Escolar Documentos
Profissional Documentos
Cultura Documentos
DISCLAIMER:
No part of this document may be reproduced in any form without the written permission of the copyright owner.
The contents of this document are subject to revision without notice due to continued progress in methodology, design, and manufacturing. OneTrust LLC shall
have no liability for any error or damage of any kind resulting from the use of this document.
Página
OneTrust products, content and materials are for informational purposes only and not for the purpose of providing legal advice. You should contact |1
your attorney
Direitos
to obtain advice with respect to any autoriais
particular issue.© 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Página | 2
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
O ambiente de treinamento fornecido destina-se apenas ao uso durante o Programa de Treinamento de
Certificação da OneTrust. Somente terá acesso para fazer o login durante o período de treinamento.
Página | 3
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Índice
Introdução ................................................................................................................................................................5
Recursos e suporte..................................................................................................................................................6
Visão geral da terminologia e estruturas .................................................................................................................7
Organizações, funções e usuários........................................................................................................................ 10
Gestão de riscos: Elementos e inventários .......................................................................................................... 11
Gestão de riscos: Gestão de avaliações e riscos ................................................................................................. 16
Gestão de riscos de terceiros ............................................................................................................................... 20
Gestão de políticas corporativas........................................................................................................................... 23
Gestão de incidentes ............................................................................................................................................ 25
Glossário ............................................................................................................................................................... 31
Página | 4
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Introdução
Bem-vindo ao Guia de Referência do Programa de Certificação OneTrust GRC, seu guia abrangente para se
tornar um profissional de GRC certificado pela OneTrust.
Além de ser o software líder mundial para operacionalizar a conformidade com a privacidade de dados e a
privacidade por design, a OneTrust também oferece uma Solução de Governança, Risco e Conformidade
(GRC). A Gestão Integrada de Riscos OneTrust GRC é um conjunto de produtos de gestão integrada de riscos
para identificar, medir, mitigar, monitorar e reportar os riscos em todas as operações.
Página | 5
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Recursos e suporte
Vendas
• E-mail: sales@onetrust.com
• Telefones
o Londres: +44 (800) 011-9778
o Atlanta: +1 (844) 228-4440
Suporte técnico
• E-mail: support@onetrust.com
• Telefone: +1 (844) 900-0472
Suporte ao parceiro
• E-mail: partnersupport@onetrust.com
My OneTrust
• Site: my.OneTrust.com
My OneTrust é uma plataforma que pode ser acessada por todos os clientes OneTrust para recursos
adicionais que incluem, mas não se limitam a:
1. Base de conhecimento da OneTrust
2. Avisos de lançamento
3. Manutenção programada
4. Status do sistema em tempo real
5. Submissão de tickets
6. Portal do desenvolvedor
7. Certificação OneTrust
Página | 6
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Visão geral da terminologia e estruturas
O que é Governança?
A governança é definida na forma como as regras, normas e ações são estruturadas, regulamentadas de
forma sustentada e responsabilizadas.
O que é Risco?
O risco é definido como a possibilidade ou chance de perda, de efeitos adversos, perigo ou lesão.
Página | 7
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
O que é Conformidade?
A conformidade é o ato de garantir que sua empresa e seus funcionários sigam as normas, de regulamentos,
legais e as práticas éticas que se aplicam à sua organização.
Normas/estruturas de segurança
• Uma série de processos documentados que são usados para definir políticas e procedimentos em
torno da implementação e gestão contínua dos controles de segurança da informação em um
ambiente empresarial.
Biblioteca de controles
• Inclui controles de estruturas reconhecidas e controles personalizados que sua organização pode usar
para avaliar e descrever os requisitos de segurança e privacidade que tem para os fornecedores dentro
do aplicativo OneTrust.
Implementações de controles
Página | 8
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Estruturas comumente utilizadas
Página | 9
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Organizações, funções e usuários
Organizações, Funções e Usuários são as configurações que impactarão a experiência do usuário no sistema.
Ao criar um novo usuário, no qual um indivíduo precisará fazer login na plataforma, este usuário deve estar
associado a pelo menos um dos seguintes itens:
• Organização - controla a que dados o usuário terá acesso
o As organizações são configuradas através de uma árvore hierárquica
• Função - controla a que módulos e processos o usuário terá acesso
o As funções são configuradas individualmente com muitas funções básicas pré-configuradas no
sistema. Cada função recebe permissões específicas que podem ser filtradas por módulo.
A adição de usuários de forma apropriada é importante. Seu acesso deve ser equilibrado - restrito o suficiente
para que eles não possam visualizar ou interagir com os dados de maneiras diferentes de sua
responsabilidade, não se restringindo muito aos locais onde são incapazes de realizar seu trabalho. Este
equilíbrio é atingido pela correta associação de funções e organizações de usuários.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Página | 10
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Gestão de riscos: Elementos e inventários
A Gestão de Riscos é definida como o conjunto de políticas e procedimentos, bem como a tecnologia que
uma organização coloca em prática para reduzir ameaças, vulnerabilidades e outros resultados causados por
ter dados desprotegidos. A OneTrust pode auxiliar os esforços de Gestão de Riscos de TI de nossos clientes,
fornecendo ferramentas eficientes para definir e rastrear os riscos e aplicar medidas de mitigação desses
riscos. Este capítulo se concentra em antecipar os riscos comuns que sua organização pode enfrentar e
preparar a ferramenta para estar pronta para gerenciar esses riscos configurando minuciosamente sua
biblioteca de controles, elementos e inventários.
Visão geral
Elementos
Página | 11
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Exemplo de elementos
Página | 12
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Inventários
Página | 13
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Melhores Práticas
- Uma vez identificados os riscos, o usuário pode iniciar o planejamento de como mitigar
esses riscos
- A OneTrust dispõe de uma biblioteca de controles que inclui
• Controles personalizados
• Normas/estruturas
- Os controles transitam em outros módulos
Página | 14
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Execução
Metodologia de classificação de risco
A OneTrust inclui algumas metodologias de pontuação de risco. O método selecionado deve ser decidido e
compreendido por diferentes equipes. Ao utilizar a matriz de pontuação de risco, vários itens dessa matriz
podem ser configurados para atender às necessidades de sua organização.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Adição de controles
A ferramenta OneTrust fornece aos usuários uma biblioteca de controles com a capacidade de adicionar
controles de diversas normas/estruturas ou a partir do zero para serem associados a itens de inventário como
ativos, atividades de tratamento, fornecedores, entidades e riscos, por eles mesmos. Os controles nesta
biblioteca também se estendem a outros módulos de GRC, como a Gestão de Auditorias.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Página | 15
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Gestão de riscos: Gestão de avaliações e riscos
Neste módulo, focamos no uso das avaliações de GRC para obter informações sobre nossos itens de
inventário e identificar riscos, bem como mitigar esses riscos através do uso do ciclo de vida do risco.
Visão geral
Uma avaliação de GRC pode ser definida como uma pesquisa que reúne evidências para determinar o
risco. De forma simples, as avaliações de GRC verificam as respostas e fornecem acesso aos dados-chave:
• Este controle está implementado?
• Anexe evidências
• Explique
Exemplo de regulamento
ISO 27001: A norma internacional que descreve as melhores práticas para implementação e manutenção de
um ISMS (sistema de gestão de segurança da informação). Uma avaliação de risco ISO27001 é essencial para
esse processo e é um componente central desta norma. Este tipo de avaliação de risco ajuda as organizações
a:
• Compreender cenários específicos que podem resultar no comprometimento de seus dados
• Avaliar os danos que estes cenários podem causar
• Determinar a probabilidade de ocorrência destes cenários
Página | 16
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Ciclo de vida da avaliação e do risco
Melhores práticas
- Similar ao ciclo de vida da avaliação, o ciclo de vida do risco deve ter as melhores
Página | 17
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
pessoas possíveis para mitigar o risco até um nível mais baixo.
• Quem é a pessoa mais capacitada para fazer o trabalho do plano de tratamento?
• Quem é a melhor pessoa para aprovar este trabalho?
- Quando os riscos estiverem em um nível mais baixo, eles têm a possibilidade de voltar
devido a mudanças nos processos comerciais ou nos itens de inventário
- Para garantir que os riscos permaneçam neste nível reduzido, os inventários precisam
ser continuamente atualizados de modo a garantir que nenhum risco escape.
Página | 18
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Execução
Entrega de avaliações
Uma vez determinados os melhores respondentes, é necessário enviar a estes o modelo do questionário que
criamos anteriormente. Assim que um modelo é enviado a um respondente, ele é chamado de avaliação.
Neste exercício, lançaremos uma avaliação para nós mesmos para que possamos então ver da parte como
respondente como concluir e submeter as respostas a um aprovador.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Gestão de riscos
As respostas de avaliação podem acionar o sistema para criar riscos automaticamente por causa da lógica de
regras incorporadas, o que significa que o próximo passo é remediar o risco.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Página | 19
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Gestão de riscos de terceiros
Embora as relações comerciais com fornecedores terceirizados possam muitas vezes se alinhar com os
objetivos de sua organização, infelizmente também tem o potencial de levar a tipos similares de ameaças,
vulnerabilidades e riscos que discutimos em módulos anteriores. Este módulo cobre uma visão geral,
melhores práticas e etapas práticas na ferramenta OneTrust para ajudar as organizações nos esforços para
gerenciar estes fatores.
Visão geral
Página | 20
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Melhores práticas
- Os fluxos de trabalho são importantes para várias etapas de sua relação com um
terceiro
• Integração
• Desligamento
- Cada fluxo de trabalho pode ter etapas específicas, tarefas, regras, notificações e muito
mais
- A aba painel de controle fornecerá informações de alto nível do que está no módulo
- Os relatórios permitem colunas configuráveis, mais detalhadas, que podem ser
exportadas
Página | 21
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Execução
Adicione um fornecedor via banco de dados
É possível criar um novo relatório para exibir informações e detalhes sobre sua auditoria. Os relatórios podem
ser criados usando um dos modelos da Galeria de Relatórios que são pré-configurados com campos
específicos do módulo ou criados manualmente usando o modelo “Relatório Personalizado”. Todos os
modelos serão exibidos por padrão, mas podem ser reduzidos com base em sua fonte de dados ou tipo de
relatório selecionado, neste caso, nossa fonte é o módulo Gestão de Auditorias.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Adicione um envolvimento
É possível criar um novo relatório para exibir informações e detalhes sobre sua auditoria. Os relatórios podem
ser criados usando um dos modelos da Galeria de Relatórios que são pré-configurados com campos
específicos do módulo ou criados manualmente usando o modelo “Relatório Personalizado”. Todos os
modelos serão exibidos por padrão, mas podem ser reduzidos com base em sua fonte de dados ou tipo de
relatório selecionado, neste caso, nossa fonte é o módulo Gestão de Auditorias.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Crie um relatório
É possível criar um novo relatório para exibir informações e detalhes sobre sua auditoria. Os relatórios podem
ser criados usando um dos modelos da Galeria de Relatórios que são pré-configurados com campos
específicos do módulo ou criados manualmente usando o modelo “Relatório Personalizado”. Todos os
modelos serão exibidos por padrão, mas podem ser reduzidos com base em sua fonte de dados ou tipo de
relatório selecionado, neste caso, nossa fonte é o módulo Gestão de Auditorias.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Página | 22
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Gestão de políticas corporativas
O módulo de Gestão de Políticas Corporativas fornece um processo centralizado para a criação e gestão de
políticas, normas e procedimentos de controle interno que são mapeados entre regulamentos externos e
práticas recomendadas. O inventário de políticas é usado para capturar as políticas internas de uma
organização.
As políticas também podem ser vinculadas a controles, relacionadas a um inventário, e o usuário pode
gerenciar todas as políticas de forma centralizada em um único local. As políticas ajudam a gerenciar o fluxo
de trabalho de políticas de ponta a ponta, desde a criação de novas políticas até a retirada de políticas que não
são mais necessárias.
Visão geral
Página | 23
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Fluxo de trabalho de política
Melhores práticas
Página | 24
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Execução
Adicione uma política
As políticas podem ser criadas na OneTrust através de vários métodos, incluindo o carregamento via modelo,
construído a partir do zero ou editando um modelo pré-construído dentro da ferramenta. Essas políticas
podem então ser editadas, revisadas, reportadas e vinculadas a controles para definir processos de diferentes
tipos que sua organização pratica para manter os protocolos de GRC em primeiro plano.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Relacione um fornecedor
As políticas podem se estender além dos limites da organização e considerar as relações com os
fornecedores. Similar a como os riscos podem ser vinculados aos itens do inventário, ou mesmo como os
controles podem ser vinculados às políticas, as políticas podem ser vinculadas com os fornecedores que
foram adicionados ao inventário do fornecedor.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Gestão de incidentes
Quando ocorrem incidentes, é melhor ter os meios para responder e mitigar os mesmos. Este módulo inclui
uma visão geral do módulo, melhores práticas e etapas práticas dentro da ferramenta para ajudar as
organizações a gerenciar o registro de incidentes, notificação, tratamento, assim como associações úteis para
a mitigação.
Página | 25
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Visão geral
Página | 26
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
um incidente.
Melhores práticas
- Os formulários web que podem ser criados dentro da OneTrust podem criar incidentes
diretamente no registro de incidentes
- Caso informações adicionais sejam necessárias após o formulário web, as avaliações
podem ser usadas para atualizar o incidente
- Centraliza a comunicação
- Monitora a responsabilidade
- Melhora nos tempos de resposta
Execução
Registre um incidente
O registro de incidentes pode ser utilizado como um repositório para documentar detalhes de incidentes,
progressão de etapas, avaliações, subtarefas e muito mais para promover a responsabilidade e a tomada de
decisões. Os usuários podem designar responsáveis, estabelecer prazos e programar lembretes para garantir
que os prazos de gestão de incidentes sejam cumpridos. Os incidentes podem ser comunicados neste
registro centralizado de forma manual ou pelo uso de um formulário web.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Os formulários web podem ser construídos dentro da plataforma OneTrust e utilizados por usuários externos
através de um link ou de um site, caso tenha sido incorporado, para submeter incidentes diretamente ao
registro de incidentes.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Gestão de auditorias
O módulo Gestão de Auditorias da OneTrust permite uma abordagem baseada em risco aos esforços de
auditoria de GRC de uma organização para reconhecer o escopo das práticas de negócio, seu impacto e onde
as medidas propostas para melhoria podem ser efetivamente implementadas.
Visão geral
O módulo Gestão de Auditorias automatiza os fluxos de trabalho das equipes de auditoria, otimizando
recursos e produtividade. Trata-se de uma avaliação dos métodos e políticas de gestão de uma organização na
administração e no uso de recursos, planejamento tático e estratégico, além de aprimoramento dos
funcionários e da organização.
Objetivo
• Simplificar e organizar o fluxo de trabalho e o processo de colaboração de compilação de auditorias.
• Assegurar que as diretrizes de auditoria aprovadas pela diretoria sejam implementadas
Página | 28
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Melhores práticas
- Decida quais riscos estão sendo rastreados ou qual a norma ou estrutura deve xser
utilizada.
- Planeje seu documento de trabalho, que é o documento que registra durante o curso de
uma auditoria as evidências de auditoria obtidas durante vários tipos de auditoria,
incluindo auditoria de demonstrações financeiras, auditoria de gestão interna, auditoria
de sistemas de informação e investigações.
- Atribua um auditor. Esta função deve ser independente da administração de uma
organização para que a auditoria seja imparcial.
Com base nos resultados do auditor, a gerência precisará recomendar controles compensatórios ou
complementares para lidar com os riscos identificados na auditoria. Qual é o efeito desses controles
sobre os riscos identificados e eles reduzem o risco residual a um nível aceitável? Finalmente, qual é
a frequência de nossas auditorias (quando avaliaremos novamente os resultados)?
Página | 29
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Execução
Adicione uma nova auditoria
Novas auditorias podem ser criadas na ferramenta de Gestão de Auditorias, inserindo o seguinte:
- Nome da auditoria
- Norma/estrutura
- Organização
- Auditores e aprovadores
- Escopo
Após a criação, os detalhes e o escopo podem ser adicionados e atualizados, anexos podem ser carregados,
tarefas podem ser concluídas, documentos de trabalho podem ser criados e os resultados podem ser
documentados.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Página | 30
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Glossário
A
Ameaça - Qualquer coisa que possa explorar uma vulnerabilidade, seja intencional ou acidentalmente, e
produzir danos ou destruir um ativo.
Atividade de tratamento - Uma atividade onde os dados são manipulados, armazenados ou movidos.
Ativo - Qualquer coisa que possa armazenar ou tratar dados pessoais. Isto pode incluir um aplicativo, site,
banco de dados ou mesmo armazenamento físico. No GRC, isto também pode ser definido como um item de
valor para uma empresa.
Auditoria – Uma inspeção oficial e revisão independente de informações dentro de uma organização realizada
com o objetivo de expressar uma opinião a respeito.
Avaliação – Uma lista de perguntas designadas a um respondente dentro da ferramenta OneTrust que requer
uma resposta do(s) respondente(s) e posterior aprovação pelo(s) aprovador(es) designado(s).
B
Banco de dados Vendorpedia – Uma biblioteca de fornecedores dentro da ferramenta OneTrust que contém
perfis detalhados de segurança e privacidade de milhares de fornecedores em todo o mundo. Cada perfil
fornece amplas informações sobre os detalhes do fornecedor, serviços e certificados relacionados.
Biblioteca de controles - Inclui controles de estruturas reconhecidas e controles personalizados que sua
organização pode usar para avaliar e descrever os requisitos de segurança e privacidade que possui dentro do
aplicativo OneTrust.
C
Cloud Security Alliance (Aliança de Segurança em Nuvem - CSA) - Uma organização do setor dedicada a ajudar
a "garantir um ambiente seguro de computação em nuvem" - fundada em 2009
Conformidade - O ato de garantir que sua empresa e seus funcionários sigam as leis, regulamentos, normas e
práticas éticas que se aplicam à sua organização.
Controlador (ou responsável pelo tratamento) - A entidade que determina as finalidades, condições e meios do
tratamento de dados pessoais.
Controles – São salvaguardas ou contramedidas para evitar, detectar, neutralizar ou minimizar os riscos de
segurança à propriedade física, informações, sistemas informáticos ou outros ativos.
CSA Cloud Controls Matrix (Matriz de Controles em Nuvem - CCM) - Uma estrutura de controle de
cibersegurança para computação em nuvem, composta de 133 objetivos de controle que são estruturados em
16 domínios que cobrem todos os principais aspectos da tecnologia em nuvem
D
Dados criptografados - Dados pessoais que são protegidos através de medidas tecnológicas para garantir que
os dados só sejam acessíveis/legíveis por aqueles com acesso especificado.
Página | 31
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Documento de trabalho – Os documentos de trabalho fornecem aos auditores um local central para gerenciar
o trabalho de auditoria para controle de conformidade. Os auditores podem acessar as evidências existentes,
avaliações e implementações de controle para formar sua visão sobre a eficácia de um controle.
E
Elemento de dados - Peças de informações coletadas que, juntas, constroem uma visão completa dos dados.
Entidade – Uma unidade de negócios registrada que está envolvida e é responsável pelo tratamento de dados.
F
Fed RAMP – Programa Federal de Gestão de Risco e Autorização (Federal Risk & Authorization Management
Program) - Um programa governamental que fornece uma abordagem padronizada para avaliação de
segurança, autorização e monitoramento contínuo para produtos e serviços em nuvem. Os órgãos de governo
da Fed Ramp incluem: JAB, OMB, Conselho CIO, FedRAMP PIO, DHS, e NIST.
Fornecedor – Um provedor de serviços terceirizado.
G
Gestão de riscos de TI - O conjunto de políticas, procedimentos, bem como a tecnologia que uma organização
coloca em prática para reduzir ameaças, vulnerabilidades e outros resultados causados por ter dados
desprotegidos.
Governança - A forma como as regras, normas e ações são estruturadas, sustentadas, regulamentadas e
responsabilizadas.
I
ISO 27001 - Organização Internacional para Padronização (ISO) 27001 - Formalmente conhecido como ISO/IEC
27001:2005. É uma especificação para um sistema de gestão de segurança da informação (ISMS). Emitido e
mantido pela Organização Internacional para Padronização.
ISO 29001 – Organização Internacional para Padronização (ISO) 29001 - A ISO 29001 define o sistema de
gestão de qualidade para organizações de fornecimento de produtos e serviços para as indústrias de petróleo,
petroquímica e gás natural.
M
Modelo – Uma lista de perguntas previamente preenchidas na ferramenta OneTrust que podem ser criadas ou
modificadas e atribuídas a alguém como uma avaliação.
N
NIST 800-171 - O Instituto Nacional de Normas e Tecnologia (National Institute of Standards and Technology,
NIST em inglês) - A Publicação Especial NIST 800-171 governa a Informação Não Classificada Controlada
(Controlled Unclassified Information - CUI) em sistemas e organizações de informação não federais.
Normas/estruturas de segurança - Uma série de processos documentados que são usados para definir
políticas e procedimentos em torno da implementação e gestão contínua dos controles de segurança da
Página | 32
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
informação em um ambiente empresarial.
P
Plano de resposta em caso de violação - fornece as diretrizes a serem seguidas pelas organizações cada vez
que uma violação é descoberta. Trata-se do emprego de registros específicos do incidente, atribuições de
indivíduos diretamente responsáveis, além do uso de fluxos de trabalho de processo para uso na resposta a
um incidente.
Política – Esclarece os resultados esperados e o comportamento dos membros de uma organização no
contexto específico dessa organização (os grupos podem incluir funcionários, voluntários e outros membros,
como membros da diretoria, etc.).
R
Registro de riscos – Uma lista central que inclui todos os riscos criados dentro de uma variedade de seções da
ferramenta OneTrust.
Regulamento Geral sobre Proteção de Dados (sigla GDPR em inglês) - Um regulamento sobre proteção de
dados e privacidade para todos os residentes do Espaço Econômico Europeu. Aprovado em 2016, em vigor
em 2018.
Resultado – Um problema e/ou uma deficiência de conformidade identificada por um auditor através de um
documento de trabalho de auditoria.
Risco - É definido como a possibilidade ou chance de perda, efeitos adversos, perigo ou lesão.
T
Titular dos dados – Uma pessoa física cujos dados pessoais são tratados por um controlador ou operador.
V
Vulnerabilidade – Definidas como fraquezas ou deficiências (gaps) em um programa de segurança que podem
ser exploradas por ameaças para obter acesso não autorizado a um ativo.
Página | 33
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Exercícios detalhados - Etapas
Usuários e funções
Crie um novo usuário
Passo 1: Clique no ícone de engrenagem " Configurações Gerais " no canto superior direito da tela
Passo 2: Clique na guia "Usuários" na parte esquerda da tela
Passo 3: Clique no botão azul "Adicionar usuário" na parte superior direita da tela
Passo 4: Adicione um nome e sobrenome (use um personagem fictício ou o seu próprio nome)
Passo 5: Adicione seu próprio endereço de e-mail
Passo 6: Clique no botão azul "Seguinte" na parte inferior direita da tela
Passo 7: Clique no botão azul “Adicionar função" no centro da tela
Passo 8: Clique no campo "Função" e selecione "Gestor de avaliações".
Passo 9: No campo “Organização”, selecione OneTrust e clique no botão branco "Salvar e adicionar novo".
Passo 10: Volte ao campo “Função”, selecione "Auditor" e clique no botão branco "Salvar e adicionar novo".
Passo 11: Volte ao campo “Função”, selecione "Gestor de políticas corporativas" e clique no botão branco
"Salvar e adicionar novo".
Passo 12: Volte ao campo “Função”, selecione "Gestor de incidentes" e clique no botão branco "Salvar e
adicionar novo".
Passo 13: Volte ao campo “Função”, selecione "Gestor de riscos de TI" e clique no botão branco "Salvar e
adicionar novo".
Passo 14: Volte ao campo “Função”, selecione "Gestor de fornecedores" e desta vez clique no botão azul
"Adicionar" no canto inferior direito da tela.
Passo 15: Clique no botão azul "Criar" no canto inferior direito da tela
Página | 35
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Passo 8: Clique em "Escolher este modelo" no canto inferior direito
Passo 9: Adicione suas iniciais no início do nome ("XXX - Questionário de descoberta de ativos - 2.4")
Passo 10: Clique em "Criar modelo" no canto inferior direito
Parte 2
Passo 1: Clique na seta à direita da primeira seção (Informações do ativo) para ver todas as perguntas contidas
na mesma.
Passo 2: Arraste a caixa do tipo de pergunta "Sim/Não" da esquerda e solte-a entre as perguntas 1.1 e 1.2
(certifique-se de soltá-la na caixa azul que aparece com a mensagem "Solte a pergunta aqui")
Passo 3: No campo "Questão", digite "O acesso a este ativo é restrito somente a indivíduos que necessitam de
acesso?"
Passo 4: Clique no botão azul "Salvar" no canto inferior direito
Parte 3
Passo 1: Clique na guia "Regras" perto do topo da tela e clique no botão "Adicionar regra".
Passo 2: Nomeie a regra "Nenhum controle de acesso".
Passo 3: Preencha o campo “Acionador” com “Questão”
Passo 4: Preencha o novo campo "Questão" com a pergunta do tipo “Sim/Não” que acabou de criar
Passo 5: Preencha o campo "Operador" com "Igual a"
Passo 6: Preencha o campo "Resposta" com "Não"
Passo 7: No campo "Selecione uma ação", escolha "Criar risco".
Passo 8: Clique na opção "Criar novo risco".
Passo 9: Dê ao risco um nível de risco inerente e descrição ("O acesso ao ativo não está limitado apenas
àqueles que requerem acesso").
Passo 10: Clique no botão "Adicionar controle de risco" próximo ao rodapé e selecione "ISO/IEC 27001:2013
(27002)" à esquerda
Passo 11: Selecione a caixa com "A.9: Controle de acesso” e “A9.1.1: Política de controle de acesso" e clique
em "Adicionar"
Passo 12: Clique em "Salvar" no canto inferior direito
Passo 13: Clique em "Publicar" no canto superior direito
Passo 14: Clique em “Confirmar”
Página | 36
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Passo 2: Responda a pergunta que criou com "Não".
Passo 3: Responda mais algumas perguntas (a pergunta principal que requer uma resposta é aquela que você
criou)
Passo 4: Clique no botão azul "Enviar" no canto inferior direito
Passo 5: Clique no botão azul “Confirmar”
Página | 37
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Gestão de riscos de terceiros
Exercício 1 - Preencha o inventário de fornecedores
Passo 1: Clique no botão Iniciar (ícone de grade) no canto superior esquerdo
Passo 2: Clique no módulo “Banco de dados de riscos de terceiros”
Passo 3: Clique na guia "Banco de dados" no menu à esquerda
Passo 4: Clique no logotipo da OneTrust
Passo 5: Revise as informações da empresa
Passo 6: Clique no botão branco "Adicionar" na parte superior direita da tela e depois clique em "Confirmar".
Passo 7: Clique no botão Iniciar (ícone de grade) no canto superior esquerdo
Passo 8: Selecione o módulo “Gestão de riscos de terceiros”
Passo 9: Clique em "Fornecedores" sob "Inventário" no menu à esquerda
Passo 10: Clique no nome do fornecedor que acabou de adicionar (OneTrust)
Passo 11: Revise a correspondência entre os dados do inventário e o que estava no banco de dados
Página | 39
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Passo 4: Clique no botão azul "Adicionar" no canto inferior direito do menu
Passo 5: Clique na guia “Regras da etapa” no centro superior da tela
Passo 6: Clique no botão azul "Adicionar regra" no centro da tela
Passo 7: No campo “Nome da regra”, digite “Limpeza de dados”
Passo 8: No menu suspenso da seção “Ações”, selecione “Criar tarefa”
Passo 9: No campo “Nome”, digite “Verificar se todos os dados essenciais foram removidos do fornecedor e
se o backup foi feito em um armazenamento seguro”
Passo 10: Selecione um responsável
Passo 11: Clique no botão azul "Salvar" no canto inferior direito do menu
Passo 12: Clique no botão azul "Publicar" na parte superior direita da tela
Passo 13: Clique em "Publicar" no centro da tela
Gestão de incidentes
Exercício 1 - Registre um incidente
Passo 1: Clique no botão “Iniciar”” (ícone de grade), no canto superior esquerdo e selecione "Gestão de
incidentes".
Passo 2: Clique na guia "Registro dos Incidentes" no menu à esquerda
Passo 3: Clique no botão azul "Adicionar" na parte superior direita da tela
Passo 4: No campo “Tipo de incidente”, selecione “Conta de usuário comprometida”
Passo 5: No campo “Organização”, selecione “OneTrust”
Passo 6: No campo “Nome do incidente”, digite “Dados via acesso não autorizado”
Passo 7: No campo “Descrição”, digite uma informação de sua escolha
Passo 8: Escolha qualquer data no passado para o campo “Data de ocorrência”
Passo 9: Escolha qualquer data entre a data de ocorrência e a data/hora atual da descoberta para o campo
seguinte
Passo 10: Digite uma causa principal (causa raiz) de sua escolha
Passo 11: Clique no botão azul "Salvar" no canto inferior direito
Gestão de auditorias
Exercício 1 - Configure um novo fluxo de trabalho e adicione uma nova auditoria
Parte 1
Passo 1: Clique no botão Iniciar (ícone de grade) e selecione o módulo "Gestão de auditorias"
Passo 2: Clique na guia "Fluxos de trabalho" no menu à esquerda
Passo 3: Clique no botão "Ver" no mosaico "Auditoria - Fluxos de trabalho”
Passo 4: Clique no botão “...” (menu de contexto) em "Fluxo de trabalho da auditoria padrão" e selecione
"Clonar"
Passo 5: No campo “Nome do fluxo de trabalho”, digite “Fluxo de trabalho de auditoria interna de 2022” e
clique no botão azul “Clonar”
Passo 6: Clique no fluxo de trabalho criado
Passo 7: Clique no botão “+” entre as etapas "Trabalho de campo" e "Concluído"
Passo 8: No campo “Título da etapa”, digite “Em andamento” e selecione a cor azul do distintivo (Em
andamento)
Passo 9: Clique no botão azul “Adicionar”
Passo 10: Clique em "Publicar" no canto superior direito
Passo 11: Clique em “Confirmar”
Passo 12: Clique no hiperlink azul "Auditoria - Fluxos de trabalho" no canto superior direito
Passo 13: Clique no botão “...” (menu de contexto) do novo fluxo de trabalho, selecione "Definir como
padrão", depois clique em "Confirmar"
Parte 2
Passo 1: Clique na guia "Auditorias" no menu à esquerda
Passo 2: Clique no botão azul "Criar Auditoria" no canto superior direito
Passo 3: No campo “Nome da auditoria”, digite “Auditoria de controles do banco de dados de 2022”
Passo 4: No campo “Norma/estrutura legislativa”, selecione “ISO/IEC 27001:2013 (27002)”
Passo 5: No campo “Organização”, selecione “OneTrust”
Passo 6: Selecione você mesmo (Admin####) para auditor e aprovador
Passo 7: Clique no botão azul "Seguinte" no canto inferior direito
Passo 8: Clique no botão branco "Selecionar" na linha "Controles”
Passo 9: Selecione uma estrutura no lado esquerdo da tela e selecione as caixas para vários controles de sua
Página | 43
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
escolha
(Dica: Utilize os controles A.9 Controle de acesso e A.9 4.3 (2) Sistema de gestão de senhas utilizado
anteriormente)
Passo 10: Clique no botão azul "Enviar" no canto inferior direito
Passo 11: Clique no botão azul "Seguinte" no canto inferior direito
Passo 12: Na tela "Atribuir auditor(es) e aprovador(es)", selecione a caixa branca superior à esquerda de "Nome
do documento de trabalho"
Passo 13: Clique no botão branco "Atribuir em massa" que aparece na parte superior à direita
Passo 14: Insira seu nome como auditor e aprovador
Passo 15: Clique no botão azul "Atribuir" na parte inferior do menu
Passo 16: Clique no botão azul "Concluir" no canto inferior direito
Passo 17: Clique no botão azul "Criar" no centro da tela
Página | 45
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.