OneTrust GRC Profissional

OneTrust GRC Profissional
Programa de Certificação - Manual
GRC & Security

Assurance
DISCLAIMER:
No part of this document may be reproduced in any form without the written permission of the copyright owner.
The contents of this document are subject to revision without notice due to continued progress in methodology, design, and manufacturing. OneTrust LLC shall
have no liability for any error or damage of any kind resulting from the use of this document.
Página
OneTrust products, content and materials are for informational purposes only and not for the purpose of providing legal advice. You should contact |1
your attorney
Direitos
to obtain advice with respect to any autoriais
particular issue.© 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
Página | 2
Direitos autoriais © 2022 OneTrust LLC. Todos os direitos reservados. Proprietário e confidencial.
O ambiente de treinamento fornecido destina-se apenas ao uso durante o Programa de Treinamento de
Certificação da OneTrust. Somente terá acesso para fazer o login durante o período de treinamento.
URL de treinamento: training.onetrust.com
Consulte o seu instrutor(a) para obter a senha do seu ambiente.
Página | 3
Índice
Introdução ................................................................................................................................................................5
Recursos e suporte..................................................................................................................................................6
Visão geral da terminologia e estruturas .................................................................................................................7
Organizações, funções e usuários........................................................................................................................ 10
Gestão de riscos: Elementos e inventários .......................................................................................................... 11
Gestão de riscos: Gestão de avaliações e riscos ................................................................................................. 16
Gestão de riscos de terceiros ............................................................................................................................... 20
Gestão de políticas corporativas........................................................................................................................... 23
Gestão de incidentes ............................................................................................................................................ 25
Glossário ............................................................................................................................................................... 31
Página | 4
Introdução
Bem-vindo ao Guia de Referência do Programa de Certificação OneTrust GRC, seu guia abrangente para se
tornar um profissional de GRC certificado pela OneTrust.
Além de ser o software líder mundial para operacionalizar a conformidade com a privacidade de dados e a
privacidade por design, a OneTrust também oferece uma Solução de Governança, Risco e Conformidade
(GRC). A Gestão Integrada de Riscos OneTrust GRC é um conjunto de produtos de gestão integrada de riscos
para identificar, medir, mitigar, monitorar e reportar os riscos em todas as operações.
Página | 5
Recursos e suporte
Vendas
• E-mail: sales@onetrust.com
• Telefones
o Londres: +44 (800) 011-9778
o Atlanta: +1 (844) 228-4440
Suporte técnico
• E-mail: support@onetrust.com
• Telefone: +1 (844) 900-0472
Suporte ao parceiro
• E-mail: partnersupport@onetrust.com
Este suporte a parceiros pode auxiliar com:

1. Agendamento de demonstrações para clientes
2. Envio de RFI/RFP com a OneTrust
3. Indicação de clientes
4. Estratégia e alinhamento de contas
5. Recursos adicionais e garantias
Outros recursos incluem:

1. Vídeos de demonstração de produtos
2. Folheto de visão geral da OneTrust
3. Como a OneTrust ajuda com o Whitepaper do GDPR
4. Inscrição nos workshops SmartPrivacy
5. Modelo de precificação OneTrust
My OneTrust
• Site: my.OneTrust.com
My OneTrust é uma plataforma que pode ser acessada por todos os clientes OneTrust para recursos
adicionais que incluem, mas não se limitam a:
1. Base de conhecimento da OneTrust
2. Avisos de lançamento
3. Manutenção programada
4. Status do sistema em tempo real
5. Submissão de tickets
6. Portal do desenvolvedor
7. Certificação OneTrust
Página | 6
Visão geral da terminologia e estruturas
O que é Governança?
A governança é definida na forma como as regras, normas e ações são estruturadas, regulamentadas de
forma sustentada e responsabilizadas.
O que é Risco?
O risco é definido como a possibilidade ou chance de perda, de efeitos adversos, perigo ou lesão.
Página | 7
O que é Conformidade?
A conformidade é o ato de garantir que sua empresa e seus funcionários sigam as normas, de regulamentos,
legais e as práticas éticas que se aplicam à sua organização.
Normas/estruturas de segurança
• Uma série de processos documentados que são usados para definir políticas e procedimentos em
torno da implementação e gestão contínua dos controles de segurança da informação em um
ambiente empresarial.
Biblioteca de controles
• Inclui controles de estruturas reconhecidas e controles personalizados que sua organização pode usar
para avaliar e descrever os requisitos de segurança e privacidade que tem para os fornecedores dentro
do aplicativo OneTrust.
Implementações de controles
• Salvaguardas ou contramedidas para evitar, detectar, neutralizar ou minimizar os riscos de segurança à

propriedade física, informações, sistemas informáticos ou outros ativos.
• As organizações podem usar controles para avaliar e descrever os requisitos de segurança e
privacidade necessários para os fornecedores.
Página | 8
Estruturas comumente utilizadas
Página | 9
Organizações, funções e usuários
Organizações, Funções e Usuários são as configurações que impactarão a experiência do usuário no sistema.
Ao criar um novo usuário, no qual um indivíduo precisará fazer login na plataforma, este usuário deve estar
associado a pelo menos um dos seguintes itens:
• Organização - controla a que dados o usuário terá acesso
o As organizações são configuradas através de uma árvore hierárquica
• Função - controla a que módulos e processos o usuário terá acesso
o As funções são configuradas individualmente com muitas funções básicas pré-configuradas no
sistema. Cada função recebe permissões específicas que podem ser filtradas por módulo.
Exercício de como adicionar um usuário
A adição de usuários de forma apropriada é importante. Seu acesso deve ser equilibrado - restrito o suficiente
para que eles não possam visualizar ou interagir com os dados de maneiras diferentes de sua
responsabilidade, não se restringindo muito aos locais onde são incapazes de realizar seu trabalho. Este
equilíbrio é atingido pela correta associação de funções e organizações de usuários.
Clique aqui para obter as etapas detalhadas sobre como concluir este exercício.
Página | 10
Gestão de riscos: Elementos e inventários
A Gestão de Riscos é definida como o conjunto de políticas e procedimentos, bem como a tecnologia que
uma organização coloca em prática para reduzir ameaças, vulnerabilidades e outros resultados causados por
ter dados desprotegidos. A OneTrust pode auxiliar os esforços de Gestão de Riscos de TI de nossos clientes,
fornecendo ferramentas eficientes para definir e rastrear os riscos e aplicar medidas de mitigação desses
riscos. Este capítulo se concentra em antecipar os riscos comuns que sua organização pode enfrentar e
preparar a ferramenta para estar pronta para gerenciar esses riscos configurando minuciosamente sua
biblioteca de controles, elementos e inventários.
Visão geral
Elementos
• Um ATIVO é um item de valor para sua empresa.

• Um RISCO é um potencial de perda, dano ou destruição de um ativo como resultado de uma ameaça
que explora uma vulnerabilidade.
• Uma AMEAÇA é qualquer coisa que possa explorar uma vulnerabilidade, seja intencional ou
acidentalmente, e produzir danos ou destruir um ativo.
• VULNERABILIDADES podem ser definidas como fraquezas ou deficiências (gaps) em um programa de
segurança que podem ser exploradas por ameaças para obter acesso não autorizado a um ativo.
• Um CONTROLE pode ser definido como um atributo ou elemento (real ou conceitual) que atua como
um fator atenuante para reduzir o risco.
Página | 11
Exemplo de elementos
Página | 12
Inventários
Página | 13
Melhores Práticas
- Os riscos estão associados aos itens de inventário (ativos, atividades de tratamento,

fornecedores e entidades)
• Se esses inventários não forem atualizados, não poderão ser criadas no sistema
relações de risco/item do inventário
- As avaliações podem ser usadas para automatizar esta tarefa
- Os riscos recebem um nível de risco inerente que determina a gravidade

• baixo, médio, alto, muito alto
- A compreensão e documentação entre as equipes sobre o que constitui estes níveis é
fundamental
- As avaliações podem ser usadas para identificar riscos
- As regras dentro das avaliações podem automatizar este processo para riscos comuns
- Uma vez identificados os riscos, o usuário pode iniciar o planejamento de como mitigar
esses riscos
- A OneTrust dispõe de uma biblioteca de controles que inclui
• Controles personalizados
• Normas/estruturas
- Os controles transitam em outros módulos
Página | 14
Execução
Metodologia de classificação de risco
A OneTrust inclui algumas metodologias de pontuação de risco. O método selecionado deve ser decidido e
compreendido por diferentes equipes. Ao utilizar a matriz de pontuação de risco, vários itens dessa matriz
podem ser configurados para atender às necessidades de sua organização.
Adição de controles
A ferramenta OneTrust fornece aos usuários uma biblioteca de controles com a capacidade de adicionar
controles de diversas normas/estruturas ou a partir do zero para serem associados a itens de inventário como
ativos, atividades de tratamento, fornecedores, entidades e riscos, por eles mesmos. Os controles nesta
biblioteca também se estendem a outros módulos de GRC, como a Gestão de Auditorias.
Crie um ativo e uma atividade de tratamento

Embora existam várias maneiras de adicionar itens de inventário, este exercício utilizará a interface manual. A
ferramenta OneTrust dá a nossos clientes a capacidade não só de adicionar e rastrear itens de inventário, mas
também de relacioná-los para criar uma rede de informações. Os riscos podem então ser aplicados a todos
esses itens de inventário individuais, não importando o tipo.
Prepare-se para os riscos comuns

Uma vez configurados os itens de inventário e determinados os processos de negócios, é necessário revisar
e/ou criar modelos de avaliação. Dentro desses modelos, devem ser feitas identificações de respostas a
perguntas que possam indicar a existência de riscos. Para estas respostas, podem ser estabelecidas regras
para criar automaticamente riscos no sistema com controles pré-atribuídos para uma gestão ágil.
Página | 15
Gestão de riscos: Gestão de avaliações e riscos
Neste módulo, focamos no uso das avaliações de GRC para obter informações sobre nossos itens de
inventário e identificar riscos, bem como mitigar esses riscos através do uso do ciclo de vida do risco.
Visão geral
Uma avaliação de GRC pode ser definida como uma pesquisa que reúne evidências para determinar o
risco. De forma simples, as avaliações de GRC verificam as respostas e fornecem acesso aos dados-chave:
• Este controle está implementado?
• Anexe evidências
• Explique
Exemplo de regulamento
ISO 27001: A norma internacional que descreve as melhores práticas para implementação e manutenção de
um ISMS (sistema de gestão de segurança da informação). Uma avaliação de risco ISO27001 é essencial para
esse processo e é um componente central desta norma. Este tipo de avaliação de risco ajuda as organizações
a:
• Compreender cenários específicos que podem resultar no comprometimento de seus dados
• Avaliar os danos que estes cenários podem causar
• Determinar a probabilidade de ocorrência destes cenários
Página | 16
Ciclo de vida da avaliação e do risco
Melhores práticas
- Para aproveitar ao máximo o ciclo de vida da avaliação, será necessário realizar

determinações:
• Quem tem mais conhecimento sobre este item de inventário?
o Interno ou externo?
• Quem seria a melhor pessoa para identificar os riscos a partir destas respostas?
- Similar ao ciclo de vida da avaliação, o ciclo de vida do risco deve ter as melhores
Página | 17
pessoas possíveis para mitigar o risco até um nível mais baixo.
• Quem é a pessoa mais capacitada para fazer o trabalho do plano de tratamento?
• Quem é a melhor pessoa para aprovar este trabalho?
- Quando os riscos estiverem em um nível mais baixo, eles têm a possibilidade de voltar
devido a mudanças nos processos comerciais ou nos itens de inventário
- Para garantir que os riscos permaneçam neste nível reduzido, os inventários precisam
ser continuamente atualizados de modo a garantir que nenhum risco escape.
Página | 18
Execução
Entrega de avaliações
Uma vez determinados os melhores respondentes, é necessário enviar a estes o modelo do questionário que
criamos anteriormente. Assim que um modelo é enviado a um respondente, ele é chamado de avaliação.
Neste exercício, lançaremos uma avaliação para nós mesmos para que possamos então ver da parte como
respondente como concluir e submeter as respostas a um aprovador.
Gestão de riscos
As respostas de avaliação podem acionar o sistema para criar riscos automaticamente por causa da lógica de
regras incorporadas, o que significa que o próximo passo é remediar o risco.
Configure a regra de automação

Depois de enviar uma avaliação, de obter uma resposta, de identificar e gerenciar um risco, queremos ter
certeza de que continuaremos a monitorar tanto o risco quanto os itens de inventário no futuro. Para isso,
podemos automatizar o envio de avaliações através do uso de vários acionadores. Quando esse acionador
(chamado de Condição) for atingido, o sistema enviará outra avaliação para o respondente especificado e os
processos que praticamos nesta lição continuarão.
Página | 19
Gestão de riscos de terceiros
Embora as relações comerciais com fornecedores terceirizados possam muitas vezes se alinhar com os
objetivos de sua organização, infelizmente também tem o potencial de levar a tipos similares de ameaças,
vulnerabilidades e riscos que discutimos em módulos anteriores. Este módulo cobre uma visão geral,
melhores práticas e etapas práticas na ferramenta OneTrust para ajudar as organizações nos esforços para
gerenciar estes fatores.
Visão geral
Página | 20
Melhores práticas
- Os fluxos de trabalho são importantes para várias etapas de sua relação com um
terceiro
• Integração
• Desligamento
- Cada fluxo de trabalho pode ter etapas específicas, tarefas, regras, notificações e muito
mais
- Especifica os serviços prestados por um fornecedor (ou seja, consultoria,

implementação, suporte e mais)
- Registra o período e os recursos alocados à atividade ou serviço
- Os riscos podem ser associados a compromissos individuais (um nível mais específico
do que o dos fornecedores)
- A aba painel de controle fornecerá informações de alto nível do que está no módulo
- Os relatórios permitem colunas configuráveis, mais detalhadas, que podem ser
exportadas
Página | 21
Execução
Adicione um fornecedor via banco de dados
É possível criar um novo relatório para exibir informações e detalhes sobre sua auditoria. Os relatórios podem
ser criados usando um dos modelos da Galeria de Relatórios que são pré-configurados com campos
específicos do módulo ou criados manualmente usando o modelo “Relatório Personalizado”. Todos os
modelos serão exibidos por padrão, mas podem ser reduzidos com base em sua fonte de dados ou tipo de
relatório selecionado, neste caso, nossa fonte é o módulo Gestão de Auditorias.
Crie um fluxo de trabalho personalizado de fornecedor

Adicione um envolvimento
Crie um relatório
Faça o desligamento de um fornecedor

Página | 22
Gestão de políticas corporativas
O módulo de Gestão de Políticas Corporativas fornece um processo centralizado para a criação e gestão de
políticas, normas e procedimentos de controle interno que são mapeados entre regulamentos externos e
práticas recomendadas. O inventário de políticas é usado para capturar as políticas internas de uma
organização.
As políticas também podem ser vinculadas a controles, relacionadas a um inventário, e o usuário pode
gerenciar todas as políticas de forma centralizada em um único local. As políticas ajudam a gerenciar o fluxo
de trabalho de políticas de ponta a ponta, desde a criação de novas políticas até a retirada de políticas que não
são mais necessárias.
Visão geral
Como funcionam as políticas?

Esclarecem os resultados esperados e o comportamento dos membros de uma organização no contexto
específico dessa organização (os grupos podem incluir funcionários, voluntários e outros membros, como
membros da diretoria, etc.)
Por que precisamos delas?

• Guia de atividades diárias no local de trabalho
• Promover a conformidade com as leis e regulamentos
• Fornecer um ponto de vista estratégico na tomada de decisões
• Auxiliar na simplificação de processos
Página | 23
Fluxo de trabalho de política
Melhores práticas
Três perguntas que devem ser feitas ao determinar as políticas necessárias:

- Esta é uma política que está sendo criada em antecipação à necessidade futura?
- Ou, como alternativa, esta política é criada em resposta a uma necessidade que surgiu?
- Esta política é interna ou externa à nossa organização?
Dois principais casos de uso:

- Lembretes de notificação das próximas datas de vencimento das políticas
- Alertas de políticas que estão em uma etapa de revisão por um tempo inesperadamente
longo
Página | 24
Execução
Adicione uma política
As políticas podem ser criadas na OneTrust através de vários métodos, incluindo o carregamento via modelo,
construído a partir do zero ou editando um modelo pré-construído dentro da ferramenta. Essas políticas
podem então ser editadas, revisadas, reportadas e vinculadas a controles para definir processos de diferentes
tipos que sua organização pratica para manter os protocolos de GRC em primeiro plano.
Adicione controles a uma política

Uma vez criadas as políticas, elas podem ser vinculadas a controles para garantir a implementação adequada e
a eficácia contínua. Esses controles podem ser de uma norma/estrutura ou que foram configurados
manualmente na biblioteca de controles (como foi demonstrado no módulo de Gestão de Riscos).
Relacione um fornecedor
As políticas podem se estender além dos limites da organização e considerar as relações com os
fornecedores. Similar a como os riscos podem ser vinculados aos itens do inventário, ou mesmo como os
controles podem ser vinculados às políticas, as políticas podem ser vinculadas com os fornecedores que
foram adicionados ao inventário do fornecedor.
Crie uma regra de automação

Como mostra o fluxo de trabalho na visão geral, as políticas eventualmente chegam ao fim. Isto pode ser
devido ao fim de um processo ou porque é hora de rever e atualizar as informações. Não importa o motivo,
uma regra pode ser criada no sistema que lembrará automaticamente os usuários especificados quando uma
política estiver prestes a expirar e é configurada de forma semelhante a como criamos riscos a serem criados
automaticamente através de avaliações.
Gestão de incidentes
Quando ocorrem incidentes, é melhor ter os meios para responder e mitigar os mesmos. Este módulo inclui
uma visão geral do módulo, melhores práticas e etapas práticas dentro da ferramenta para ajudar as
organizações a gerenciar o registro de incidentes, notificação, tratamento, assim como associações úteis para
a mitigação.
Página | 25
Visão geral
- As organizações devem demonstrar a responsabilidade de garantir a implementação de medidas

de segurança adequadas de acordo com determinados regulamentos/iniciativas
- As autoridades devem ser informadas no prazo máximo de 72 horas após a organização tomar
conhecimento da violação
- As consequências de falhas contratuais ou prazos não cumpridos podem incluir investigação
regulatória e penalidades financeiras consideráveis
- As organizações devem adotar medidas de segurança, técnicas e administrativas

capazes de proteger os dados pessoais contra o acesso não autorizado.
- O controlador deve entrar em contato com a autoridade de controle e o titular dos dados
- A ANPD deve ser contatada em até 2 dias úteis após a organização tomar conhecimento
da violação
Exemplo de método: Plano de resposta em caso de violação
Um plano de resposta em caso de violação fornece diretrizes a serem seguidas pelas organizações cada vez
que uma violação é descoberta. Trata-se do emprego de registros específicos do incidente, atribuições de
indivíduos diretamente responsáveis, além do uso de fluxos de trabalho de processo para uso na resposta a
Página | 26
um incidente.
Melhores práticas
- Os formulários web que podem ser criados dentro da OneTrust podem criar incidentes
diretamente no registro de incidentes
- Caso informações adicionais sejam necessárias após o formulário web, as avaliações
podem ser usadas para atualizar o incidente
- Centraliza a comunicação
- Monitora a responsabilidade
- Melhora nos tempos de resposta
Execução
Registre um incidente
O registro de incidentes pode ser utilizado como um repositório para documentar detalhes de incidentes,
progressão de etapas, avaliações, subtarefas e muito mais para promover a responsabilidade e a tomada de
decisões. Os usuários podem designar responsáveis, estabelecer prazos e programar lembretes para garantir
que os prazos de gestão de incidentes sejam cumpridos. Os incidentes podem ser comunicados neste
registro centralizado de forma manual ou pelo uso de um formulário web.
Crie um fluxo de trabalho de incidente

Os fluxos de trabalho de incidentes são uma série de etapas configuráveis que ajudam as organizações a
gerenciar incidentes com notificações baseadas em regras, tarefas, anexos, um portal de comunicação
centralizado e muito mais com a capacidade de atribuir responsáveis específicos aos principais itens. Todas
estas ferramentas permitem às equipes mitigar adequadamente os incidentes e os riscos associados em
tempo hábil. As organizações podem criar múltiplos fluxos de trabalho para atender aos diversos incidentes
que podem ocorrer.
Página | 27
Crie um novo atributo e o vincule a um novo formulário web

O gerenciador de atributos permite aos usuários criar e visualizar atributos (tanto ativos quanto inativos) e criar
novos atributos personalizados. Os atributos ativos podem ser adicionados às avaliações para coletar mais
informações sobre os incidentes. Os usuários também podem agrupar atributos semelhantes para
aparecerem durante a criação do incidente na tela de detalhes.
Os formulários web podem ser construídos dentro da plataforma OneTrust e utilizados por usuários externos
através de um link ou de um site, caso tenha sido incorporado, para submeter incidentes diretamente ao
registro de incidentes.
Vincule o incidente a um risco

Os usuários podem facilmente visualizar e gerenciar todos os riscos associados a um incidente, vinculando os
dois no registro de risco.
Gestão de auditorias
O módulo Gestão de Auditorias da OneTrust permite uma abordagem baseada em risco aos esforços de
auditoria de GRC de uma organização para reconhecer o escopo das práticas de negócio, seu impacto e onde
as medidas propostas para melhoria podem ser efetivamente implementadas.
Visão geral
O módulo Gestão de Auditorias automatiza os fluxos de trabalho das equipes de auditoria, otimizando
recursos e produtividade. Trata-se de uma avaliação dos métodos e políticas de gestão de uma organização na
administração e no uso de recursos, planejamento tático e estratégico, além de aprimoramento dos
funcionários e da organização.
Objetivo
• Simplificar e organizar o fluxo de trabalho e o processo de colaboração de compilação de auditorias.
• Assegurar que as diretrizes de auditoria aprovadas pela diretoria sejam implementadas
Página | 28
Melhores práticas
- Decida quais riscos estão sendo rastreados ou qual a norma ou estrutura deve xser
utilizada.
- Planeje seu documento de trabalho, que é o documento que registra durante o curso de
uma auditoria as evidências de auditoria obtidas durante vários tipos de auditoria,
incluindo auditoria de demonstrações financeiras, auditoria de gestão interna, auditoria
de sistemas de informação e investigações.
- Atribua um auditor. Esta função deve ser independente da administração de uma
organização para que a auditoria seja imparcial.
Estes três aspectos dos controles devem ser testados:

- As implementações dos controles em relação aos quais auditará
- O design e a eficácia dos controles
- O registro de sua atividade
- Depois que o auditor tiver concluído seu trabalho, os resultados devem ser
consolidados. Após a coleta de todas as evidências, elas devem ser analisadas em
detalhes para identificar quaisquer conclusões de auditoria.
- Esta revisão é feita com base no entendimento histórico do processo, nas evidências
históricas obtidas e no julgamento profissional do auditor sobre a adequação das
evidências fornecidas.
Com base nos resultados do auditor, a gerência precisará recomendar controles compensatórios ou
complementares para lidar com os riscos identificados na auditoria. Qual é o efeito desses controles
sobre os riscos identificados e eles reduzem o risco residual a um nível aceitável? Finalmente, qual é
a frequência de nossas auditorias (quando avaliaremos novamente os resultados)?
Página | 29
Execução
Adicione uma nova auditoria
Novas auditorias podem ser criadas na ferramenta de Gestão de Auditorias, inserindo o seguinte:
- Nome da auditoria
- Norma/estrutura
- Organização
- Auditores e aprovadores
- Escopo
Após a criação, os detalhes e o escopo podem ser adicionados e atualizados, anexos podem ser carregados,
tarefas podem ser concluídas, documentos de trabalho podem ser criados e os resultados podem ser
documentados.
Adicione um novo atributo e conclua um documento de trabalho

Os documentos de trabalho fornecem aos auditores um local centralizado para documentar e gerenciar tanto o
trabalho quanto os resultados, fornecendo acesso às evidências existentes, avaliações e implementações de
controle. Os atributos predefinidos e/ou personalizados nos documentos de trabalho criam flexibilidade e
alinhamento com as necessidades de uma organização.
Faça a remediação de um resultado

Um resultado é uma questão de conformidade e/ou deficiência (gap) identificada que um auditor que está
documentado em um documento de trabalho e que tem seu próprio fluxo de trabalho de gestão. As ações
podem ser documentadas para cada resultado para fins de remediação em um plano de ação.
Crie um relatório de auditoria

Os relatórios de auditoria podem exibir detalhes sobre todas as auditorias no sistema. Os relatórios podem ser
criados usando um modelo pré-configurado com a Gestão de Auditorias como a fonte de dados ou
manualmente através de uma opção de relatório personalizado.
Página | 30
Glossário
A
Ameaça - Qualquer coisa que possa explorar uma vulnerabilidade, seja intencional ou acidentalmente, e
produzir danos ou destruir um ativo.
Atividade de tratamento - Uma atividade onde os dados são manipulados, armazenados ou movidos.
Ativo - Qualquer coisa que possa armazenar ou tratar dados pessoais. Isto pode incluir um aplicativo, site,
banco de dados ou mesmo armazenamento físico. No GRC, isto também pode ser definido como um item de
valor para uma empresa.
Auditoria – Uma inspeção oficial e revisão independente de informações dentro de uma organização realizada
com o objetivo de expressar uma opinião a respeito.
Avaliação – Uma lista de perguntas designadas a um respondente dentro da ferramenta OneTrust que requer
uma resposta do(s) respondente(s) e posterior aprovação pelo(s) aprovador(es) designado(s).
B
Banco de dados Vendorpedia – Uma biblioteca de fornecedores dentro da ferramenta OneTrust que contém
perfis detalhados de segurança e privacidade de milhares de fornecedores em todo o mundo. Cada perfil
fornece amplas informações sobre os detalhes do fornecedor, serviços e certificados relacionados.
Biblioteca de controles - Inclui controles de estruturas reconhecidas e controles personalizados que sua
organização pode usar para avaliar e descrever os requisitos de segurança e privacidade que possui dentro do
aplicativo OneTrust.
C
Cloud Security Alliance (Aliança de Segurança em Nuvem - CSA) - Uma organização do setor dedicada a ajudar
a "garantir um ambiente seguro de computação em nuvem" - fundada em 2009
Conformidade - O ato de garantir que sua empresa e seus funcionários sigam as leis, regulamentos, normas e
práticas éticas que se aplicam à sua organização.
Controlador (ou responsável pelo tratamento) - A entidade que determina as finalidades, condições e meios do
tratamento de dados pessoais.
Controles – São salvaguardas ou contramedidas para evitar, detectar, neutralizar ou minimizar os riscos de
segurança à propriedade física, informações, sistemas informáticos ou outros ativos.
CSA Cloud Controls Matrix (Matriz de Controles em Nuvem - CCM) - Uma estrutura de controle de
cibersegurança para computação em nuvem, composta de 133 objetivos de controle que são estruturados em
16 domínios que cobrem todos os principais aspectos da tecnologia em nuvem
D
Dados criptografados - Dados pessoais que são protegidos através de medidas tecnológicas para garantir que
os dados só sejam acessíveis/legíveis por aqueles com acesso especificado.
Página | 31
Documento de trabalho – Os documentos de trabalho fornecem aos auditores um local central para gerenciar
o trabalho de auditoria para controle de conformidade. Os auditores podem acessar as evidências existentes,
avaliações e implementações de controle para formar sua visão sobre a eficácia de um controle.
E
Elemento de dados - Peças de informações coletadas que, juntas, constroem uma visão completa dos dados.
Entidade – Uma unidade de negócios registrada que está envolvida e é responsável pelo tratamento de dados.
F
Fed RAMP – Programa Federal de Gestão de Risco e Autorização (Federal Risk & Authorization Management
Program) - Um programa governamental que fornece uma abordagem padronizada para avaliação de
segurança, autorização e monitoramento contínuo para produtos e serviços em nuvem. Os órgãos de governo
da Fed Ramp incluem: JAB, OMB, Conselho CIO, FedRAMP PIO, DHS, e NIST.
Fornecedor – Um provedor de serviços terceirizado.
G
Gestão de riscos de TI - O conjunto de políticas, procedimentos, bem como a tecnologia que uma organização
coloca em prática para reduzir ameaças, vulnerabilidades e outros resultados causados por ter dados
desprotegidos.
Governança - A forma como as regras, normas e ações são estruturadas, sustentadas, regulamentadas e
responsabilizadas.
I
ISO 27001 - Organização Internacional para Padronização (ISO) 27001 - Formalmente conhecido como ISO/IEC
27001:2005. É uma especificação para um sistema de gestão de segurança da informação (ISMS). Emitido e
mantido pela Organização Internacional para Padronização.
ISO 29001 – Organização Internacional para Padronização (ISO) 29001 - A ISO 29001 define o sistema de
gestão de qualidade para organizações de fornecimento de produtos e serviços para as indústrias de petróleo,
petroquímica e gás natural.
M
Modelo – Uma lista de perguntas previamente preenchidas na ferramenta OneTrust que podem ser criadas ou
modificadas e atribuídas a alguém como uma avaliação.
N
NIST 800-171 - O Instituto Nacional de Normas e Tecnologia (National Institute of Standards and Technology,
NIST em inglês) - A Publicação Especial NIST 800-171 governa a Informação Não Classificada Controlada
(Controlled Unclassified Information - CUI) em sistemas e organizações de informação não federais.
Normas/estruturas de segurança - Uma série de processos documentados que são usados para definir
políticas e procedimentos em torno da implementação e gestão contínua dos controles de segurança da
Página | 32
informação em um ambiente empresarial.
P
Plano de resposta em caso de violação - fornece as diretrizes a serem seguidas pelas organizações cada vez
que uma violação é descoberta. Trata-se do emprego de registros específicos do incidente, atribuições de
indivíduos diretamente responsáveis, além do uso de fluxos de trabalho de processo para uso na resposta a
um incidente.
Política – Esclarece os resultados esperados e o comportamento dos membros de uma organização no
contexto específico dessa organização (os grupos podem incluir funcionários, voluntários e outros membros,
como membros da diretoria, etc.).
R
Registro de riscos – Uma lista central que inclui todos os riscos criados dentro de uma variedade de seções da
ferramenta OneTrust.
Regulamento Geral sobre Proteção de Dados (sigla GDPR em inglês) - Um regulamento sobre proteção de
dados e privacidade para todos os residentes do Espaço Econômico Europeu. Aprovado em 2016, em vigor
em 2018.
Resultado – Um problema e/ou uma deficiência de conformidade identificada por um auditor através de um
documento de trabalho de auditoria.
Risco - É definido como a possibilidade ou chance de perda, efeitos adversos, perigo ou lesão.
T
Titular dos dados – Uma pessoa física cujos dados pessoais são tratados por um controlador ou operador.
V
Vulnerabilidade – Definidas como fraquezas ou deficiências (gaps) em um programa de segurança que podem
ser exploradas por ameaças para obter acesso não autorizado a um ativo.
Página | 33
Exercícios detalhados - Etapas
Usuários e funções
Crie um novo usuário
Passo 1: Clique no ícone de engrenagem " Configurações Gerais " no canto superior direito da tela
Passo 2: Clique na guia "Usuários" na parte esquerda da tela
Passo 3: Clique no botão azul "Adicionar usuário" na parte superior direita da tela
Passo 4: Adicione um nome e sobrenome (use um personagem fictício ou o seu próprio nome)
Passo 5: Adicione seu próprio endereço de e-mail
Passo 6: Clique no botão azul "Seguinte" na parte inferior direita da tela
Passo 7: Clique no botão azul “Adicionar função" no centro da tela
Passo 8: Clique no campo "Função" e selecione "Gestor de avaliações".
Passo 9: No campo “Organização”, selecione OneTrust e clique no botão branco "Salvar e adicionar novo".
Passo 10: Volte ao campo “Função”, selecione "Auditor" e clique no botão branco "Salvar e adicionar novo".
Passo 11: Volte ao campo “Função”, selecione "Gestor de políticas corporativas" e clique no botão branco
"Salvar e adicionar novo".
Passo 12: Volte ao campo “Função”, selecione "Gestor de incidentes" e clique no botão branco "Salvar e
adicionar novo".
Passo 13: Volte ao campo “Função”, selecione "Gestor de riscos de TI" e clique no botão branco "Salvar e
adicionar novo".
Passo 14: Volte ao campo “Função”, selecione "Gestor de fornecedores" e desta vez clique no botão azul
"Adicionar" no canto inferior direito da tela.
Passo 15: Clique no botão azul "Criar" no canto inferior direito da tela
Gestão de riscos: Elementos e inventários

Exercício 1 - Metodologia de pontuação de risco
Passo 1: Clique no botão "Iniciar" (ícone de grade) na parte superior esquerda da tela
Passo 2: Clique no módulo de Gestão de Riscos
Passo 3: Clique na guia "Definições" no menu à esquerda
Passo 4: Clique no menu suspenso “Metodologia de pontuação” e selecione “Matriz” ou “Padrão”
Nota: Se escolher “Padrão”, os próximos passos não são obrigatórios
Passo 5: Se escolher “Matriz”, clique nos botões verdes “+” para adicionar uma nova coluna e linha - nomeie
os dois como "Urgente".
Passo 6: Altere o último quadrado do campo superior direito para 9 ao invés de 8.
Passo 7: Desça até a barra “Intervalos dos níveis de risco” e depois arraste o marcador amarelo para 4, o
marcador rosa para 6 e o marcador vermelho para 8.
Passo 8: Clique no botão azul "Salvar" na parte inferior direita da tela e clique novamente em "Salvar" na janela
que aparece.
Exercício 2 - Como adicionar controles

Parte 1
Passo 1: Clique no botão "Iniciar" na parte superior esquerda da tela
Página | 34
Passo 2: Clique no módulo de Gestão de Riscos
Passo 3: Clique na guia "Bibliotecas" no lado esquerdo da tela para expandir essa seção
Passo 4: Clique na guia "Biblioteca de controles".
Passo 5: Clique no botão azul "Adicionar" na parte superior direita da tela
Passo 6: No campo “ID de controle”, escreva “A.9 4.3 (2)”
Passo 7: No campo “Nome”, escreva “Sistema de gestão de senhas”
Passo 8: No campo “Status”, selecione “Ativo”
Passo 9: No campo “Norma/estrutura legislativa” selecione “ISO/IEC 27001:2013 (27002)” a partir da lista
Passo 10: Clique no botão azul "Salvar" no canto inferior direito do menu
Parte 2
Passo 1: Clique no botão branco "Adicionar norma/estrutura" na parte superior direita da tela
Passo 2: Escreva "NIST" na barra de busca na parte superior direita da tela e pressione enter
Passo 3: Clique em “NIST Cybersecurity Framework (CSF) Core v1.1”
Passo 4: Clique no botão azul "Adicionar" no canto inferior direito do menu
Exercício 3 - Preencha inventários de ativos e atividades de tratamento

Parte 1
Passo 1: Clique na guia "Ativos" no lado esquerdo da tela sob a seção "Inventário".
Passo 3: No campo “Nome”, escreva "Banco de dados da folha de pagamento".
Passo 4: No campo “Organização gerenciadora”, selecione “OneTrust”
Passo 5: No campo “Local de hospedagem”, selecione o país de sua preferência
Passo 6: No campo “Tipo”, selecione “Banco de dados” a partir da lista
Parte 2
Passo 1: Clique na guia "Atividades de tratamento" no lado esquerdo da tela sob a seção "Inventário".
Passo 3: No campo “Nome”, escreva "Cálculo mensal de remuneração"
Parte 3
Passo 1: Clique na guia "Relacionado" perto do topo da recém-criada atividade de tratamento na parte 2
Passo 2: Vá até a seção "Ativos relacionados" e clique em "Adicionar ativo relacionado".
Passo 3: Clique no campo “Escolher um ativo” e selecione o ativo que criou na parte 1
Passo 4: Selecione a opção “Relacionado” sob a seção “De que modo o ativo está relacionado com este
item?”
Passo 5: Clique no botão azul “Adicionar item relacionado”
Exercício 4: Prepare-se para os riscos comuns

Parte 1
Passo 1: Expanda a seção "Configuração" no menu à esquerda
Passo 2: Clique na guia "Modelos”
Passo 3: Clique no botão “Ver” em “Modelos de gestão de riscos de TI”
Passo 4: Clique no botão azul "Escolher a partir da galeria" no canto superior direito
Passo 5: Mude o idioma das avaliações para Inglês (english)
Passo 6: Digite "asset" na barra de busca na parte superior
Passo 7: Passe o mouse sobre o "Asset Discovery Questionnaire - 2.4" e clique no botão azul "Visualizar”
Página | 35
Passo 8: Clique em "Escolher este modelo" no canto inferior direito
Passo 9: Adicione suas iniciais no início do nome ("XXX - Questionário de descoberta de ativos - 2.4")
Passo 10: Clique em "Criar modelo" no canto inferior direito
Parte 2
Passo 1: Clique na seta à direita da primeira seção (Informações do ativo) para ver todas as perguntas contidas
na mesma.
Passo 2: Arraste a caixa do tipo de pergunta "Sim/Não" da esquerda e solte-a entre as perguntas 1.1 e 1.2
(certifique-se de soltá-la na caixa azul que aparece com a mensagem "Solte a pergunta aqui")
Passo 3: No campo "Questão", digite "O acesso a este ativo é restrito somente a indivíduos que necessitam de
acesso?"
Passo 4: Clique no botão azul "Salvar" no canto inferior direito
Parte 3
Passo 1: Clique na guia "Regras" perto do topo da tela e clique no botão "Adicionar regra".
Passo 2: Nomeie a regra "Nenhum controle de acesso".
Passo 3: Preencha o campo “Acionador” com “Questão”
Passo 4: Preencha o novo campo "Questão" com a pergunta do tipo “Sim/Não” que acabou de criar
Passo 5: Preencha o campo "Operador" com "Igual a"
Passo 6: Preencha o campo "Resposta" com "Não"
Passo 7: No campo "Selecione uma ação", escolha "Criar risco".
Passo 8: Clique na opção "Criar novo risco".
Passo 9: Dê ao risco um nível de risco inerente e descrição ("O acesso ao ativo não está limitado apenas
àqueles que requerem acesso").
Passo 10: Clique no botão "Adicionar controle de risco" próximo ao rodapé e selecione "ISO/IEC 27001:2013
(27002)" à esquerda
Passo 11: Selecione a caixa com "A.9: Controle de acesso” e “A9.1.1: Política de controle de acesso" e clique
em "Adicionar"
Passo 12: Clique em "Salvar" no canto inferior direito
Passo 13: Clique em "Publicar" no canto superior direito
Passo 14: Clique em “Confirmar”
Gestão de riscos: Gestão de avaliações e riscos

Exercício 1 - Como lançar e concluir uma avaliação
Parte 1
Passo 1: Clique na guia "Ativo" sob a seção "Avaliações" no menu à esquerda
Passo 2: Clique no botão azul "Lançar avaliação" na parte superior direita da tela
Passo 3: Selecione o modelo que publicou anteriormente
Passo 4: No campo “Nome”, digite “Revisão obrigatória do banco de dados da folha de pagamento”
Passo 5: No campo “Organização”, selecione “OneTrust”
Passo 6: Para o tipo de registro primário, selecione "Ativos".
Passo 7: Para o registro primário, selecione o ativo que criou (Banco de dados da folha de pagamento) a partir
da lista
Passo 8: Selecione você mesmo (Admin####) tanto como respondente quanto como aprovador
Passo 9: Clique no botão azul "Iniciar” no canto inferior direito da tela
Parte 2
Passo 1: Clique na seção "Informações do ativo" à esquerda
Página | 36
Passo 2: Responda a pergunta que criou com "Não".
Passo 3: Responda mais algumas perguntas (a pergunta principal que requer uma resposta é aquela que você
criou)
Passo 4: Clique no botão azul "Enviar" no canto inferior direito
Passo 5: Clique no botão azul “Confirmar”
Exercício 2 - Como gerenciar riscos

Passo 1: Clique na guia "Registro dos riscos" no menu à esquerda
Passo 2: Clique na descrição do risco que foi criado ao submeter a avaliação
Passo 3: Avance seu risco para a fase "Tratamento" clicando em "Avançar".
Passo 4: Insira um responsável pelo risco (Atribua a mim) e um plano de tratamento de sua escolha (Ex: Criar
e atribuir uma política de controle de acesso a este ativo)
Passo 5: Clique no botão “Salvar e avançar”
Passo 6: Na parte superior direita da tela, clique no botão branco "Solicitar exceção".
Passo 7: Para comentários, digite "O acesso a este banco de dados está aberto a todos, mas dentro do ativo
há áreas restritas para selecionar funcionários".
Passo 8: Clique no botão azul “Enviar”
Passo 9: Clique no botão azul "Conceder exceção" no canto superior direito do menu da tela.
Passo 10: No campo “Resultado”, selecione “Reduzido” ou um resultado de sua preferência
Passo 11: Altere o “Nível de risco residual” para uma pontuação mais baixa
Exercício 3 - Configure as regras de automação

Parte 1
Passo 1: Clique na guia "Regras de automação" dentro da seção "Configuração" no menu à esquerda
Passo 2: Clique no botão azul "Adicionar grupo de regras" na parte superior direita da tela
Passo 3: No campo “Nome do grupo de regras”, digite “Grupo de regras de ativos”
Parte 2
Passo 1: Clique no botão azul "Adicionar regra" no centro da tela
Passo 2: No campo “Selecione um tipo de regra”, selecione “Ativo”
Passo 3: Clique no botão azul “Continuar”
Passo 4: No campo “Nome da regra”, digite “Regra de revisão de ativos”
Passo 5: No campo “Frequência de execução” no menu suspenso selecione "Mensal".
Passo 6: No menu suspenso do acionador, selecione “Data de conclusão da avaliação - por modelo”
Passo 7: No menu suspenso do operador, selecione “Igual a”
Passo 8: Para número, digite 180 (6 meses = 180 dias)
Passo 9: No campo “Nome do modelo”, clique no nome do modelo que escolheu anteriormente
Passo 10: No menu suspenso de “Ações”, selecione “Enviar avaliação do ativo”
Passo 11: Clique no campo "Nome do modelo" e selecione o modelo que criou anteriormente
Passo 12: Clique no botão azul "Salvar" no canto inferior direito da tela.
Página | 37
Gestão de riscos de terceiros
Exercício 1 - Preencha o inventário de fornecedores
Passo 1: Clique no botão Iniciar (ícone de grade) no canto superior esquerdo
Passo 2: Clique no módulo “Banco de dados de riscos de terceiros”
Passo 3: Clique na guia "Banco de dados" no menu à esquerda
Passo 4: Clique no logotipo da OneTrust
Passo 5: Revise as informações da empresa
Passo 6: Clique no botão branco "Adicionar" na parte superior direita da tela e depois clique em "Confirmar".
Passo 7: Clique no botão Iniciar (ícone de grade) no canto superior esquerdo
Passo 8: Selecione o módulo “Gestão de riscos de terceiros”
Passo 9: Clique em "Fornecedores" sob "Inventário" no menu à esquerda
Passo 10: Clique no nome do fornecedor que acabou de adicionar (OneTrust)
Passo 11: Revise a correspondência entre os dados do inventário e o que estava no banco de dados
Exercício 2 - Fluxo de trabalho de integração

Passo 1: Selecione a aba "Fluxos de trabalho" na seção "Configuração" no menu à esquerda
Passo 2: Selecione “Ver” sob o mosaico “Fluxos de trabalho e regras de roteamento para fornecedores”
Passo 3: Selecione o fluxo de trabalho “Integração padrão”
Passo 4: Clone o fluxo de trabalho, clicando no botão azul "Clonar" no canto superior direito
Passo 5: Nomeie seu fluxo de trabalho como “XX: Integração padrão”
Passo 6: Em seguida clique no botão azul “Clonar”
Passo 7: Selecione o novo fluxo de trabalho que criou sob a lista de fluxos de trabalho
Passo 8: Selecione a etapa “Sob avaliação”
Passo 9: Clique na guia “Regras de fluxo de trabalho”
Passo 10: Clique no botão branco “Adicionar” sob “Acionadores de eventos”
Passo 11: Para o campo “Nome do acionador”, digite “pular para Em Revisão”
Passo 12: Para o campo “Tipo de acionador”, selecione “Avaliação enviada”
Passo 13: Clique no botão azul “Salvar”
Passo 14: No meio, selecione o botão azul "Adicionar Regra”
Passo 15: No campo “Nome da regra” digite “Regra da etapa de avaliação concluída”
Passo 16: Em “Condições”, defina o acionador para “Etapa de avaliação - Por modelo”
Passo 17: Selecione “Concluído” no menu suspenso “Etapa da avaliação”
Passo 18: Na seção “E” selecione o modelo “Questionário do Programa de Privacidade e Segurança do
Fornecedor (Vendor Privacy & Security Program Questionnaire - VRM)
Passo 19: Sob “Ações” selecione a etapa “Em revisão”
Passo 20: Em seguida clique no botão azul “Salvar”
Passo 21: Selecione o botão azul "Publicar" na parte superior e depois novamente na nova janela que é exibida
Exercício 3 - Criar um envolvimento

Passo 1: Selecione "Envolvimentos" no lado esquerdo da tela
Passo 2: Clique no botão azul “Adicionar envolvimento”
Passo 3: No campo “Nome do envolvimento”, digite “Governança, risco e conformidade”
Passo 5: No campo “Tipo”, selecione “Envolvimento do fornecedor”
Passo 6: No campo “Fornecedor”, selecione “OneTrust”
Passo 7: No campo “Serviços” adicione “Governança”, “Risco e “Conformidade”
Página | 38
Passo 8: No campo “Responsável interno”, selecione você mesmo (Admin####)
Passo 9: No campo “Contato externo”, adicione um e-mail que você possui acesso
Passo 10: No campo “Notas”, digite “Software para apoiar os esforços de GRC de nossa organização”
Passo 11: Selecione o botão azul "Adicionar" no canto inferior direito
Exercício 4 - Como criar um relatório

Passo 2: Vá até a parte inferior da seção "Aplicativos gerais" e selecione "Relatórios".
Passo 3: Selecione o botão azul "Criar Novo" na parte superior direita da tela
Passo 4: Na coluna “Fonte de dados” à esquerda, selecione “Gestão de riscos de terceiros”
Passo 5: Selecione o relatório “Análise básica do fornecedor”
Passo 6: Clique no botão azul "Seguinte" na parte inferior direita da tela
Passo 7: No campo “Nome do relatório”, digite “XX - Relatório de fornecedor” (onde XX devem ser suas
iniciais))
Passo 8: Clique no botão azul "Criar" na parte inferior direita da tela
Passo 9: Selecione o ícone de funil na parte superior direita da grade
Passo 10: Clique no botão azul “Adicionar filtro”
Passo 11: Em “Campo”, selecione “Classificação”
Passo 12: Selecione “Ativo” para o valor
Passo 13: Em seguida clique no botão azul “Salvar”
Passo 14: Clique no botão azul “Aplicar”
Passo 15: Clique no ícone de colunas (à esquerda do funil)
Passo 16: Pesquise por “Nível de risco” em “Campos disponíveis” à esquerda
Passo 17: Selecione o botão “>” para movê-lo para a seção "Campos visíveis" à direita
Passo 18: Mova a posição de "Nível de Risco" algumas posições acima, usando o botão "^" à direita
Passo 19: Clique no botão azul "Aplicar" no canto inferior direito do menu
Passo 20: Clique no botão branco "Salvar" na parte superior direita da tela
Passo 21: Clique no botão azul "Exportar" na parte superior direita da tela
Passo 22: Selecione se deseja o relatório como um arquivo Excel ou CSV
Nota: O botão Notificações no canto superior direito (botão de sino com um número em vermelho), irá
notificá-lo quando puder baixar o relatório)
Exercício 5 – Como desligar um fornecedor

Parte 1
Passo 1: Clique no botão Iniciar (ícone de grade) na parte superior esquerda e vá para o módulo "Gestão de
riscos de terceiros".
Passo 2: Clique na guia "Fluxos de trabalho" sob a seção "Configuração" no menu à esquerda
Passo 3: Clique no botão azul “Ver” no mosaico “Fluxos de trabalho e regras de roteamento para
fornecedores”
Passo 4: Clique no nome do fluxo de trabalho "Processo de desligamento padrão".
Passo 5: Clique no botão azul "Clonar" na parte superior direita da tela
Passo 6: Para o nome do fluxo de trabalho, digite "Desligamento de alto risco"
Passo 7: Clique no botão azul "Clonar" no canto inferior direito do menu
Parte 2
Passo 1: Clique no fluxo de trabalho “Desligamento de alto risco”
Passo 2: Na parte superior da tela, clique no botão "+" entre "Em Revisão" e "Auditoria"
Passo 3: No campo “Título da etapa”, digite “Verificação de limpeza de dados”
Página | 39
Passo 5: Clique na guia “Regras da etapa” no centro superior da tela
Passo 7: No campo “Nome da regra”, digite “Limpeza de dados”
Passo 8: No menu suspenso da seção “Ações”, selecione “Criar tarefa”
Passo 9: No campo “Nome”, digite “Verificar se todos os dados essenciais foram removidos do fornecedor e
se o backup foi feito em um armazenamento seguro”
Passo 10: Selecione um responsável
Passo 12: Clique no botão azul "Publicar" na parte superior direita da tela
Passo 13: Clique em "Publicar" no centro da tela
Gestão de políticas corporativas

Exercício 1 - Adicione uma política
Passo 2: Clique no módulo “Gestão de políticas corporativas”
Passo 3: Clique na guia "Políticas" no lado esquerdo da tela
Passo 4: Clique no botão azul "Criar Política" na parte superior direita da tela
Passo 5: Selecione a opção "Escolher a partir da galeria" e clique no botão azul "Seguinte"
Passo 6: Na barra de pesquisa, digite "Database” (banco de dados)
Passo 7: Passe o mouse sobre o mosaico "SANS Database Credentials Coding Policy" (Política de codificação
de credenciais do banco de dados SANS) e clique no botão "Visualizar"
Passo 8: Percorra o conteúdo e clique no botão azul "Escolher a política" no canto inferior direito.
Passo 9: No campo “Nome da política”, digite “Política de credenciais do banco de dados”
Passo 11: Selecione o aprovador e o responsáveis pela política
Passo 12: Clique no botão azul "Criar" no canto inferior direito do menu
Exercício 2 - Adicione controles para aplicar uma política

Passo 1: Clique na guia "Políticas" no menu à esquerda
Passo 2: Clique na política que criou
Passo 3: Clique na guia “Controles”
Passo 4: Clique no botão azul "Adicionar controle” no centro da tela
Passo 5: Em “Norma/estrutura legislativa”, selecione “ISO/IEC 27001:2013 (27002)” no lado esquerdo do
menu
Passo 6: Na barra de pesquisa no canto superior direito, digite "A9".
Passo 7: Selecione a caixa "A9.1.1 Política de controle de acesso"
Passo 8: Desça e selecione a caixa para "A9.2 Gestão de acesso do usuário".
Passo 9: Na barra de pesquisa no canto superior direito, digite A.9
Passo 10: Selecione a caixa "A.9 Controle de acesso"
Exercício 3 - Relacione fornecedores à política

Passo 1: Clique na guia "Políticas" no menu à esquerda
Passo 2: Selecione a política que criou
Página | 40
Passo 3: Clique na guia “Relacionado” desta política
Passo 4: Desça e clique no botão “Adicionar fornecedor relacionado”
Passo 5: Clique no campo “Selecione fornecedor” e escolha um fornecedor
Passo 6: Clique no botão azul “Adicionar item relacionado”
Exercício 4 - Automatize lembretes para políticas prestes a vencer

Passo 1: No menu à esquerda, selecione "Regras de automação" na seção "Configuração”
Passo 2: Clique no botão azul “Adicionar grupo de regras” no canto superior direito
Passo 3: No campo “Nome do grupo de regras”, digite “Regras de política”
Passo 4: Selecione “OneTrust” como a organização
Passo 5: Clique no botão azul “Adicionar”
Passo 6: Clique no botão azul “Adicionar regra”
Passo 7: Selecione “Política” no menu suspenso “Selecione um tipo de regra”
Passo 8: Clique no botão azul “Continuar”
Passo 9: No campo “Nome da regra”, digite “Regra para políticas prestes a vencer”
Passo 10: Selecione "Diário" como a frequência, clique na seta preta à direita, depois selecione um horário de
sua escolha
Passo 11: Na seção condições, selecione o acionador “Atributo”
Passo 12: Selecione “Data de vencimento da política” para o “atributo selecionado”
Passo 13: Selecione “Igual a” no campo “Operador”
Passo 14: Adicione “7” para o campo “Número”
Passo 15: Mantenha a opção “dias antes”
Passo 16: Na seção ações, selecione “Enviar e-mail de lembrete de aprovação”
Gestão de incidentes
Exercício 1 - Registre um incidente
Passo 1: Clique no botão “Iniciar”” (ícone de grade), no canto superior esquerdo e selecione "Gestão de
incidentes".
Passo 2: Clique na guia "Registro dos Incidentes" no menu à esquerda
Passo 4: No campo “Tipo de incidente”, selecione “Conta de usuário comprometida”
Passo 6: No campo “Nome do incidente”, digite “Dados via acesso não autorizado”
Passo 7: No campo “Descrição”, digite uma informação de sua escolha
Passo 8: Escolha qualquer data no passado para o campo “Data de ocorrência”
Passo 9: Escolha qualquer data entre a data de ocorrência e a data/hora atual da descoberta para o campo
seguinte
Passo 10: Digite uma causa principal (causa raiz) de sua escolha
Exercício 2 - Crie um fluxo de trabalho

Parte 1
Passo 1: Clique na guia "Fluxos de trabalho e regras" sob a seção "Configuração" no menu à esquerda
Página | 41
Passo 2: Clique em “Fluxo de trabalho padrão” (default workflow)
Passo 3: Clique no botão branco “Clonar” no canto superior direito
Passo 4: No campo “Nome do fluxo de trabalho”, digite “Fluxo de trabalho para incidentes de dados”
Passo 5: Clique no botão azul “Clonar”
Parte 2
Passo 1: Clique em seu novo fluxo de trabalho
Passo 2: No centro superior da tela, clique no botão "+" entre "Em investigação" e "Remediação".
Passo 3: Para o nome da etapa, digite "Análise de risco"
Passo 5: Clique na guia “Regras”
Passo 7: No campo “Nome da regra”, digite “Regra de notificação”
Passo 8: No menu suspenso de “Ações”, selecione “Enviar notificação”
Passo 9: No campo “Destinatário(s)”, digite seu e-mail e clique na opção "Atribuir a": <seu e-mail> na lista
suspensa
Passo 10: No campo “Assunto”, digite “Ocorrência de incidente de dados - Notificar o CIO”
Passo 11: No campo “Corpo do e-mail”, digite “Ocorreu um incidente com os dados. Consulte o registro de
incidentes para obter mais informações”
Passo 12: Clique no botão azul "Salvar" no canto inferior direito da tela
Passo 13: Clique no botão azul "Publicar" na parte superior direita da tela
Passo 14: Clique no botão azul "Publicar" no centro da tela
Parte 3
Passo 1: Clique na guia "Fluxos de trabalho e regras" no lado esquerdo da tela
Passo 2: Clique no botão "...” (menu de contexto) no canto direito do seu novo fluxo de trabalho
Passo 3: Selecione “Definir como padrão”
Exercício 3 - Crie um novo atributo e o vincule a um novo formulário web

Parte 1
Passo 1: Clique na guia "Gerenciador de atributos" na seção "Configuração" no menu à esquerda
Passo 2: Clique no botão azul “Adicionar atributo”
Passo 3: Adicione um nome para o novo atributo (Local do incidente)
Passo 4: Adicione uma descrição em forma de pergunta ("Onde o incidente ocorreu?")
Passo 5: No campo “Tipo de resposta” escolha “Seleção única” e adicione 3 cidades à direita para suas
opções
Parte 2
Passo 1: Clique na guia "Formulários web" sob a seção "Configuração" no menu à esquerda
Passo 2: Clique no botão azul "Adicionar" no canto superior direito
Passo 3: Adicione um nome (Formulário web OneTrust) e clique no botão azul "Criar"
Passo 4: Para a seção "Campos do formulário", adicione o seguinte: Data da descoberta, data da ocorrência,
descrição, tipo de incidente e o novo atributo que criou (local do incidente)
Passo 5: Na seção “Estilo do formulário”, personalize seu novo cabeçalho do formulário web, adicionando um
logotipo e alterando a cor
Passo 6: OPCIONAL - Edite o texto na seção "Texto do formulário"
Passo 7: Clique no botão branco "Salvar modelo" no canto superior direito
Passo 8: Clique no botão azul "Publicar" no canto superior direito e depois no centro da tela
Página | 42
Passo 9: Clique no botão branco "Testar" no menu apresentado
Passo 10: Preencha os campos e clique em "Enviar"
Passo 11: Saia da aba para retornar à tela original
Exercício 4 - Vincule os incidentes com o risco

Passo 1: Clique na guia "Registro dos Incidentes" no menu à esquerda
Passo 2: Clique no incidente que criou no exercício anterior
Passo 3: Clique na etapa "Análise de risco" no topo
Passo 4: Clique na guia “Mais” e selecione “Riscos”
Passo 5: Clique no botão azul "Adicionar risco” no centro da tela
Passo 6: Selecione a caixa à esquerda para o risco que criou anteriormente
Passo 7: Clique no botão azul “Vincular ao incidente” no canto inferior direito
Passo 8: Clique no botão azul "Avançar" para a etapa "Concluído"
Gestão de auditorias
Exercício 1 - Configure um novo fluxo de trabalho e adicione uma nova auditoria
Parte 1
Passo 1: Clique no botão Iniciar (ícone de grade) e selecione o módulo "Gestão de auditorias"
Passo 2: Clique na guia "Fluxos de trabalho" no menu à esquerda
Passo 3: Clique no botão "Ver" no mosaico "Auditoria - Fluxos de trabalho”
Passo 4: Clique no botão “...” (menu de contexto) em "Fluxo de trabalho da auditoria padrão" e selecione
"Clonar"
Passo 5: No campo “Nome do fluxo de trabalho”, digite “Fluxo de trabalho de auditoria interna de 2022” e
clique no botão azul “Clonar”
Passo 6: Clique no fluxo de trabalho criado
Passo 7: Clique no botão “+” entre as etapas "Trabalho de campo" e "Concluído"
Passo 8: No campo “Título da etapa”, digite “Em andamento” e selecione a cor azul do distintivo (Em
andamento)
Passo 9: Clique no botão azul “Adicionar”
Passo 10: Clique em "Publicar" no canto superior direito
Passo 11: Clique em “Confirmar”
Passo 12: Clique no hiperlink azul "Auditoria - Fluxos de trabalho" no canto superior direito
Passo 13: Clique no botão “...” (menu de contexto) do novo fluxo de trabalho, selecione "Definir como
padrão", depois clique em "Confirmar"
Parte 2
Passo 1: Clique na guia "Auditorias" no menu à esquerda
Passo 2: Clique no botão azul "Criar Auditoria" no canto superior direito
Passo 3: No campo “Nome da auditoria”, digite “Auditoria de controles do banco de dados de 2022”
Passo 4: No campo “Norma/estrutura legislativa”, selecione “ISO/IEC 27001:2013 (27002)”
Passo 6: Selecione você mesmo (Admin####) para auditor e aprovador
Passo 7: Clique no botão azul "Seguinte" no canto inferior direito
Passo 8: Clique no botão branco "Selecionar" na linha "Controles”
Passo 9: Selecione uma estrutura no lado esquerdo da tela e selecione as caixas para vários controles de sua
Página | 43
escolha
(Dica: Utilize os controles A.9 Controle de acesso e A.9 4.3 (2) Sistema de gestão de senhas utilizado
anteriormente)
Passo 10: Clique no botão azul "Enviar" no canto inferior direito
Passo 12: Na tela "Atribuir auditor(es) e aprovador(es)", selecione a caixa branca superior à esquerda de "Nome
do documento de trabalho"
Passo 13: Clique no botão branco "Atribuir em massa" que aparece na parte superior à direita
Passo 14: Insira seu nome como auditor e aprovador
Passo 15: Clique no botão azul "Atribuir" na parte inferior do menu
Passo 16: Clique no botão azul "Concluir" no canto inferior direito
Passo 17: Clique no botão azul "Criar" no centro da tela
Exercício 2 - Crie um documento de trabalho com novos atributos

Parte 1
Passo 1: Clique em “Gerenciador de atributos” no menu à esquerda
Passo 2: Clique em “Ver” no mosaico “Atributos do documento de trabalho”
Passo 3: Clique na guia "Grupos" no topo
Passo 4: Navegue até a parte inferior e clique no botão branco "Adicionar grupo"
Passo 5: No campo “Nome do grupo”, digite “Detalhes do teste”
Passo 7: Clique no botão azul "Adicionar atributo" no canto superior direito
Passo 8: No campo “Nome”, digite “Procedimento”
Passo 9: No campo “Descrição”, digite “Qual é o procedimento utilizado para testar o controle?”
Passo 10: No campo “Tipo de resposta”, selecione “Texto”
Passo 11: Clique no botão branco "Salvar e adicionar novo"
Passo 12: No campo “Nome”, digite “Prazo do teste”
Passo 13: No campo “Descrição”, digite “Qual é o prazo para testar o controle?”
Passo 14: No campo “Tipo de resposta”, selecione “Data”
Passo 16: Clique no botão “Gerenciar atributos” sob o grupo de “Atributos do documento de trabalho” que
criamos
Passo 17: Mova os 2 atributos que criamos da coluna da esquerda para a direita, selecionando-os e clicando
no botão ">"
Parte 2
Passo 1: Clique na aba "Auditorias" à esquerda e selecione a auditoria que criamos
Passo 2: Clique na aba "Documento de trabalho", clique em um ID de documento de trabalho e identifique os
atributos que criamos
Passo 3: Edite esses dois campos e clique no botão azul "Salvar"
Passo 4: Clique na guia "Tarefas" no topo
Passo 5: Clique em "Avançar" e depois em "Confirmar" no canto superior direito para mover o fluxo de trabalho
para a etapa "Em andamento”
Passo 6: Clique no botão azul "Adicionar tarefa”
Passo 7: No campo “Nome da tarefa”, digite “Revisão da implementação dos controles”
Passo 8: Selecione você mesmo como responsável
Passo 10: Clique no nome da tarefa, revise as opções e clique em "Marcar como concluída"
Passo 11: Clique nos botões azuis "Avançar" e depois "Confirmar" para a etapa “Concluído”
Página | 44
Passo 12: Retorne para a auditoria e clique em "Avançar" e "Confirmar" para a etapa “Concluído”
Exercício 3 - Remedie uma descoberta

Parte 1
Passo 1: Clique na auditoria que acabamos de concluir
Passo 2: Clique na guia "Descobertas" no topo
Passo 3: Clique no botão azul “Registrar descoberta”
Passo 4: Para "Tipo de descoberta", selecione "Oportunidade de melhoria"
Passo 5: No campo “Descrição da descoberta”, digite “Somente 3 campos exclusivos para senhas”
Parte 2
Passo 1: Clique no número do ID da descoberta que acabou de criar
Passo 2: Desça e clique em "Plano de Ação" para editar
Passo 3: No campo “Plano de ação”, digite "Utilize de 5 a 7 campos únicos para senhas"
Passo 5: Clique no botão azul "Avançar" e depois "Confirmar"
Passo 6: Clique na guia “Tarefas”
Passo 7: Clique no botão azul "Adicionar tarefa”
Passo 8: No campo “Nome da tarefa”, digite “O departamento de TI deve configurar mais campos para
senhas”
Passo 9: Clique em Salvar
Passo 10: Clique no botão azul "Avançar" e depois em "Confirmar" para concluir a auditoria
Exercício 4 - Crie um relatório de auditoria

Passo 2: Desça e selecione o módulo "Relatórios”
Passo 3: Clique no botão azul "Criar Novo" no canto superior direito
Passo 4: Em “Fonte de dados”, selecione “Gestão de auditorias”
Passo 5: Selecione a opção “Descobertas - Relatório Excel padrão”
Passo 7: No campo “Nome do relatório”, digite “Relatório de auditoria de 2022”
Passo 8: Clique no botão azul "Criar" no canto inferior direito
Passo 9: Faça quaisquer alterações desejadas nas colunas e depois clique no botão branco "Salvar" no canto
superior direito
Passo 10: Clique no botão azul "Exportar" no canto superior direito e selecione a opção "Excel"
Passo 11: Clique no botão "Fechar" no meio da tela
Passo 12: Clique no botão de sino na parte superior direita da tela
Passo 13: Clique no nome do relatório para baixar o arquivo Excel
Página | 45

OneTrust GRC Profissional

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

OneTrust GRC Profissional

Enviado por

Direitos autorais:

Formatos disponíveis

OneTrust GRC Profissional

Programa de Certificação - Manual

GRC & Security

URL de treinamento: training.onetrust.com

Consulte o seu instrutor(a) para obter a senha do seu ambiente.

Este suporte a parceiros pode auxiliar com:

Outros recursos incluem:

• Salvaguardas ou contramedidas para evitar, detectar, neutralizar ou minimizar os riscos de segurança à

Exercício de como adicionar um usuário

• Um ATIVO é um item de valor para sua empresa.

- Os riscos estão associados aos itens de inventário (ativos, atividades de tratamento,

- Os riscos recebem um nível de risco inerente que determina a gravidade

Crie um ativo e uma atividade de tratamento

Prepare-se para os riscos comuns

- Para aproveitar ao máximo o ciclo de vida da avaliação, será necessário realizar

Configure a regra de automação

- Especifica os serviços prestados por um fornecedor (ou seja, consultoria,

Crie um fluxo de trabalho personalizado de fornecedor

Faça o desligamento de um fornecedor

Como funcionam as políticas?

Por que precisamos delas?

Três perguntas que devem ser feitas ao determinar as políticas necessárias:

Dois principais casos de uso:

Adicione controles a uma política

Crie uma regra de automação

- As organizações devem demonstrar a responsabilidade de garantir a implementação de medidas

- As organizações devem adotar medidas de segurança, técnicas e administrativas

Crie um fluxo de trabalho de incidente

Crie um novo atributo e o vincule a um novo formulário web

Vincule o incidente a um risco

Estes três aspectos dos controles devem ser testados:

Adicione um novo atributo e conclua um documento de trabalho

Faça a remediação de um resultado

Crie um relatório de auditoria

Gestão de riscos: Elementos e inventários

Exercício 2 - Como adicionar controles

Exercício 3 - Preencha inventários de ativos e atividades de tratamento

Exercício 4: Prepare-se para os riscos comuns

Gestão de riscos: Gestão de avaliações e riscos

Exercício 2 - Como gerenciar riscos

Exercício 3 - Configure as regras de automação

Exercício 2 - Fluxo de trabalho de integração

Exercício 3 - Criar um envolvimento

Exercício 4 - Como criar um relatório

Exercício 5 – Como desligar um fornecedor

Gestão de políticas corporativas

Exercício 2 - Adicione controles para aplicar uma política

Exercício 3 - Relacione fornecedores à política

Exercício 4 - Automatize lembretes para políticas prestes a vencer

Exercício 2 - Crie um fluxo de trabalho

Exercício 3 - Crie um novo atributo e o vincule a um novo formulário web

Exercício 4 - Vincule os incidentes com o risco

Exercício 2 - Crie um documento de trabalho com novos atributos

Exercício 3 - Remedie uma descoberta

Exercício 4 - Crie um relatório de auditoria

Você também pode gostar