Escolar Documentos
Profissional Documentos
Cultura Documentos
• Normas
• Principais normas de segurança
• Conceitos e definições
• Medidas de segurança
• Gestão de vulnerabilidades técnicas
• Política de Segurança da Informação
• Classificação da Informação
• Gestão da continuidade do negócio
• Conformidade com requisitos legais
• Legislações e regulamentações
• Simulados
Normas
• Normas
• Normas são documentos estabelecidos por consenso e aprovado por um organismo
reconhecido, que fornece, para uso comum e repetitivo, regras, diretrizes ou características
para atividades ou seus resultados, visando a obtenção de um grau ótimo de ordenação em um
dado contexto.
• Informação
• A informação é um ativo que, como qualquer outro ativo importante, é essencial para os
negócios de uma organização e, consequentemente, necessita ser adequadamente
protegida.
Descarte Armazenamento
Transporte
Conceitos e definições
• Ativo
• Qualquer coisa que tenha valor para a organização.
• Classes de ativos
• Ativo tangível – produto, bem, equipamento, imóvel, informação em papel;
• Ativo intangível – marca, reputação e catálogo intelectual.
• Ativo de informação
• Bases de dados, arquivos, documentação de sistema, manuais de usuário, planos de
continuidade do negócio, contratos, etc...
Conceitos e definições
• Vulnerabilidade
• Fragilidade de um ativo ou grupo de ativos que pode ser explorada por uma ou mais ameaças.
• É uma condição que, quando explorada por um atacante, pode resultar em uma violação de
segurança.
• Patch
• Termo atribuído à correção desenvolvida para eliminar falhas de segurança em um programa
ou sistema operacional.
Conceitos e definições
• Ameaça
• Causa potencial de um incidente indesejado, que pode resultar em dano para um sistema ou organização.
• Tipos de ameaça
• Humana intencional – danos causados de forma proposital.
• Hackers;
• Engenharia social;
• Vandalismo;
• Roubo e furto;
• Sabotagem;
• Incêndio culposo.
• Humana não intencional – danos causados de forma involuntária.
• Pen-drive com vírus;
• Uso inadequado de extintor de incêndio.
• Não humana
• Incêndio;
• Relâmpagos;
• Inundação;
• Enchente.
Conceitos e definições
• Incidente de segurança da informação
• Qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas
de computação ou de redes de computadores.
• Alguns exemplos de incidentes de segurança são: tentativa de uso ou acesso não autorizado
a sistemas ou dados, tentativa de tornar serviços indisponíveis, modificação em sistemas
(sem o conhecimento ou consentimento prévio dos donos) e o desrespeito à política de
segurança ou à política de uso aceitável de uma organização.
• Danos
• São as consequências de um incidente. Os danos podem ser diretos ou indiretos.
• Danos diretos – são consequências diretas do incidente.
• Exemplo: furto de um veículo.
• Danos indiretos – são consequências indiretas do incidente.
• Exemplo: após o furto do veículo, a pessoa perder compromissos.
• Impacto
• Mudança adversa no nível obtido dos objetivos do negócio.
Medidas de segurança
• Funções das medidas de segurança
• Redutivas
• Medidas redutivas são aquelas destinadas a reduzir a probabilidade de que um incidente
ocorra.
• Exemplo: Instalação de um antivírus.
• Preventivas
• Medidas preventivas são aquelas cujo objetivo é evitar a exploração de uma vulnerabilidade.
Visam evitar o risco e reduzir a zero a probabilidade de ocorrência de um incidente, eliminando
também a atividade geradora do risco.
• Exemplo: uso de um sistema de chave de acesso (crachá) ou o armazenamento de
informações sigilosas em um cofre.
• Detectivas
• As medidas detectivas são aquelas que procuram identificar um incidente no momento em que
ele ocorre.
• Exemplo: sistema de detecção de instrusão.
Medidas de segurança
• Funções das medidas de segurança (cont.)
• Repressivas
• As medidas repressivas são aquelas que combatem o dano causado pelo incidente.
• Exemplo: combate a um incêndio.
• Corretivas
• As medidas corretivas, ou de recuperação, visam a restauração do ambiente após um incidente
de segurança. As medidas corretivas são importantes para que as operações da organização
voltem à normalidade após um incidente.
• Exemplo: restaurar o banco de dados usando backup.
Medidas de segurança
• Controles de entrada
• Assegurar que somente pessoas autorizadas tenham acesso;
• Identificações, registro de entrada e saída, crachás, etc.
• Segurança de equipamentos
• Impedir perdas, danos, furto ou roubo, ou comprotimento de ativos e interrupção das
atividades da organização;
• Monitoramento das condições ambientais, como temperatura e umidade;
• Proteção contra raios;
• Proteção contra falta de energia (no-breaks, UPS, geradores de emergência, etc.).
• Segurança do cabeamento
• Evitar interferências;
• Cabos de energia segregados dos cabos de comunicações;
• Blindagem eletromagnética para proteção dos cabos;
• Piso elevado.
Medidas de segurança
• Segurança em recursos humanos
• Tem por objetivo estabelecer diretrizes e controles para a implementação de uma efetiva
gestão de segurança em recursos humanos.
• Antes da contratação
• Seleção
• Verificações do histórico de todos os candidatos a emprego (Referências, informações do
currículo, confirmação das qualificações acadêmicas e profissionais, verificação
independente da identidade e atestado de Antecedentes Criminais).
• Termos e condições de contratação
• Assinatura de um termo de confidencialidade.
• Durante a contratação
• Conscientização, educação e treinamento em segurança da informação;
• Processo disciplinar.
• Encerramento da contratação
• Devolução de ativos;
• Retirada de direito de acesso.
Medidas de segurança
• Descarte de mídias
• Garantir que as mídias sejam descartadas de forma segura e protegida quando não forem
mais necessárias para minimizar o risco de vazamento de informacões sensíveis para pessoas
não autorizadas.
Medidas de segurança
• Cópias de segurança
• Convém que as cópias de segurança sejam efetuadas e testadas regularmente conforme a
política de backup.
• Convém que as cópias de segurança sejam armazenadas em uma localidade remota.
• Convém que os procedimentos de recuperação sejam testados e verificados regularmente.
Medidas de segurança
• Autenticação segura
• A autenticação, apesar de ser também utilizada para controle de acesso lógico, é um
instrumento indispensável na segurança física. A autenticação se dá através de um ou mais
fatores dentre os três a seguir:
• O que você sabe? – Nome de usuário e senha;
• O que você tem? – Cartão, crachá, smartcards e tokens;
• Quem você é? – Dispositivo biométrico.
• Para termos uma autenticação considerada segura, aconselha-se a utilização de, no mínimo,
dois requisitos de autenticação agregados. Exemplos:
• ID + Senha + Crachá;
• Crachá + Biometria.
Medidas de segurança
• Segregação de funções
• Prega a divisão de tarefas e permissões na organização, não concentrando o conhecimento
em apenas uma pessoa, reduzindo, consequentemente, o risco de fraudes, uma vez que seriam
necessários dois ou mais colaboradores para que essa se consumasse.
• Gerenciamento de acesso
• Manter um controle efetivo sobre os direitos de acesso necessários para que os colaboradores
exerçam suas atribuições, sem que lhes seja concedido nenhum direito além do necessário.
Medidas de segurança
• Gestão de mudanças
• Modificações em equipamentos, sistemas operacionais e aplicativos devem ser devidamente
controladas. Em particular, devem ser considerados os seguintes items:
• Identificação e registro das mudanças significativas;
• Planejamento e testes de mudanças;
• Avaliação de impactos;
• Comunicação dos detalhes das mudanças para todas as pessoas envolvidas;
• Procedimento formal de aprovação das mudanças;
• Procedimentos de recuperação.
Medidas de segurança
• Monitoramento
• Tem por objetivo detectar atividades não autorizadas de processamento da informação. Inclui
itens como:
• Registros de auditoria;
• Monitoramento do uso dos sistemas;
• Proteção das informações de registro (log);
• Registro (log) de falhas;
• Sincronização dos relógios.
Medidas de segurança
• Políticas específicas
• A política de segurança pode conter outras políticas específicas, como:
• Política de senhas: define as regras sobre o uso de senhas nos recursos computacionais,
como tamanho mínimo e máximo, regra de formação e periodicidade de troca.
• Política de backup: define as regras sobre a realização de cópias de segurança, como tipo
de mídia utilizada, período de retenção e frequência de execução.
• Política de privacidade: define como são tratadas as informações pessoais, sejam elas de
clientes, usuários ou funcionários.
• Política de confidencialidade: define como são tratadas as informações institucionais, ou
seja, se elas podem ser repassadas a terceiros.
Política de Segurança da Informação
• Política de uso aceitável (PUA) ou Acceptable Use Policy (AUP): também chamada de "Termo de
Uso" ou "Termo de Serviço", define as regras de uso dos recursos computacionais, os direitos e as
responsabilidades de quem os utiliza e as situações que são consideradas abusivas.
• A política de uso aceitável costuma ser disponibilizada na página Web e/ou ser apresentada no
momento em que a pessoa passa a ter acesso aos recursos. Algumas situações que geralmente
são consideradas de uso abusivo (não aceitável) são:
• compartilhamento de senhas;
• divulgação de informações confidenciais;
• envio de boatos e mensagens contendo spam e códigos maliciosos;
• envio de mensagens com objetivo de difamar, caluniar ou ameaçar alguém;
• cópia e distribuição não autorizada de material protegido por direitos autorais;
• ataques a outros computadores;
• comprometimento de computadores ou redes.
Política de Segurança da Informação
• Código de conduta
• Dentro das organizações, utiliza-se o código de conduta como uma forma de direcionar as
atitudes dos colaboradores para que estejam em conformidade com a conduta esperada pela
alta gestão. Para que seja efetivo, o código precisa ser publicado e divulgado
constantemente, desde o momento da contratação até o desligamento.
• Para que a política de segurança seja igualmente inserida no cotidiano dos colaboradores, ela
deve ser inserida no código de conduta da empresa, tornando-se parte do conjunto de
diretrizes que todo colaborador deve seguir para atender aos requisitos da organização.
Política de Segurança da Informação
• Considerações finais
• O desrespeito à política de segurança ou à política de uso aceitável de uma instituição pode
ser considerado como um incidente de segurança e, dependendo das circunstâncias, ser
motivo para encerramento de contrato (de trabalho, de prestação de serviços, etc.).
• Se a política de segurança da informação for distribuída fora da organização, convém que
sejam tomados cuidados para não revelar informações sensíveis.
Classificação da informação
• A classificação da informação tem por objetivo assegurar que a informação receba um nível adequado de
proteção.
• Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e
criticidade para a organização.
• A classificação dada a informação é a maneira de determinar como a informação vai ser tratada e protegida.
• A classificação da informação não é necessariamente fixa;
• Documentos de outras organizações devem ser reclassificados;
• Muitos níveis de classificação podem deixar o processo complexo e economicamente inviável;
• O proprietário da informação deve ser o responsável pela sua classificação e análise crítica;
• Rótulos e tratamento da informação: definir e implementar um conjunto de procedimentos para
rotulação e tratamento da informação segundo o esquema de classificação adotado pela empresa.
• Níveis de classificação
• Pública;
• Interna;
• Restrita;
• Confidencial.
Gestão da continuidade do negócio
• PCI DSS
• Conjunto de requisitos de segurança desenvolvido para proteger os dados de portadores de
cartão de crédito.
• Lei Sarbanes-Oxley
• Lei promulgada pelo governo norte-americano que tem por objetivo estabelecer maior
responsalibidade e transparência na divulgação de informações financeiras por parte dos
executivos.
Legislações e regulamentações
• GDPR (General Data Protection Regulation) - Regulamentação Geral de Proteção de Dados – Europa
• Entrou em vigor no dia 25/05/2018 em todos os países da União Europeia.
• A GDPR aplica-se a toda e qualquer organização que ofereça bens ou serviços que coletem dados
pessoais de residentes da União Europeia.
1. Identifique nas alternativas abaixo a etapa na qual se inicia o ciclo de vida da informação.
a. Descarte
b. Manuseio
c. Transporte
d. Armazenamento
Simulados
2. Selecione nas alternativas abaixo o termo atribuído a fragilidade de um ativo ou grupo de ativos
que pode ser explorada por uma ou mais ameaças.
a. Vulnerabilidade
b. Impacto
c. Ameaça
d. Dano
Simulados
a. PCI DSS
b. PGP
c. SSH
d. WPA
Information Security Risk Management Foundation
Conteúdo do módulo
• Gestão de Riscos
• O processo de Gestão de Riscos consiste na definição do contexto, análise/avaliação de
riscos, tratamento do risco, aceitação do risco, comunicação do risco, monitoramento e
análise crítica de riscos.
Gestão de Riscos de Segurança da Informação
• Termos e definições
• Estimativa de Risco
• Processo utilizado para atribuir valores à probabilidade e à consequência de um risco.
• Estimativa qualitativa - Utiliza uma escala com atributos que descrevem a magnitude
das consequências potencias (por exemplo, pequena, média e grande) e a probabilidade
dessas consequências ocorrerem.
• Estimativa quantitativa - Utiliza uma escala com valores numéricos tanto para
consequências quanto para a probabilidade, usando dados de diversas fontes.
• Identificação de Riscos
• Processo que tem por objetivo localizar, listar e caracterizar elementos de risco.
• Impacto
• Mudança adversa no nível obtido dos objetivos de negócios.
Gestão de Riscos de Segurança da Informação
• Termos e definições (cont.)
• Redução do Risco
• Ações tomadas para reduzir a probabilidade, as consequências negativas ou ambas,
associadas a um risco.
• Retenção do Risco
• Aceitação do ônus da perda ou do benefício do ganho associado a um determinado risco.
• Risco
• Probabilidade de uma ameaça explorar uma vulnerabilidade de um ativo, causando danos ou
perdas à organização.
Gestão de Riscos de Segurança da Informação
• Termos e definições (cont.)
• Risco Residual
• Risco remanescente após o tratamento do risco.
• Transferência do Risco
• Compartilhamento com uma outra entidade do ônus da perda ou do benefício do ganho
associado a um risco.
• Tratamento do Risco
• Processo de seleção e implementação de medidas para modificar um risco.
Gestão de Riscos de Segurança da Informação
• Definição do contexto
• Primeiramente o contexto é estabelecido.
• Levantamento de todas as informações relevantes sobre a organização para definição do contexto da gestão de riscos da
segurança da informação;
• Definição do escopo e dos limites da gestão de riscos de segurança da informação (objetivos estratégicos da organização,
processos de negócio, requisitos legais e regulatórios, como por exemplo, LGPD e GDPR, etc...);
• Definição de critérios básicos necessários para a gestão de riscos de segurança da informação (critérios para avaliação de
riscos, critérios de impacto e critérios para a aceitação do risco);
• Análise/avaliação de Riscos de Segurança da Informação
• A análise/avaliação de risco tem por objetivo determinar o valor dos ativos de informação, identificar as ameaças e
vulnerabilidades existentes, identificar os controles existentes e priorizar os riscos derivados, ordenando-os de acordo com os
critérios de avaliação de risco estabelecidos na definição do contexto.
• A análise/avaliação de riscos consiste nas seguintes atividades:
• Análise de Riscos
• Identificação de Riscos
• Identificação dos ativos;
• Identificação das ameaças;
• Identificação dos controles existentes;
• Identificação das vulnerabilidades;
• Identificação das consequências.
• Estimativa de Riscos
• Avaliação de Riscos
Gestão de Riscos de Segurança da Informação
Comunicação do risco
Análise de Risco
Identificação de Riscos
Estimativa de Riscos
Avaliação de Riscos
NÃO
Ponto de decisão 1
Avaliação satisfatória? SIM
Tratamento do Risco
NÃO
Ponto de decisão 2
Tratamento satisfatória?
SIM
Aceitação do Risco
Gestão de Riscos de Segurança da Informação
• Alinhamento do processo do SGSI e do processo de Gestão de Riscos de Segurança da Informação
a. tratamento do risco
b. análise/avaliação de riscos
c. definição do contexto
d. monitoramento e análise crítica de riscos
Simulados
a. uma lista de riscos ordenados por prioridade (de acordo com os critérios de avaliação de riscos) e
associados ao cenários de incidentes que o provocam.
b. uma lista de riscos aceitos, incluindo uma justificativa para aqueles que não satisfaçam os
critérios normais para aceitação do risco.
c. entendimento contínuo dos processos de gestão de riscos de segurança da informação da
organização.
d. garantia permanente da relevância do processo de gestão de riscos de segurança da informação
para os objetivos de negócio da organização ou atualização do processo.
Simulados
4. Selecione nas alternativas abaixo as 4 (quatro) opções para tratamento de risco de acordo com a
norma ISO/IEC 27005.
5. Selecione nas alternativas abaixo o tipo de tratamento de risco atribuído a aceitação do ônus da
perda ou do benefício do ganho associado a um determinado risco.
6. Selecione nas alternativas abaixo as atividades que fazem parte da análise de riscos.
• Visão Geral
• Sobre a LGPD
• Termos e definições
• Princípios
• Do Tratamento de Dados Pessoais
• Do Tratamento de Dados Pessoais Sensíveis
• Do Tratamento de Dados Pessoais de Crianças e de Adolescentes
• Do Término do Tratamento de Dados
• Direitos do Titular
• Da transferência Internacional de Dados
• Da Autoridade Nacional de Proteção de Dados (ANPD)
• Das Sanções Administrativas
• Simulados
Visão Geral
• A LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa
natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os
direitos fundamentais de liberdade e de privacidade.
• A lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa
jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do
país onde estejam localizados os dados, desde que:
• a operação de tratamento seja realizada no território nacional;
• os dados pessoais objeto do tratamento tenham sido coletados no território nacional.
Sobre a LGPD
• Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
• Agentes de tratamento: o controlador e o operador;
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as
decisões referentes ao tratamento de dados pessoais;
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de
dados pessoais em nome do controlador;
• Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o
controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados;
Termos e definições (cont.)
• Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta,
produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição,
processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da
informação, modificação, comunicação, transferência, difusão ou extração;
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento,
por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um
indivíduo;
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o
tratamento de seus dados pessoais para uma finalidade determinada;
• Bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado
pessoal ou do banco de dados;
• Eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados,
independentemente do procedimento empregado;
Termos e definições (cont.)
• V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos
dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
• VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis
sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos
comercial e industrial;
• VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados
pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda,
alteração, comunicação ou difusão;
Princípios (cont.)
• O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:
• I - quando o titular ou seu responsável legal consentir, de forma específica e destacada, para
finalidades específicas;
• II - sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável
para:
• cumprimento de obrigação legal ou regulatória pelo controlador;
• tratamento compartilhado de dados necessários à execução, pela administração pública,
de políticas públicas previstas em leis ou regulamentos;
• realização de estudos por órgão de pesquisa;
• exercício regular de direitos;
• proteção da vida ou da incolumidade física do titular ou de terceiro;
• tutela da saúde
• garantia da prevenção à fraude e à segurança do titular.
Do Tratamento de Dados Pessoais de Crianças e de
Adolescentes
• O tratamento de dados pessoais de crianças deverá ser realizado com o consentimento específico
e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
Do Término do Tratamento de Dados
• O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular
por ele tratados, a qualquer momento e mediante requisição:
• I - confirmação da existência de tratamento;
• II - acesso aos dados;
• III - correção de dados incompletos, inexatos ou desatualizados;
• IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados
em desconformidade com o disposto da Lei;
• V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição
expressa;
• VI - eliminação dos dados pessoais tratados com o consentimento do titular;
• VII - informação das entidades públicas e privadas com as quais o controlador realizou uso
compartilhado de dados;
• VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as
consequências da negativa;
• IX - revogação do consentimento.
Da transferência Internacional de Dados
1. Selecione nas alternativas a lei que representa um marco legal para a proteção de dados pessoais
e privacidade no Brasil.
a. Lei 13.709
b. Lei 12.737
c. Lei 11.340
d. Lei 12.305
Simulados
2. Selecione nas alternativas abaixo o prazo de adequação que as empresas terão após sancionada a
lei de proteção de dados (prazo para que as empresas se adequem).
a. 120 meses
b. 3 meses
c. 24 meses
d. 6 meses
Simulados
a. 29 de outubro de 1984
b. 30 de novembro de 2012
c. 14 de agosto de 2018
d. 23 de abril de 2014
Simulados
4. Selecione nas alternativas abaixo o valor da multa à qual as empresas estão sujeitas em caso de
descumprimento da lei.
• Consentimento (Consent)
• Manifestação de vontade, livre, específica, informada e explícita, pela qual o titular dos
dados aceita, mediante declaração ou ato positivo inequívoco, que os dados pessoais que lhe
dizem respeito sejam objeto de tratamento
• Base legal e principal hipótese para o tratamento de dados de acordo com a GDPR
• O consentimento deve ser específico, inteligível, de fácil acesso e uma linguagem clara e
simples, dado mediante um ato positivo que indique uma manifestação de vontade livre,
específica, informada e inequívoca do titular dos dados.
• O titular dos dados tem o direito de retirar o seu consentimento a qualquer momento.
Princípios
• Exatidão (Accuracy)
• Os dados pessoais devem ser exatos e atualizado sempre que necessário.
• Controlador (Controller)
• Responsável pelo tratamento de dados pessoais.
• Pessoa física ou jurídica, autoridade pública, a agência ou outro órgão que, individualmente
ou em conjunto com outros, determina as finalidades e os meios de tratamento de dados
pessoais.
• Responsável pela comprovação do cumprimento de todos os princípios relativos ao
tratamento de dados de acordo com a GDPR.
• Subcontratante (Processor)
• Pessoa física ou jurídica, autoridade pública, agência ou outro órgão que processa dados
pessoais em nome do controlador.
Avaliação de Impacto sobre Proteção de Dados
• Avaliação de Impacto sobre Proteção de Dados (Data Protection Impact Assessment - DPIA)
• Atividade que deverá ser realizada sempre que um certo tipo de tratamento de dados, em
particular que utilize novas tecnologias e tendo em conta a sua natureza, âmbito, contexto e
finalidades, for suscetível de implicar um elevado risco para os direitos e liberdades dos
titulares.
Sanções (Penalties)
2. Selecione nas alternativas abaixo como é chamada na GDPR a manifestação de vontade, livre,
específica, informada e explícita, pela qual o titular dos dados aceita, mediante declaração ou ato
positivo inequívoco, que os dados pessoais que lhe dizem respeito sejam objeto de tratamento.
a. Bloqueio
b. Anonimização
c. Tratamento
d. Consentimento
IT Governance Foundation
Conteúdo do módulo
• Governança Corporativa
• Governança Corporativa no Brasil
• Governança de TI
• Benefícios da Governança de TI
• Norma ISO/IEC 38500 – Governança Corporativa de TI
• Frameworks, conjuntos de boas práticas e normas
• Simulados
Governança Corporativa
• É o conjunto de boas práticas que regulam a maneira como uma empresa deve ser dirigida e
controlada a fim de proteger as partes interessadas.
• O objetivo da governança corporativa é criar mecanismos eficientes de controle, monitoramento
e gestão para garantir que as decisões tomadas pelos executivos estejam alinhadas aos interesses
dos proprietários ou dos acionistas da empresa.
Governança Corporativa
• O movimento de governança corporativa teve início nos EUA no final da década de 90 após uma
série de escândalos financeiros e contábeis envolvendo grandes empresas como Enron, Worldcom
e Tyco que abalaram a confiança dos investidores e contribuíram para a pressão descendente nos
preços das ações no mundo todo e principalmente nos EUA.
• Esses escândalos fizeram com o que o governo dos EUA interviesse e promulgasse a Lei Sarbanes-
Oxley com o objetivo de recuperar a credibilidade do mercado de capitais, aumentando a
responsabilidade e a exigência de transparência na prestação de contas por parte dos executivos.
• Esta lei também ampliou substancialmente as penalidades associadas às fraudes e crimes de
colarinho branco.
Governança Corporativa no Brasil
• Governança de TI pode ser definida como um conjunto de estruturas e processos que tem por
objetivo garantir que TI suporte adequadamente os objetivos e as estratégias organizacionais.
• O objetivo da governança de TI é avaliar e direcionar o uso eficaz de TI.
• O conceito de governança de TI surgiu devido a:
• crescente importância da Tecnologia da Informação;
• necessidade de se promover o seu uso eficaz, eficiente e aceitável dentro das organizações.
Benefícios da Governança de TI
• ITIL®
• ITIL® (Information Technology Infrastructure Library) é um conjunto de publicações de
melhores práticas para o Gerenciamento de Serviço de TI.
• É um modelo não proprietário que pode ser utilizado por qualquer organização,
independente de tecnologia e fornecedor.
• Não prescritivo, ou seja, pode ser adotado e adaptado por qualquer organização, pública ou
privada, independente do seu tamanho.
• ITIL® é baseado nas melhores práticas que já se mostraram eficientes e que são utilizadas
com sucesso por muitas Organizações.
• Atualmente na versão 4 (ITIL 4).
Frameworks, conjuntos de boas práticas e normas
• ITIL
• Escopo da estrutura ITIL®
– Uma fonte de melhores práticas em Gerenciamento de Serviço;
– Usado para estabelecer e melhorar as capacidades no Gerenciamento de Serviço;
– ITIL® NÃO é um padrão; Já a ISO/lEC 20000, por exemplo, apresenta um padrão formal e
universal para Organizações que buscam ter as capacidades do Gerenciamento de Serviço
auditadas e certificadas;
– ITIL® oferece insumos para aderência à ISO/IEC 20000.
• Componentes da Biblioteca ITIL® (ITIL® Library)
– Núcleo do ITIL® (ITIL® Core) - Guia de melhores práticas aplicável a todos os tipos de
Organizações que provêm serviços ao negócio.
• A arquitetura do ITIL® Core é baseada no Ciclo de Vida de Serviço e está organizada em
cinco livros: Estratégia de Serviço, Desenho de Serviço, Transição de Serviço, Operação
de Serviço e Melhoria de Serviço Continuada.
Frameworks, conjuntos de boas práticas e normas
• Lean IT
• A filosofia Lean IT tem por objetivo eliminar atividades desnecessárias, reduzir custos, agregar
valor e aumentar a satisfação dos clientes, promovendo maior eficiência e a melhoria contínua
dos serviços de TI, com ênfase no envolvimento dos colaboradores na otimização dos processos
de negócios da organização.
• DevOps
• É uma abordagem que tem por objetivo promover maior alinhamento e colaboração entre as
áreas de desenvolvimento e operações de TI.
• Green IT (TI Verde)
• É uma abordagem que tem por objetivo promover o uso sustentável dos recursos de TI nas
organizações.
Frameworks, conjuntos de boas práticas e normas
• COBIT
• O COBIT é um framework (estrutura de controle) amplamente aceito para a governança de TI.
• A estrutura de controle do COBIT provê um modelo de referência e uma linguagem comum à
todos os envolvidos, alinhando os objetivos de TI aos objetivos do negócio.
• O COBIT funciona como um guarda-chuva identificando as necessidades de negócio e, então,
justificando os objetivos que necessitam ser alcançados e relacionando-os com outros padrões
e conjuntos de boas práticas, como CMMI, IS0 9000 e IS0/IEC 27002 a fim de alinhá-los de
acordo com a necessidade da organização.
• Na prática, o COBIT ajuda as organizações a reduzir os riscos de TI, aumentar o valor obtido da
TI e atender às regulamentações de controle.
• Atualmente na versão COBIT 2019.
Frameworks, conjuntos de boas práticas e normas
• PRINCE2®
• O PRINCE2® é um método de gerenciamento de projetos amplamente utilizado no mundo
todo, cujo objetivo é fornecer um conjunto de atividades necessárias para a direção,
gerenciamento e entrega do projeto com sucesso.
• O propósito do PRINCE2® é fornecer um método de gerenciamento de projetos que possa ser
aplicado a qualquer tipo de projeto, tamanho, organização ou fatores culturais envolvidos.
• O PRINCE2® oferece um caminho completo para se tirar um projeto do papel, desenvolvê-lo e
entregá-lo em tempo hábil e dentro do orçamento.
• Atualmente na versão 2017 (Managing Successful Projects with PRINCE2 2017 Edition).
Frameworks, conjuntos de boas práticas e normas
1. Qual é a norma que estabelece os princípios de alto nível para o uso eficaz, eficiente e aceitável
da TI?
a. ISO/IEC 27001
b. ISO/IEC 38500
c. ISO/IEC 20000
d. ISO/IEC 27002
Simulados
2. Selecione nas alternativas abaixo o framework (estrutura de controle) que prove um modelo de
referência e uma linguagem comum à todos os envolvidos, alinhando os objetivos de TI aos
objetivos do negócio?
a. PRINCE2®
b. COSO
c. COBIT
d. ITIL
Simulados
3. Quais são as três tarefas principais do modelo para Governança Corporativa de TI de acordo com
a norma ISO/IEC 38500?
4. Selecione nas alternativas abaixo a estrutura de controles internos utilizada para garantir a
eficácia e eficiência das operações, a confiabilidade das informações financeiras e a conformidade
com as leis e regulamentações.
a. COSO
b. ITIL
c. PMBOK
d. SCRUM
Simulados
5. Selecione nas alternativas abaixo o princípio de boa Governança em TI que tem por objetivo
garantir que políticas e práticas sejam claramente definidas, implementadas e fiscalizadas, bem
como que toda legislação e regulamentos obrigatórios sejam cumpridos.
a. Aquisição
b. Comportamento Humano
c. Conformidade
d. Desempenho
Referências bibliográficas
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 38500:2015. Rio de Janeiro, 2018.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27005:2011. Rio de Janeiro, 2011.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002:2013. Rio de Janeiro, 2013.
• ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001:2013. Rio de Janeiro, 2013.
• CAMPOS, André. Sistema de segurança da informação: controlando os riscos. 2. ed. São Paulo: Visual Books, 2007.
• CARTILHA DE SEGURANÇA PARA INTERNET – Cert.br. Disponível em http://cartilha.cert.br/
• COBIT 2019 – Disponível em http://www.isaca.org/cobit/
• COSO - Disponível em www.coso.org
• EU General Data Protection Regulation (GDPR) - Disponível em https://eugdpr.org/
• FREITAS, Marcos André dos Santos. Fundamentos do gerenciamento de serviços de TI: preparatório para a certificação ITIL V3 Foundation. Rio
de Janeiro: Brasport, 2010.
• LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 – Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm
• PIPEDA. Disponível em https://www.priv.gc.ca/en/privacy-topics/privacy-laws-in-canada/the-personal-information-protection-and-
electronic-documents-act-pipeda/
• PMBOK - Disponível em http://www.pmi.org/pmbok-guide-standards
• ROSS, Jeanne; WEILL, Peter. Governança de TI: Tecnologia da Informação. São Paulo: M. Books, 2006.
• SÊMOLA, Marcos. Gestão de Segurança da Informação - Uma visão executiva. 2. ed. Rio de Janeiro: Elsevier, 2013.
• TOGAF - Disponível em https://www.opengroup.org/togaf/