Escolar Documentos
Profissional Documentos
Cultura Documentos
METODOLOGIA A.R.C.A.
RISCOS
RISCOS
Processos de gestão de riscos
quanto à gestão da segurança da
informação. Sistêmico e cultural.
Fonte: SERPRO
Fonte: SERPRO
Oragnização: Pessoas usando Estrutura e pilotando Eventos
para alcançar Objetivos
Declaração DE APETITE A RISCOS CGE/MG
RISCOS
Processos de gestão de riscos
quanto à gestão da segurança da
informação. Sistêmico e cultural.
CICLO DA GESTÃO DE RISCOS
REVISÃO DA DECLARAÇÃO
TIPOS DE RISCOS DE APETITE
No contexto dos espaços (Específica para Segurança da
geográficos e cibernéticos e dos Informação -SI)
processos
(Consciência Situacional)
BOA-FÉ
PRINCÍPIOS HIPÓTESES
FUNDAMENTOS
● Características da pessoa;
● Conexão da pessoa com as 6 classes de
“coisas”.
Eventos alteram dados, relações, outros eventos…
Eventos alteram dados, relações, outros eventos…
tudo, no decorrer do tempo.
Eventos alteram dados, relações, outros eventos…
tudo, no decorrer do tempo.
Para a gestão de riscos de segurança da informação o foco será nos fatores negativos
MAPA SWOT
FORÇAS OPORTUNIDAES
S O
ESTRATÉGIA DE INOVAÇÃO E
CONTRAMEDIDAS MAIOR ALCANCE DOS
EFETIVAS IMPLEMENTADAS OBJETIVOS DA
ADMINISTRAÇÃO
FRAQUEZAS AMEAÇAS
W T
VULNERABILIDADES AMBIENTE EXTERNO
CONTRAMEDIDAS COM É RELATIVA À
FALHAS VULNERABILIDADES
MAPA SWOT
FORÇAS OPORTUNIDAES
S O
ESTRATÉGIA DE INOVAÇÃO E
CONTRAMEDIDAS MAIOR ALCANCE DOS
EFETIVAS IMPLEMENTADAS OBJETIVOS DA
ADMINISTRAÇÃO
FRAQUEZAS AMEAÇAS
W T
VULNERABILIDADES AMBIENTE EXTERNO
CONTRAMEDIDAS COM É RELATIVA À
FALHAS VULNERABILIDADES
RISCO
RISCO=
(Nível)
RISCO
RISCO=
(Nível) Ameaça
RISCO
RISCO=
(Nível) Ameaça
RISCO
RISCO=
(Nível) Ameaça Vulnerabilidade
RISCO
RISCO=
(Nível) Ameaça Vulnerabilidade
Contramedidas
RISCO
Ameaça Vulnerabilidade
RISCO=
(Nível)
Contramedidas
RISCO
Ameaça Vulnerabilidade
RISCO=
(Nível)
Contramedidas
PROBABILIDADE
RISCO
Ameaça Vulnerabilidade
RISCO=
Impacto
(Nível)
Contramedidas
PROBABILIDADE
RISCO
Estabelecimento do contexto
(5.3)
(5.6)
DE RISCOS CORPORATIVOS
DISPOSITIVO DE
ARMAZENAMENTO
Dado pessoal retido em Sistema Gerenciador de Banco de Dados - SGBD
COMPUTADOR
CAMPO TABELA SGBD Porta 3306
IP válido
Ethernet Porta 80
COMPUTADOR
Pessoa Software Software
IP Rede Interna
DISPOSITIVO DE
ARMAZENAMENTO
Pessoa
COMPUTADOR ESPAÇO
IP Rede Doméstica CIBERNÉTICO
DISPOSITIVO DE
ARMAZENAMENTO
ESPAÇO
Pessoa
GEOGRÁFICO
Pessoa
ESPAÇO
GEOGRÁFICO
O ESPAÇO CIBERNÉTICO E GEOGRÁFICO
COMPUTADOR
Pessoa Software Software
IP Rede Interna
DISPOSITIVO DE
ARMAZENAMENTO
Pessoa
COMPUTADOR ESPAÇO
IP Rede Doméstica CIBERNÉTICO
DISPOSITIVO DE
ARMAZENAMENTO
ESPAÇO
Pessoa
GEOGRÁFICO
Pessoa
ESPAÇO
GEOGRÁFICO
RISCO
● Coleta: por formulário escrito à mão, espera-se controle de chaves dos armários de documentos
com dados pessoais
● Coleta: por formulário informatizado, espera-se controle de senhas de acesso aos arquivos que
retém os dados pessoais
RISCO
● Resultado do tratamento de dados: processamento sem discriminação, com precisão e o esperado pelo objetivo
do processo.
● Riscos do tratamento de dados: a identificação, análise, avaliação e apetite precisam ser razoáveis. O titular não
pode exigir controle de riscos extraordinário, muito além do razoável. (ameaças não razoáveis ou eliminação total
de vulnerabilidades ou nível de risco zero). Contudo, o controlador não deve ser negligente aceitando um apetite
de riscos em nível muito alto para fatores de risco que podem ser razoavelmente controlados.
RISCO
O titular tem direito de esperar que sejam usadas as melhores técnicas, mas somente as
disponíveis na época do tratamento. Se novas técnicas surgem (e ficam disponíveis), os novos
tratamentos, a partir daí, precisam se atualizar com essas novas técnicas disponíveis e que
oferecerem mais segurança, que é o que o titular tem direito de esperar que seja feito, o que
exigirá do controlador também atualizar todas as etapas da gestão de riscos, a cada nova técnica
ou medida de segurança a ser implementada.
RISCO
Parágrafo único. Responde pelos danos decorrentes da violação da segurança dos dados o controlador
ou o operador que, ao deixar de adotar as medidas de segurança previstas no art. 46 desta Lei, der causa
ao dano.
Significa, literalmente, que: deixar de adotar as medidas de segurança previstas no art. 46 da LGPD é dar
causa a danos decorrentes da violação da segurança dos dados pessoais.
Incidente: violação da segurança dos dados (confidencialidade, integridade e disponibilidade)
Impacto: danos (decorrentes do incidente - nexo de causalidade)
Causa do dano: deixar de adotar as medidas de segurança previstas no art. 46 desta Lei -
(“...aptas a proteger os dados pessoais…”) - medidas que protegeríam contra o incidente.
Responde pelos danos: controlador ou operador que deixou de adotar as medidas de segurança.
RISCO
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e
administrativas aptas a proteger os dados pessoais de acessos não autorizados e de
situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer
forma de tratamento inadequado ou ilícito.
§ 1º A autoridade nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável o
disposto no caput deste artigo, considerados a natureza das informações tratadas, as características
específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais
sensíveis, assim como os princípios previstos no caput do art. 6º desta Lei.
§ 2º As medidas de que trata o caput deste artigo deverão ser observadas desde a fase de concepção
do produto ou do serviço até a sua execução.
Art. 47. Os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do
tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados
pessoais, mesmo após o seu término.
RISCO
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas
aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas
de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Dispõe sobre os padrões técnicos, mencionados no inciso XXI do Decreto Estadual nº 48.237/2021 e
aplicáveis às medidas de segurança, técnicas e administrativas de proteção de dados pessoais, no
âmbito da Controladoria-Geral do Estado de Minas Gerais.
Art. 1º Os padrões técnicos estabelecidos nesta resolução deverão ser aplicados como referência para o planejamento e como critérios para
a avaliação da qualidade das medidas de segurança, técnicas e administrativas quanto à sua adequação e suficiência para proteger os dados
pessoais.
§1º Os padrões técnicos estabelecidos nesta Resolução deverão ser aplicados considerando:
a) a natureza das informações tratadas;
b) as características específicas do tratamento;
c) o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis e
d) os princípios a serem observados nas atividades de tratamento de dados pessoais nos termos do art. 6º da LGPD.
§2º Os padrões técnicos estabelecidos nesta Resolução e as medidas de segurança, técnicas e administrativas adotadas para a proteção dos
dados pessoais deverão ser observadas desde a fase de concepção até a de execução de programas, atividades, serviços, processos, eventos
ou projetos relacionados ao cumprimento das competências e atribuições da CGE/MG.
§3º Todas as unidades administrativas da estrutura orgânica da CGE/MG, bem como quaisquer pessoas ou servidores nelas em exercício,
ao executarem atribuições que tratem dados pessoais - ou que intervenham em uma das fases do tratamento - são obrigadas a garantir a
segurança da informação e os padrões técnicos estabelecidos nesta Resolução.
RISCO - GESTÃO DE INCIDENTES E CRISES
Art. 48. O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de
segurança que possa acarretar risco ou dano relevante aos titulares.
§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá
mencionar, no mínimo:
I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os titulares envolvidos;
III - a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os
segredos comercial e industrial;
IV - os riscos relacionados ao incidente;
V - os motivos da demora, no caso de a comunicação não ter sido imediata; e
VI - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda
dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I - ampla divulgação do fato em meios de comunicação; e
II - medidas para reverter ou mitigar os efeitos do incidente.
§ 3º No juízo de gravidade do incidente, será avaliada eventual comprovação de que foram adotadas medidas
técnicas adequadas que tornem os dados pessoais afetados ininteligíveis, no âmbito e nos limites técnicos
de seus serviços, para terceiros não autorizados a acessá-los.
RISCO - SISTEMAS DE INFORMAÇÃO
Art. 49. Os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a
atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais
previstos nesta Lei e às demais normas regulamentares.
LGPD Art. 49 passa a ser parte das exigências necessárias de qualificação técnica de produtos em edital de
licitação para aquisição de licenças, perpétuas ou temporárias ou assinaturas de sistemas de informação
gerenciais ou sistemas aplicativos ou outros quaisquer utilizados para tratar dados pessoais.
RISCO gul a m
de Re os (ARCA
e nto d
)
os
d e l o c
Mo cni
a d rõ es Té
P
Seção II
Das Boas Práticas e da Governança
Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados
pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de
governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos,
incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de
supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador,
observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a
probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
Art. 51. A autoridade nacional estimulará a adoção de padrões técnicos que facilitem o controle pelos
titulares dos seus dados pessoais.
RISCO no contexto ETAPA ‘RISCO’: PASSOS 3º
E 4º
da Metodologia
A.R.C.A.
Probabilidade Impacto
Fonte: ENAP
Exemplo de resultado da etapa AVALIAÇÃO DE RISCOS
Fonte: ENAP
AVALIAR
Fonte: ENAP
TRATAR - Modelo TEVEP para planejamento e execução de projetos
para as medidas de tratamento dos riscos