 1: requisitos do sistema de gestão de serviços)
• Especifica os requisitos para o provedor de serviço planejar, estabelecer, implementar,
operar, monitorar, analisar criticamente, manter e melhorar um SGS.
• Os requisitos incluem o desenho, transição, entrega e melhoria dos serviços para
cumprir os requisitos do serviço.
• ISO/IEC 20000-2:2012 (Parte 2: guia de aplicação do sistema de gestão de serviços)
• Fornece orientações sobre a aplicação de um SGS.
• Fornece exemplos e sugestões.
• Outras normas importantes

• ISO 31000:2018
• A norma ISO 31000 fornece princípios e diretrizes genéricas para a gestão de riscos.
• ISO/IEC 9000:2015
• Implementação de um sistema de gestão da qualidade.
• ISO/IEC 27017:2015
• Código de prática para controles de segurança da informação para serviços em nuvem.
Simulados
1. Qual é a norma que estabelece os princípios de alto nível para o uso eficaz, eficiente e aceitável
da TI?
a. ISO/IEC 27001
b. ISO/IEC 38500
c. ISO/IEC 20000
d. ISO/IEC 27002
Simulados
2. Selecione nas alternativas abaixo o framework (estrutura de controle) que prove um modelo de
referência e uma linguagem comum à todos os envolvidos, alinhando os objetivos de TI aos
objetivos do negócio?
a. PRINCE2®
b. COSO
c. COBIT
d. ITIL
Simulados
3. Quais são as três tarefas principais do modelo para Governança Corporativa de TI de acordo com
a norma ISO/IEC 38500?
a. Avaliar, dirigir e monitorar

b. Mensurar, controlar e medir
c. Selecionar, contratar e demitir
d. Delegar, procrastinar e fraudar
Simulados
4. Selecione nas alternativas abaixo a estrutura de controles internos utilizada para garantir a
eficácia e eficiência das operações, a confiabilidade das informações financeiras e a conformidade
com as leis e regulamentações.
a. COSO
b. ITIL
c. PMBOK
d. SCRUM
Simulados
5. Selecione nas alternativas abaixo o princípio de boa Governança em TI que tem por objetivo
garantir que políticas e práticas sejam claramente definidas, implementadas e fiscalizadas, bem
como que toda legislação e regulamentos obrigatórios sejam cumpridos.
a. Aquisição
b. Comportamento Humano
c. Conformidade
d. Desempenho
Referências bibliográficas
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 38500:2015. Rio de Janeiro, 2018.
• CAMPOS, André. Sistema de segurança da informação: controlando os riscos. 2. ed. São Paulo: Visual Books, 2007.
• CARTILHA DE SEGURANÇA PARA INTERNET – Cert.br. Disponível em http://cartilha.cert.br/
• COBIT 2019 – Disponível em http://www.isaca.org/cobit/
• COSO - Disponível em www.coso.org
• EU General Data Protection Regulation (GDPR) - Disponível em https://eugdpr.org/
• FREITAS, Marcos André dos Santos. Fundamentos do gerenciamento de serviços de TI: preparatório para a certificação ITIL V3 Foundation. Rio
de Janeiro: Brasport, 2010.
• LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 – Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
• PIPEDA. Disponível em https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-
electronic-documents-act-pipeda/
• PMBOK - Disponível em http://www.pmi.org/pmbok-guide-standards
• ROSS, Jeanne; WEILL, Peter. Governança de TI: Tecnologia da Informação. São Paulo: M. Books, 2006.
• SÊMOLA, Marcos. Gestão de Segurança da Informação - Uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2013.
• TOGAF - Disponível em https://www.opengroup.org/togaf/

Material Oficial Curso

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Material Oficial Curso

Enviado por

Direitos autorais:

Formatos disponíveis

Curso preparatório para as certificações

InfoSec Foundation, Information Security Risk

• Normas da família ISO IEC 27000

• A informação pode existir em diversas formas:

• Requisitos de Segurança da Informação

• Ciclo de vida do incidente

AMEAÇA INCIDENTE DANO RECUPERAÇÃO

• Gestão de incidentes de segurança da informação

• Notificação de fragilidades e incidentes de segurança da informação

• Time de respostas a incidentes de segurança da informação (CSIRT)

• Medidas de segurança x ciclo de vida do incidente

AMEAÇA INCIDENTE DANO RECUPERAÇÃO

REDUÇÃO PREVENÇÃO DETECÇÃO REPRESSÃO CORREÇÃO AVALIAR

• Perímetro de segurança física

• Segurança em escritórios, salas e instalações

• Proteção contra códigos maliciosos

• Diretrizes para implantação

• Gerenciamento de acesso do usuário

• Responsabilidades dos usuários

• Controle de acesso a rede

• Sistema de gestão da segurança da informação (SGSI)

• Information Security Policy Foundation

• Análise crítica da PSI

• Políticas específicas (cont.)

• Gestão da continuidade do negócio

• Planos de continuidade do negócio

• Direitos de propriedade intelectual

• Proteção de registros organizacionais

• Proteção de dados e privacidade de informações pessoais

• Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil

• The Personal Information Protection and Electronic Documents Act (PIPEDA)

• Lei Nº 12.737, DE 30 de NOVEMBRO DE 2012 (Lei “Carolina Dieckmann”)

• LEI Nº 12.965, DE 23 DE ABRIL DE 2014 (Marco Civil da Internet)

3. Selecione nas alternativas abaixo o conjunto de requisitos de segurança desenvolvido para

• Gestão de Riscos de Segurança da Informação

• Atividades do processo de análise/avaliação de Riscos:

• Após a realização da analise/avaliação de riscos, as opções de Ponto de decisão 1

do risco, neste caso, não há necessidade de

• Tranferir o risco para outra entidade que possa Aceitação do risco

Monitoramento e análise crítica de risco

Processo do SGSI Processo de Gestão de Riscos de Segurança da Informação

Executar • Implementação do plano de tratamento do risco.

Verificar • Monitoramento contínuo e análise crítica de riscos.

Agir • Manter e melhorar o processo de Gestão de Riscos de

1. Selecione nas alternativas abaixo a primeira atividade do processo de gestão de riscos em

2. Selecione nas alternativas abaixo a saída da atividade de aceitação do risco de segurança da

a. garantia permanente da relevância do processo de gestão de riscos de segurança da informação

3. Selecione nas alternativas abaixo a saída da atividade de avaliação de riscos.

a. Redução do risco, retenção do risco, ação de evitar o risco e transferência do risco

a. ação de evitar o risco

a. identificação do risco e estimativa de riscos

• Lei Geral de Proteção de Dados Pessoais (LGPD) – Brasil

• Lei Geral de Proteção de Dados – Brasil (cont.)

• A Lei não se aplica ao tratamento de dados pessoais:

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;

• Transferência internacional de dados: transferência de dados pessoais para país estrangeiro ou

• I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e

• VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do

• O término do tratamento de dados pessoais ocorrerá nas seguintes hipóteses:

• A transferência internacional de dados pessoais somente é permitida nos seguintes casos:

• Órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da

• I - advertência, com indicação de prazo para adoção de medidas corretivas;

3. Selecione nas alternativas abaixo a data em que foi sancionada a LGPD.

• COSO (The Committee of Sponsoring Organizations of the Treadway Commission)