Compreender Os Principais Elementos Relacionados A Governança, Risco e Compliance 1 e 2

Compreender os principais elementos
relacionados a governança, risco e compliance

Aula 1 – Confidencialidade, Integridade e Disponibilidade
Aula 2 – Principais Frameworks
Aula 3 – Controle de Segurança
Aula 4 – Políticas
Aula 5 – LGPD
Aula 6 – Ética
Aula 01
Confidencialidade, Integridade
e Disponibilidade
Governança, risco e compliance
GRC: Governança, Risco e Compliance
É o conjunto de medidas práticas que uma empresa

pode utilizar através da criação de processos para
reduzir ameaças que possam impactar na
continuidade dos seus negócios, gerar prejuízos
financeiros, ou produzir riscos de perdas e de
conformidade legal.
Fonte: Adobe Stock

GRC: Governança, Risco e Compliance
Governança em T.I é o conjunto de processos,

práticas, políticas, leis e regulamentos que
determinam as diretrizes de uma empresa no ramo
da Tecnologia da Informação.
Riscos são todos os eventos que afetam de alguma

forma o cumprimento dos objetivos de uma empresa.
Fonte: Adobe Stock
Compliance é o ato pelo qual a empresa cumpre

(está conforme), com todas as leis Federais,
Estaduais, Municipais e os respectivos
regulamentos, políticas e diretrizes organizacionais.
Estruturação e disciplina
Processos e procedimentos bem estruturados

garantem:
• Funcionamento correto do negócio;

• Correções de falhas de forma eficaz;
• Conformidade com as normas.
Fonte: Adobe Stock

Por dentro da Governança
A Governança em T.I:
• Alinha as expectativas de mercado e suas

políticas de implantações e manutenções de
ativos de T.I e Segurança da Informação;
• Adota medidas focadas na qualidade da

operação, produzindo-se melhores performances Fonte: Adobe Stock
de sistemas, aumentando sua competitividade.

Por dentro do Risco
O Risco
• Independente do planejamento prévio, toda e

qualquer empresa está sujeita a imprevistos
internos ou externos;
• Também podem ser vistos como oportunidades

para se estabelecer planos de melhoria; Fonte: Adobe Stock
• A Gestão dos Riscos ameniza as ameaças que

podem surgir, tornando o negócio mais seguro.
Por dentro do Compliance
O Compliance
• Aumenta a credibilidade perante os investidores e

mercado, agregando valor ao negócio;
• Reconhece práticas ilícitas em outras

organizações;
Fonte: Adobe Stock
• Reduz custo, aumenta a conscientização dos

colaboradores e sua respectiva satisfação.
A seguir...
No próximo tópico
ogeryrfsrrhrtrytyrsg
Segurança da informação
Segurança da Informação
A Segurança da Informação tem por objetivo

principal prover os meios necessários para que os
repositórios de dados, bem como suas plataformas
de gestão, sejam acessados somente por pessoas
autorizadas/credenciadas, garantindo os pilares
Confidencialidade, Integridade e Disponibilidade
da informação.
Fonte: Adobe Stock
Confidencialidade
O Pilar da Confidencialidade protege as

informações de acessos não autorizados,
estabelecendo privacidade para os dados da
empresa, evitando situações de ataques cibernéticos
ou espionagem. A base desse pilar é o controle do
acesso por meio de autenticação de senha, que
também pode ocorrer por meio de varredura
biométrica e criptografia, o que vem gerando Fonte: Adobe Stock
resultados favoráveis nesse sentido.

Integridade
O Pilar da Integridade é responsável por manter as

características originais dos dados, tal como foram
configuradas na sua criação. Desta forma, as
informações não podem ser alteradas sem
autorização.
Fonte: Adobe Stock

Disponibilidade
O Pilar da disponibilidade determina que o ideal

em um sistema de informação é que os dados
estejam disponíveis para o que for necessário,
garantindo o acesso do usuário em tempo integral.
Isso requer estabilidade e acesso permanente aos
dados do sistema por meio de manutenção rápida,
atualizações constantes e depuração.
Fonte: Adobe Stock
A seguir...
Os pilares da Segurança da Informação são como

bússolas que devemos seguir para não cometer
nenhum equívoco quando falamos sobre o assunto.
Sempre começaremos por eles.
No próximo tópico daremos continuidade a essa

jornada, falando sobre como fortalecer esses pilares
para se criar a base de uma estrutura segura. Fonte: Adobe Stock
Fortalecendo os Pilares
Fortalecendo os Pilares
Toda a estrutura da Segurança da Informação deve

estar alinhada com o três pilares básicos
(Confidencialidade, Integridade e Disponibilidade),
para garantir que as práticas e políticas sejam
eficazes.
Os pilares da Segurança da Informação ajudam a
preservar um bom nível de proteção dos dados e nas
atividades de tratamento realizadas pela empresa. Fonte: Adobe Stock
Por isso, é fundamental reforçá-los nos processos e

operações.
Reforçando a Confidencialidade
• Política de Gestão de Acesso bem estruturada;
• Política de Classificação da Informação;
• Reforçar a Criptografia
• Autenticação em dois fatores.

Fonte: Adobe Stock
Reforçando a Integridade
• Sistemas licenciados e constantemente

atualizados;
• Processos gerenciais bem definidos e seguros,

visando a preservação das informações;
• Assinaturas digitais.
Fonte: Adobe Stock
Reforçando a Disponibilidade
• Conscientização e treinamento;
• Elaboração de políticas e normas;
• Mantendo os patches de segurança em dia;
• Mantendo backups e cópias de seguranças.

Fonte: Adobe Stock
A seguir...
Fortalecendo os pilares cria-se uma estrutura básica

segura para o desenvolvimento de toda Segurança
da Informação.

jornada, explorando pilares secundários, mas não
menos importantes, dos que já falados até aqui.
Fonte: Adobe Stock
Pilares Secundários na Segurança
da Informação
Pilares Secundários na Segurança da Informação
No âmbito da Segurança da Informação, além dos

três pilares iniciais que orientam as ações para
garantir a proteção de dados, temos mais três que
reforçam essas orientações. Estamos falando dos
pilares:
• Autenticidade;
• Irretratabilidade; Fonte: Adobe Stock
• Legalidade.
Autenticidade
O Pilar da Autenticidade
Confirmação de que os dados possuem legitimidade,

ou seja, não haja manipulação ou intervenções
externas de terceiros passando-se por
colaboradores. Dessa forma, é necessário
documentar as ações feitas pelos usuários na rede e
nos sistemas.. Fonte: Adobe Stock
Irretratabilidade (não repúdio)
O Pilar da Irretratabilidade
O pilar da irretratabilidade ou não repúdio atua para

que um indivíduo ou entidade não negue a autoria de
uma ação específica (criar ou assinar um
arquivo/documento, por exemplo).
Fonte: Adobe Stock

Legalidade
O Pilar da Legalidade
Está diretamente ligado ao valor legal da

comunicação em relação à legislação. Trata-se de
princípio do Direito intrínseco a todo Ordenamento
Jurídico.
Fonte: Adobe Stock

A importância dos Pilares
Valor econômico da informação
Diante das diversas formas e formatos que o mundo

digital tem ganhado e o aumento do tráfego de dados
o valor da informação tem se tornado cada vez mais
alto.
Os Pilares, de uma forma geral, são como princípios

mínimos a serem seguidos para garantir a
Segurança da Informação e manter o seu valor Fonte: Adobe Stock
econômico.
Conclusão
Entender os pilares e sua importância é o primeiro

passo para se construir uma cultura cibernética mais
segura e eficaz.
Fonte: Adobe Stock

Aula 02
Principais Frameworks
O que é framework
Framework
É qualquer referência normativa que estabeleça um

conjunto de técnicas, ferramentas ou conceitos pré-
definidos que possam ser utilizados como base para
o estabelecimento de um programa corporativo de
segurança da informação.
Fonte: Adobe Stock
O que é framework
Finalidade
Oferecer o melhor processo para a organização

implementar salvaguardas de segurança de acordo
com o tamanho e estratégia de negócios da
empresa, agilizando em tempo e otimizando os
recursos disponíveis.
Fonte: Adobe Stock
O que é framework
Importância
• Criam modelos de construção de programas de

segurança da informação, gerenciando riscos e
combatendo fragilidades.
• Estabelece a criação de políticas, que serão

repassadas aos times de colaboradores por meio Fonte: Adobe Stock
de instruções e acerca de condutas e punições

por descumprimento.
O que é framework
Importância
• Gerenciam riscos que tende a trabalhar em cima

das políticas e manter uma proteção contínua das
informações empresariais.
• Avaliam todas as portas de entrada, transferência

e saída de dados, identificando potenciais Fonte: Adobe Stock
vulnerabilidades e aumentando o nível de

segurança onde for preciso.
Importante
Entender o conceito de framework e sua

aplicabilidade é o primeiro passo para se estabelecer
qual será o melhor ou mais adequado processo para
a empresa.
Fonte: Adobe Stock

Tipos
Variedades de frameworks
Existem diversos frameworks no mercado e cada

uma tem sua qualidade e especificidade. Dentre os
mais utilizados temos a ISO 27.001, o CIS Controls e
o NIST CSF.
Fonte: Adobe Stock

ISO 27.001
Estabelece diretrizes e princípios gerais para iniciar,

implementar, manter e melhorar a gestão de
segurança da informação de uma organização.
Trata-se de um padrão para se estabelecer um SGSI

(Sistema de Gestão de Segurança da Informação).
Fonte: Adobe Stock

ISO 27.001
A escolha por esse framework deve ser de forma

estratégica pela organização, considerando suas
necessidades, objetivos, exigências de padrões de
segurança, tamanho e sua estrutura.
É extremamente útil para definir responsabilidades e

deveres dentro da organização.
Fonte: Adobe Stock
CIS Controls
Conjunto de práticas recomendadas de segurança

cibernética e ações defensivas que ajudam a evitar
os principais ataques da atualidade.
Sua implementação envolve práticas

recomendadas para uma boa política de segurança
da informação, formuladas por um grupo de
especialistas em Tecnologia da Informação e Fonte: Adobe Stock
Segurança da Informação.
CIS Controls
Utiliza informações coletadas em ataques reais e

defesas eficazes.
Fornecem orientação específica e um caminho para

as organizações atingirem as metas e objetivos
descritos por várias estruturas legais,
regulamentares e políticas.
Fonte: Adobe Stock
NIST Cyber Security Framework
Conjunto de diretrizes e padrões adotados que tem

por finalidade gerenciar e reduzir o risco de
segurança cibernética, além de ajudar as
organizações a prevenir, detectar e responder a
ameaças e ataques cibernéticos.
Foi projetado para melhorar as comunicações de

segurança cibernética e gerenciamento de riscos Fonte: Adobe Stock
entre as partes interessadas internas e externas.

NIST Cyber Security Framework
Ajuda as organizações a melhorarem suas defesas

contra ataques cibernéticos conhecidos,
transformando os principais conceitos de segurança
em controles acionáveis, com o objetivo de obter um
maior nível de capacidade geral para defesa em
segurança cibernética.
Fonte: Adobe Stock

A seguir...
Neste tópico, abordamos os principais, mas não

únicos, frameworks utilizados no mercado.

jornada, explicando as particularidades de cada
framework .
Fonte: Adobe Stock

ISO 27.001
Introdução a ISO 27001
A família das normas ISO 27.000 constituí uma série

de padrões internacionais direcionados à Segurança
da Informação que vale a pena ser conhecido.
Para fins de estudo de frameworks focaremos na

ISO 27.001.
Fonte: Adobe Stock

Histórico
Lançada em 2005, foi criada com a finalidade de

fazer o gerenciamento e proteção da informação das
empresas utilizando um sistema e Gestão de Risco.
Hoje é considerado o principal padrão internacional

focado em segurança da informação, usando uma
abordagem de melhoria contínua.
Fonte: Adobe Stock
Objetivos
• Proteger os pilares da Segurança da Informação:

Confidencialidade, Integridade e Disponibilidade.
• As organizações adotarem um modelo adequado

de estabelecimento, implementação, operação,
monitorização, revisão e gestão de um Sistema de
Gestão de Segurança da Informação.
Fonte: Adobe Stock
Benefícios
• Conformidade;
• Vantagem de mercado;
• Redução de despesas;
• Organização da empresa.
Fonte: Adobe Stock
Conteúdo
O conteúdo da ISO é dividido em duas partes:
• O Sistema de gestão de segurança da

informação, ou SGSI;
• Conjunto de controles usados para reduzir seu

risco. (Anexo A da norma).
Fonte: Adobe Stock
SGSI - Implementação
• Ter definido um plano de tratamento e gestão de

riscos;
• Ter definida uma métrica de eficácia dos

controles;
• Implementar um programa para formar e

sensibilizar as pessoas; Fonte: Adobe Stock
• Implementar controles e procedimentos capazes

de detectarem potenciais incidentes.
Controles – Anexo A
O Anexo A traz 93 controles de referência, cujo

objetivo é criar ideias e boas práticas para tornar a
organização mais segura.
Dentre essas boas práticas estão:

• Políticas de segurança da informação
• Organização da segurança da informação
• Segurança em recursos humanos Fonte: Adobe Stock
• Gestão de ativos
• Controle de acesso
• Criptografia
Áreas – Anexo A
• Segurança física e do ambiente

• Segurança nas operações
• Segurança nas comunicações
• Aquisição, desenvolvimento e manutenção de
sistemas
• Relacionamento na cadeia de suprimento
• Gestão de incidentes de segurança da informação
• Aspectos da segurança da informação na gestão Fonte: Adobe Stock
da continuidade do negócio
• Conformidade
A seguir...
Neste tópico abordamos a estrutura da norma ISO

27.001 como framework de segurança.

jornada, adentrando ao framework CIS Controls.
Fonte: Adobe Stock

CIS Controls
Introdução ao CIS Controls
Diretrizes e práticas recomendadas para a

Segurança da Informação, constantemente
atualizada e revisada.
Práticas recomendadas e mundialmente

reconhecidas para proteger aplicações e dados nos
ambientes de tecnologia.
Fonte: Adobe Stock
Histórico
Projeto iniciado no começo de 2008 em resposta a

perdas extremas de dados ocorridas em
organizações na base industrial de defesa dos EUA.
Inicialmente desenvolvida pelo SANS Institute e a

propriedade foi, então, transferida para o Conselho
de Segurança Cibernética (CCS) em 2013 e, em
seguida, para o Centro de Segurança da Internet Fonte: Adobe Stock
(CIS) em 2015.
Objetivos
• Prevenir os tipos de ataques mais generalizados e

perigosos, dando ainda suporte à conformidade
em um ecossistema de múltiplas estruturas.
• Orientar e especificar um caminho claro para que

as organizações atinjam os objetivos e metas
descritos por várias estruturas legais,
regulamentares e políticas. Fonte: Adobe Stock
Benefícios
• Os controles priorizam e concentram o menor

número de ações necessárias para se ter o
melhor custo-benefício.
• Contêm recomendações atuais e concretas para

ajudar as empresas a melhorar a postura de
segurança da informação.
Fonte: Adobe Stock
Benefícios
• Os controles do CIS foram criados por

especialistas com o objetivo de serem
universalmente aplicáveis.
• Os controles são separados em três categorias:

básica, fundamental e organizacional,
independentemente do tipo de indústria,
adequando-se a cada realidade. Fonte: Adobe Stock
Conteúdo
Os Grupos de Implementação (IGs) são a orientação

recomendada para priorizar a implementação dos
Controles Críticos de Segurança do CIS.
Os IGs são divididos em três grupos. Eles se

baseiam no perfil de risco e nos recursos que uma
empresa tem à sua disposição para implementar os
Fonte: Adobe Stock
controles CIS.
Controles básicos
• Inventário e controle de ativos de hardware;

• Inventário e controle de ativos de Software;
• Gerenciamento contínuo de vulnerabilidades;
• Uso controlado de privilégios administrativos;
• Configuração segura para hardware e software
em dispositivos móveis, notebooks, estações de
trabalho e servidores;
• Manutenção, monitoramento e análise de registros Fonte: Adobe Stock
de auditoria.
CIS - Implementação
A implementação do CIS é feita em 03 grupos:
IG1 - Implementation Group 1
• Conjunto básico de 56 salvaguardas de defesa

cibernética, estabelecendo padrão mínimo
emergente de segurança da informação para Fonte: Adobe Stock
todas as empresas. As salvaguardas incluídas no

IG1 são o que toda empresa deve aplicar para se
defender contra os ataques mais comuns.
• Compreende 74 salvaguardas adicionais e se

baseia nas 56 salvaguardas identificadas no IG1.
• Uma empresa que usa o IG2 normalmente

emprega indivíduos responsáveis por gerenciar e
proteger a infraestrutura de TI. Fonte: Adobe Stock
• Inclui 23 salvaguardas adicionais. Baseia-se nas

salvaguardas identificadas em IG1 (56) e IG2 (74),
totalizando as 153 salvaguardas no CIS Controls
V8.
• Ativos e dados do IG3 contêm informações ou Fonte: Adobe Stock
funções confidenciais que estão sujeitas à

supervisão regulatória e de conformidade.
A seguir...
Neste tópico, abordamos a estrutura do framework

de segurança CIS Controls.

jornada, adentrando ao framework NIST CSF.
Fonte: Adobe Stock

NIST
Introdução ao NIST CSF
Estabelece padrões, diretrizes e práticas

recomendadas que ajudam as organizações a
melhorar seu gerenciamento de riscos de segurança
cibernética.
Projetado para ser flexível o suficiente para se

integrar aos processos de segurança existentes em
qualquer organização, em qualquer setor. Fonte: Adobe Stock
Histórico
O National Institute of Standards and Technology

(NIST) é uma agência não reguladora que promove a
inovação por meio do avanço da ciência, padrões e
tecnologia de medição.
Em 12 de fevereiro de 2013 iniciou o trabalho do

NIST com o setor privado dos EUA para identificar
padrões de consenso voluntários existentes e Fonte: Adobe Stock
melhores práticas da indústria para incorporá-los em

uma estrutura de segurança cibernética.
Objetivos
• Fornecer um excelente ponto de partida para

implementar segurança da informação e
gerenciamento de riscos de segurança cibernética
em praticamente qualquer organização do setor
privado nos Estados Unidos.
• Escolher as ferramentas que melhor atendem às

necessidades do gerenciamento de riscos de Fonte: Adobe Stock
segurança cibernética de uma organização.

Benefícios
• O tipo de metodologia permite que as

organizações entendam como seus esforços de
segurança cibernética se comparam às
orientações e fontes autorizadas do NIST csf.
• A linguagem comum age como facilitadora da

comunicação, pois, facilita o entendimento dos
requisitos e do progresso entre todas as partes Fonte: Adobe Stock
interessadas, incluindo a equipe de segurança de

TI, gerenciamento, parceiros, contratados,
fornecedores e outros.
Benefícios
• Sua aplicação melhora a segurança cibernética e

a resiliência da infraestrutura crítica,
independentemente do tamanho da organização
ou do nível de sofisticação da segurança
cibernética.
Fonte: Adobe Stock

Conteúdo
O NIST CSF inclui funções, categorias,

subcategorias e referências informativas.
Suas funções devem ser executadas de forma

contínua para formar uma cultura operacional que
aborde o risco dinâmico de segurança cibernética.
Suas categorias e subcategorias fornecem planos de Fonte: Adobe Stock
ação mais concretos para departamentos ou

processos específicos dentro de uma organização.
A seguir...
Neste tópico abordamos a estrutura do framework de

segurança NIST CSF.

jornada, adentrando à implantação do NIST CSF.
Fonte: Adobe Stock

Estrutura e implantação
do NIST CSF
Funções
São 5 funções para fornecer uma visão estratégica

de alto nível do ciclo de vida do gerenciamento do
risco de segurança de uma organização.
Fonte: Adobe Stock
Fonte: Adobe Stock

Categorias
As funções são divididas em 23 categorias, que se

subdividem em 108 subcategorias, levando o
framework a um nível alto de especificação.
Fonte: Adobe Stock

Subcategorias
As subcategorias contêm os controles reais e, para

cada uma, o CSF inclui uma lista de referências
cruzadas para padrões e estruturas bem conhecidos,
como ISO 27001, CIS, dentre outros.
Fonte: Adobe Stock

NIST - Implementação
Em linhas gerais, a implantação do Framework pode

ser dividida em 7 etapas:
• Priorizar e definir o escopo: objetivos

organizacionais;
• Orientar: estratégias de gerenciamento de riscos;

Fonte: Adobe Stock
• Criar o perfil atual: avaliar sistemas e ativos

dentro do escopo, requisitos regulatórios;
• Realizar uma avaliação de riscos: padrões,

ferramentas, métodos e diretrizes de segurança
cibernética e gerenciamento de risco no escopo;
• Criar um perfil ativo: identificar metas que

mitigarão o risco de acordo com seus objetivos;
Fonte: Adobe Stock

• Determinar, analisar e priorizar as lacunas:

analisar as lacunas entre o Perfil Atual e o Perfil
Alvo no contexto de organização;
• Executar o plano de ação: implementar ações

por prioridade, acompanhar o progresso em
relação ao plano, monitorar e avaliar os principais
riscos. Fonte: Adobe Stock
Conclusão
Neste tópico, finalizamos o conteúdo do NIST CSF,

bem como os principais frameworks utilizados.
Na próxima aula, iniciaremos o conteúdo sobre

controles de segurança.
Fonte: Adobe Stock

Aula 03
Controle de Segurança
Segurança Informação x Segurança Cibernética
Segurança Cibernética protege o ciberespaço

Segurança da
contra ameaças, enquanto a Segurança da Segurança
Segurança da da
Informação
Informação
Informação
Informação é a proteção de dados globais contra
ameaças. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
A Segurança da Informação é um conceito mais Cibernética
amplo que abrange a Segurança Cibernética.
Autoria Própria
Para falar sobre os controles usaremos bastante o

conceito de Segurança Cibernética.
Controles de segurança
A palavra controle é empregada para descrever a

autoridade e gestão sobre algo específico,
envolvendo a supervisão e administração.
Controles de Segurança Cibernética são medidas

que ajudam a evitar, impedir, detectar, neutralizar ou
minimizar os riscos de Segurança da Informação,
cujo objetivo principal é proteger o CID – Fonte: Adobe Stock
Confidencialidade, Integridade e Disponibilidade das

informações.
Categorias de Controles
Podemos estabelecer 3 tipos de categorias de

controles:
• Operacional
• Técnica
• Física
Fonte: Adobe Stock

Categoria Operacional
São controles organizacionais que complementam e

suportam os controles técnicos. Exemplos: Política
de Segurança da Informação, programa de
conscientização e capacitação, controle de acesso
lógico, etc.
Fonte: Adobe Stock

Categoria Técnica
Tratam riscos a confidencialidade, integridade ou

disponibilidade de informações em formato
eletrônico. Exemplos: Firewall, IDS/IPS, DMZ,
antivírus, criptografia, atualização de patches, etc.
Fonte: Adobe Stock

Categoria Física
Previnem o acesso físico, não autorizado, danos e

interferências com as instalações e informações da
empresa. Exemplos: Controle de Acesso físico,
extintores de incêndio adequados para cada
ambiente, etc.
Fonte: Adobe Stock

Funções dos Controles de Segurança Cibernética
Os controles podem ter funções diferentes e

complementares dentro de um sistema integrado de
segurança cibernética, que podem ter funções de:
Dissuadir: refere-se à ideia de que a possibilidade

de ser descoberto, detido e sofrer eventual punição
dissuadirá as pessoas a cometer infrações e crimes
cibernéticos. Fonte: Adobe Stock
Dificultar: refere-se à ideia de tornar o acesso

cibernético tão difícil, a ponto do invasor desistir de
atacar o sistema protegido.
Detectar: refere-se à ideia de identificar e dar alarme

sobre uma tentativa de violação de segurança
cibernética.
Fonte: Adobe Stock
Responder: refere-se aos procedimentos, meios e

condições de responder e conter a uma violação de
segurança cibernética, no menor tempo possível,
reduzindo seu impacto à organização.
Recuperar: envolve ações para recuperação da

normalidade na organização após a violação de
segurança cibernética e sua contenção. Fonte: Adobe Stock
A seguir...
Para as empresas que buscam destaque e confiança

em uma era digital, adotar controles de segurança
cibernética torna-se pré-requisito.
No próximo tópico daremos continuidade a esse

tema, explorando um pouco mais esses conceitos.
Fonte: Adobe Stock

5 controles primordiais
Controles Básicos
O Tribunal de Contas da União, com o intuito de

contribuir para a transformação digital do país,
conscientizando os gestores públicos de Segurança
Cibernética acerca dos riscos aos quais as
organizações estão sujeitas, criou uma cartilha
apontando 5 Controles de Segurança Cibernética,
com base no framework CIS Controls, que são
considerados fundamentais e de implantação Fonte: Adobe Stock
imediata nas organizações. Esta cartilha pode ser

consultada no site do TCU.
Controles Básicos
Cada organização deve moldar sua abordagem à

segurança, levando em consideração sua estrutura.
Os controles indicam caminhos que devem ser

seguidos, facilitando sua implantação e posterior
implementação.
Fonte: Adobe Stock

Controles Básicos
Os 5 controles destacados pelo TCU são:
• Inventário e controle de ativos corporativos

• Inventário e controle de ativos de software
• Gestão contínua de vulnerabilidades
• Conscientização sobre segurança e treinamento
• Gestão de Respostas a incidentes
Fonte: Adobe Stock
Função dos Controles Básicos
Inventário e controle de ativos corporativos:

identificar e impedir a utilização de ativos de TI não
autorizados como condutores de ataques
cibernéticos.
Inventário e controle de ativos de software:

identificar e impedir a utilização de softwares não
autorizados como condutores de ataques Fonte: Adobe Stock
cibernéticos.
Gestão contínua de vulnerabilidades: evitar a

exploração de vulnerabilidades conhecidas nos
ativos corporativos de TI.
Conscientização sobre segurança e treinamento

de competências: reduzir a possibilidade de
incidentes e ataques derivados do comportamento
humano – engenharia social. Fonte: Adobe Stock
Gestão de respostas a incidentes: melhorar a

capacidade de identificar potenciais ameaças e
ataques, evitando que se espalhem, colaborando
para a recuperação rápida de dados e sistemas
eventualmente corrompidos.
Fonte: Adobe Stock

Medidas de Segurança Cibernética
As medidas de segurança são ações específicas que

as empresas devem realizar para implementar um
controle.
Conforme conversamos quando estudamos os

frameworks, O CIS prioriza as medidas de segurança
em três grupos de implementação: básicas (IG1),
intermediárias (IG2) e avançadas (IG3). Fonte: Adobe Stock
Medidas de Segurança
Esses 5 controles dizem respeito ao IG1, que são

aquelas medidas que todas as empresas devem
implementar para se proteger dos ataques mais
comuns.
Fonte: Adobe Stock

A seguir...


tema, explorando um pouco mais sobre esses 5
controles básicos e fundamentais.
Fonte: Adobe Stock
Controle 1 – Inventário e Controle
de Ativos Corporativos
Controle 1 – Inventário e Controle de Ativos Corporativos
Definição: Gerenciar todos os ativos corporativos de

TI (computadores portáteis e dispositivos móveis,
dispositivos de rede, servidores), conectados
fisicamente, virtualmente ou remotamente à
infraestrutura corporativa de TI, incluindo aqueles em
ambientes de nuvem (cloud computing).
Objetivo: Conhecer com precisão todos os ativos de Fonte: Adobe Stock
hardware da organização que precisam ser

monitorados e protegidos.
Por que esse controle é crítico?
Quando se conhece a estrutura dos ativos

corporativos fica mais fácil estabelecer as defesas.
Dessa forma, o controle dos ativos corporativos é
fundamental quando se trata de gestão de
vulnerabilidades, monitoramento de segurança,
processos de recuperação de incidentes e backups.
Fonte: Adobe Stock

Uma organização também deve ter ciência de todos

os dados que são considerados essenciais ao seu
negócio, para se identificar os ativos corporativos
que mantêm ou gerenciam tais dados, aplicando-lhes
controles de segurança adequados.
Fonte: Adobe Stock

• Estabelecer e manter inventário detalhado,

preciso e atualizado de ativos corporativos que
armazenam, transmitem ou processam dados.
• Escolher entre remover o ativo, impedí-lo de se

conectar à rede ou colocá-lo em quarentena
quando se identificar que se trata de um ativo não
autorizado ou mapeado. Fonte: Adobe Stock
Boas práticas adicionais
• No mínimo semanalmente deve-se atualizar o

inventário de ativos corporativos, para identificar
equipamentos não autorizados, evitando-se o uso
indevido desses equipamentos.
Fonte: Adobe Stock

Controle 2 – Inventário e Controle
de Ativos de Software
Controle 2 – Inventário e Controle de Ativos de Software
Definição: Acompanhar todo software, sistemas

operacionais e aplicativos utilizados, não permitindo
a instalação e execução nas máquinas de softwares
não autorizados.
Objetivo: Proteger todo sistema de segurança de

vulnerabilidades causadas por softwares não
homologados. Fonte: Adobe Stock
Um inventário de software completo previne ataques

que, por muitas vezes, tem início a partir de
varreduras de rede que buscam vulnerabilidades de
softwares.
Essa vulnerabilidade, quando localizado num

servidor web, por exemplo, permite que o atacante
instale programa que possibilita o controle remoto da Fonte: Adobe Stock
máquina, o que caracteriza um ataque de phishing.

• Manter inventários dos softwares, com

informações precisas, detalhadas e atualizadas,
são necessários para realização das tarefas e
rotinas corporativas diárias.
• Assegurar que apenas software homologado e

avaliado pelo setor de T.I seja autorizado no
inventário de software. Fonte: Adobe Stock
• Evitar exceções ao uso de software não

autorizado, porém, caso seja necessário,
documentar e testá-lo para que o setor de T.I
avalie a possibilidade de utilizá-lo.
• Implementar controles técnicos que permitam que

apenas aplicações específicas possam ser
executadas, acessadas ou carregadas em Fonte: Adobe Stock
processos do sistema.
A seguir...


Fonte: Adobe Stock
Controle 3 – Gestão Contínua de
Vulnerabilidades
Controle 3 – Gestão Contínua de Vulnerabilidades
Definição: Desenvolver plano para avaliar,

acompanhar e corrigir continuamente
vulnerabilidades em todos os ativos na infraestrutura
de TI da organização, minimizando as oportunidades
para eventuais atacantes.
Fonte: Adobe Stock

Atacantes cibernéticos procuram constantemente por

vulnerabilidades que possam ser exploradas. Dessa
forma, os que trabalham com a defesa cibernética
devem ter acesso constante às informações sobre
ameaças corriqueiras e suas respectivas medidas de
mitigação, para que possam avaliar os ambientes de
suas organizações antes dos potenciais ataques.
Fonte: Adobe Stock
No entanto, como também têm acesso às mesmas

informações que os defensores, os atacantes
conseguem, frequentemente, aproveitar essas
vulnerabilidades mais rapidamente do que as
organizações conseguem corrigi-las.
Fonte: Adobe Stock

Dessa forma, a gestão de vulnerabilidades é

fundamental para manter uma organização segura
continuamente, pois ela corrige preventivamente as
falhas encontradas que podem desencadear
ataques.
Fonte: Adobe Stock

• Estabelecer processos contínuos de avaliação e

monitoramento dos ativos de hardware e software,
par eliminar, mitigar ou corrigir vulnerabilidades e
aprimorar configurações, controles e técnicas de
defesa.
• Estabelecer processos contínuos de avaliação das

vulnerabilidades identificadas e dos riscos a elas Fonte: Adobe Stock
associados, priorizando a aplicação de medidas

mitigatórias, de modo a aumentar a efetividade
dos esforços de proteção.
• Executar a gestão automatizada da aplicação de

programas criados para atualizar ou corrigir um
software, sanando erros de comportamento,
diminuindo as vulnerabilidades de segurança,
melhorando sua performance nos sistemas
operacionais dos seus ativos.
Fonte: Adobe Stock

• Necessário utilizar constantemente ferramentas

que permitam automatizar a realização de
varreduras completas de vulnerabilidades,
autenticadas e não autenticadas, realizando as
respectivas correções.
• Em algumas situações, pode ser inviável

desinstalar uma correção após sua instalação, Fonte: Adobe Stock
ocasionando um prejuízo ainda maior do que o

problema inicial e impactando a continuidade do
negócio.
A seguir...


Fonte: Adobe Stock
Controle 4 – Conscientização
sobre Segurança e Treinamento
Controle 4 – Conscientização sobre Segurança e Treinamento
Definição: Estabelecer e manter programa contínuo

e permanente de conscientização e treinamento,
para que os colaboradores tenham conhecimentos
adequados em segurança (da informação e
cibernética) e, consequentemente, adotem
comportamentos e procedimentos que reduzam os
riscos para a organização, com o objetivo de se
estabelecer uma nova cultura cibernética na Fonte: Adobe Stock
organização.
No tripé da Segurança da Informação, formado por

tecnologia, processos e pessoas, estas representam
o principal ponto de fragilidade, pois o atacate
consegue induzir facilmente um usuário a clicar num
link indevido, dando margem à invasões.
Fonte: Adobe Stock

Ademais, os colaboradores, intencionalmente ou

não, podem causar incidentes de segurança por
meio de diversas outras ações, tais como o envio de
e-mail com dados sensíveis para destinatário errado,
a perda de equipamento portátil, a utilização de
senha fraca ou reutilização da mesma senha usada
para autenticação em outros sites e aplicativos.
Fonte: Adobe Stock
Dessa forma, todos os programas corporativos de

segurança (da informação e cibernética), têm seu
desempenho determinado pelo fator humano, devido
a grau de conscientização e treinamento.
Mesmo fortalecendo ao máximo essa

conscientização é muito difícil estabelecer uma nova
cultura, portanto nenhum programa consegue reduzir Fonte: Adobe Stock
os riscos a níveis aceitáveis.

• Estabelecer um programa contínuo e permanente

de treinamento, mostrando aos colaboradores os
riscos e as ameaças aos quais os ativos e dados
da organização estão sujeitos e como agir para
evitá-los.
• Investir em treinamentos aos colaboradores para

reconhecer ataques de engenharia social. Fonte: Adobe Stock
• Treinar os colaboradores em melhores práticas de

tratamento de dados, o que envolve identificar
dados sensíveis no contexto da organização e
saber como armazená-los, transferi-los, arquivá-
los e destruí-los adequadamente, de modo a
minimizar os riscos de vazamento.
• Treinar os colaboradores para evitar exposição Fonte: Adobe Stock
não intencional de dados, como, por exemplo, a

perda ou o extravio de dispositivos portáteis.
• Treinar os colaboradores para reconhecer e

notificar incidentes de segurança de forma eficaz.
• Treinar os colaboradores sobre os perigos de se

conectar a redes inseguras e transmitir dados
corporativos por meio delas.
Fonte: Adobe Stock

• Os programas de conscientização e treinamento

devem explicar aos colaboradores as razões por
trás de cada questão de segurança abordada,
monstrando-lhes os objetivos da Segurança da
Informação e Cibernética e os potenciais impactos
dos diferentes comportamentos sobre a
organização.
Fonte: Adobe Stock
• Testar os conhecimentos adquiridos pelos

colaboradores ao final da realização de qualquer
treinamento em segurança (da informação e
cibernética), que pode fazer parte de atividade
educacional de TI.
Fonte: Adobe Stock

A seguir...


Fonte: Adobe Stock
Controle 5 – Gestão de Respostas
a Incidentes
Controle 5 – Gestão de Respostas a Incidentes
Definição: Estabelecer um programa para resposta

a incidentes e verificar sua eficácia através de testes
constantes, com o objetivo de melhorar e adequar
cada vez mais seu tempo de resposta, definindo
políticas, planos, procedimentos, definindo papéis e
treinamento.
Fonte: Adobe Stock

Elaborar e manter plano de resposta é essencial

para que a organização esteja preparada caso
ocorra um incidente, identificando ameaças e
respondendo a elas antes que se espalhem e
causem maiores danos.
Fonte: Adobe Stock

• Definir os papéis para que ocorra o gerenciamento

do processo de tratamento de incidentes de forma
eficiente, estabelecendo informações de contato
para reportar os incidentes, bem como relação
com as informações de contato de todas as partes
interessadas que precisam ser informadas sobre a
ocorrência.
Fonte: Adobe Stock
• Estabelecer processo para recebimento de

notificação de incidentes, definindo requisitos
mínimos para os procedimentos, os prazos e o
conteúdo das notificações de incidentes.
Fonte: Adobe Stock

• A equipe de resposta a incidentes deve ser

periodicamente treinada, com base em cenários
de ataque, ajustando para as ameaças e os
impactos potenciais enfrentados pela organização,
garantindo que toda a equipe esteja sempre
preparada para desempenhar suas funções no
processo de resposta.
Fonte: Adobe Stock
• Identificando lacunas nos planos e processos de

resposta e dependências inesperadas, ajudando a
promover, assim, sua atualização constante.
• Incluir inteligência sobre ameaças no processo de

resposta a incidentes, tornando a equipe mais
proativa.
Fonte: Adobe Stock
Conclusão
Apresentamos nos tópicos anteriores os 5 principais

controles que devem ser implementados, de acordo
com os estudos elaborados pelo Tribunal de Contas
da União.
São boas práticas que podem ser facilmente

adotadas na iniciativa privada.
Fonte: Adobe Stock
Na próxima aula iremos abordar as Políticas

adotadas em um Sistema de Gestão de Segurança
da Informação e Cibernética.
Aula 04
Políticas
O que é política?
A palavra política está a nossa volta em todo

momento e em todos os lugares. Muitas vezes ela é
associada a protestos, manifestações, além de
atribuírem diversos significados pejorativos, para
dizer que algo é complicado para ser resolvido
porque tem muitas etapas, dentre inúmeros outros
significados.
Fonte: Adobe Stock
O que é política?
O termo política vem do grego polis (cidade-Estado)

Segurança da
servindo para designar, desde a antiguidade, o Segurança
Segurança da da
Informação
Informação
Informação
campo a atividade humana que se refere à cidade,
ao Estado e às coisas de interesse público. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Definição do dicionário Oxford Languages: Cibernética
1. arte ou ciência de governar.
2. arte ou ciência da organização, direção e Fonte: Adobe Stock
administração de nações ou Estados; ciência

política.
O que é política?
Em uma empresa a palavra política tem relação com

Segurança da
padronização de regras, as chamadas políticas Segurança
Segurança da da
Informação
Informação
Informação
corporativas que precisam ser seguidas em uma
empresa. Exemplo: Código de Conduta. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Determinam os propósitos e os objetivos de uma Cibernética
organização, trilhando o caminho para que se
alcance esses objetivos. Fonte: Adobe Stock
Políticas em Segurança
Políticas de segurança
As políticas de segurança são regras corporativas

que determinam os limites da segurança física ou
lógica.
Para nossa área e estudo nos interessa tudo que se

refere à política de segurança lógica.
Fonte: Adobe Stock

Conceito
A segurança lógica é um conjunto de soluções de

hardwares e softwares especializados, com foco em
detecção, tratamento e mitigação de ameaças
digitais.
Ou seja, é um trabalho técnico e estratégico, com

foco em tornar o acesso aos dados organização mais
seguros, por meio do controle de tentativas de Fonte: Adobe Stock
entrada indevidas, para evitar o sequestro e perdas

de dados.
Importância da Segurança Lógica
Reputação das empresas: Uma reputação

construída ao longo de muitos anos pode se perder
facilmente e em pouco tempo quando uma empresa
perde os dados de um cliente, por exemplo. Além
dela enfrentar outros problemas relacionados ao
compliance.
Fonte: Adobe Stock

Importância da Segurança Lógica
Sequestro de dados: Outro fator importante a ser

analisado é o fato de que os atacantes não
sequestram os dados simplesmente por fazê-lo. Eles
solicitam um resgate muito alto em moedas virtuais.
Mesmo que você pague, não há como ter certeza de
que eles irão devolvê-los.
Fonte: Adobe Stock

A seguir...
A segurança lógica é fundamental para que a

estrutura organizacional da empresa se mantenha.

tema, explorando um pouco mais o assunto.
Fonte: Adobe Stock

PSI – Política de Segurança da
Informação
PSI
Uma política de segurança da informação (PSI) ou

política de segurança das informações e
comunicações (PoSIC) tem por objetivo possibilitar o
gerenciamento da segurança de informação em uma
organização, estabelecendo regras e padrões para
proteção da informação.
Fonte: Adobe Stock

PSI
Também é um documento que estabelece e orienta

hierarquia no acesso aos dados, determina boas
práticas, informando o que deve ser evitado a fim de
garantir a segurança de informações sensíveis e
estratégicas.
A PSI também serve como um guia para que todos

saibam como atuar em caso de incidentes de Fonte: Adobe Stock
segurança, definindo procedimentos a serem

adotados.
Conteúdo
Alguns assuntos importantes que deve estar inserido

Segurança da
em uma Política de Segurança da Informação: Segurança
Segurança da da
Informação
Informação
Informação
• Autenticação multifatorial e leitura biométrica Segurança

Segurança
Cibernética
Cibernética
• Encriptação de dados Segurança
Segurança
Cibernética
• IAM: Identity and Access Management Cibernética
• Resposta a incidentes
• Análise comportamental Fonte: Adobe Stock
• Cuidado com a computação na nuvem

• Prevenção contra o ransomware
Autenticação multifatorial e leitura biométrica
Este conteúdo em uma política é importante porque

Segurança da
trabalha com as fragilidades de senhas habituais e Segurança
Segurança da da
Informação
Informação
Informação
apresenta outra forma de autenticação que pode ser
uma alternativa mais segura. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
A leitura biométrica é o reconhecimento de Cibernética
características físicas que somente um usuário pode
ter, como impressão digital ou íris dos olhos. Fonte: Adobe Stock
Encriptação de dados
É o processo de codificação de mensagem ou

Segurança da
arquivos. Esse processo gera um código que permite Segurança
Segurança da da
Informação
Informação
Informação
que apenas aqueles que possuem as chaves
corretas tenham acesso àquelas informações. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
A encriptação tem por objetivo proteger os dados Cibernética
digitais durante o seu envio.
Fonte: Adobe Stock
IAM: Identity and Access Management
IAM (Identity and Access Management) ou

Segurança da
Gerenciamento de Identidade de Acesso, é a prática Segurança
Segurança da da
Informação
Informação
Informação
de garantir que pessoas e entidades com identidades
digitais tenham o nível certo de acesso aos recursos Segurança
Segurança
Cibernética
Cibernética
da empresa, como redes e bancos de dados. Segurança
Segurança
Cibernética
Cibernética
As funções do usuário e os privilégios de acesso são
definidos e gerenciados por meio de um sistema de Fonte: Adobe Stock
IAM.
A seguir...
Nesse tópico, iniciamos a abordagem de alguns

conteúdos importantes que fazem parte de uma PSI,
de acordo com a ISO 27.001.
No próximo tópico, vamos dar continuidade a esse

conteúdo.
Fonte: Adobe Stock

Resposta a Incidentes
Resposta a Incidentes
O termo “resposta a incidentes” se refere ao

Segurança da
procedimento adotado por uma empresa para Segurança
Segurança da da
Informação
Informação
Informação
responder a ameaças de TI, como ataques
cibernéticos, violações de segurança e períodos de Segurança
Segurança
Cibernética
Cibernética
inatividade de servidores. De acordo com o Segurança
Segurança
Cibernética
framework NIST CSF ela pode ser dividida num ciclo Cibernética
de vida de 4 etapas:
• Preparação Fonte: Adobe Stock
• Identificação e Análise
• Contenção, erradicação e recuperação
• Atividade pós evento
Análise comportamental
Através desse monitoramento, qualquer

Segurança da
comportamento incomum do usuário é facilmente Segurança
Segurança da da
Informação
Informação
Informação
identificado, podendo ser interrompido de forma
imediata qualquer tipo de ameaça. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Ainda, quando o usuário sabe que existe um Cibernética
monitoramento de suas atividades já evita o acesso
indevido a determinadas páginas que podem trazer Fonte: Adobe Stock
falhas na segurança.
Cuidados com a computação na nuvem
É o fornecimento de serviços de computação,

Segurança da
incluindo servidores, armazenamento, bancos de Segurança
Segurança da da
Informação
Informação
Informação
dados, rede, software, análise e inteligência, pela
Internet (a nuvem) oferecendo inovações mais Segurança
Segurança
Cibernética
Cibernética
rápidas, recursos flexíveis e economias. Segurança
Segurança
Cibernética
Cibernética
A Computação em Nuvem traz excelentes benefícios
para as organizações, contudo também traz a Fonte: Adobe Stock
necessidade de se tomar cuidados com a

segurança, utilizando ferramentas extras de
proteção.
Prevenção contra o ransomware
Todos os dias vemos notícias sobre sequestro de

Segurança da
dados e a dificuldade que as empresas enfrentam Segurança
Segurança da da
Informação
Informação
Informação
para tratar esse incidente quando acontece.
Segurança
Segurança
Cibernética
Cibernética
Nesse tipo de ataque os dados da empresa são Segurança
Segurança
Cibernética
sequestrados e criptografados, impedindo a empresa Cibernética
de visualizá-los.
Fonte: Adobe Stock
Então, e é exigido um pagamento para liberação

desses dados.
Prevenção contra o ransomware
Não há qualquer garantia de que esses dados serão

Segurança da
devolvidos após o pagamento. Segurança
Segurança da da
Informação
Informação
Informação
Caso a empresa não tenha uma boa infraestrutura Segurança

Segurança
Cibernética
Cibernética
de backup para garantir a recuperação desses dados Segurança
Segurança
Cibernética
ela fica totalmente nas mãos desses atacantes. Cibernética
Considerando a quantidade de ataques realizados Fonte: Adobe Stock
nos últimos tempos, é fundamental que uma

organização aborde em sua política estratégias de
prevenção.
Garantir o CID
A PSI tem por objetivo principal estabelecer formas

Segurança da
de garantir os Pilares da Segurança da Informação, Segurança
Segurança da da
Informação
Informação
Informação
Confidencialidade, Integridade e Disponibilidade.
Segurança
Segurança
Cibernética
Cibernética
Para tanto, deve estabelecer todas as regras tendo a Segurança
Segurança
Cibernética
proteção dos pilares como objetivo final. Cibernética
Fonte: Adobe Stock

Garantir o CID
A plataforma .gov (www.gov.br) oferece diversos

Segurança da
modelos de políticas. Entre no site e busque por Segurança
Segurança da da
Informação
Informação
Informação
Guias e Modelos.
Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

A seguir...
Nesse tópico, abordamos algumas informações

básicas que devem estar presentes em uma PSI
No próximo tópico, verificaremos como se faz uma

Política de Segurança da Informação.
Fonte: Adobe Stock

Como elaborar uma PSI – parte 1
Elaboração de PSI
Uma PSI (Política de Segurança da Informação)

Segurança da
pode ser estabelecida em 8 passos: Segurança
Segurança da da
Informação
Informação
Informação
• Definir quem serão os principais responsáveis Segurança

Segurança
Cibernética
Cibernética
pela PSI. Segurança
Segurança
Cibernética
• Fazer um diagnóstico de segurança da Cibernética
informação.
• Categorizar os tipos de informações. Fonte: Adobe Stock
• Estabelecer os níveis de acesso às informações.

• Detalhar os recursos tecnológicos utilizados na
proteção de dados.
Elaboração de PSI
• Apontar as consequências para quem violar as

Segurança da
diretrizes da PSI. Segurança
Segurança da da
Informação
Informação
Informação
• Comunicar a política de segurança da informação
para toda a empresa. Segurança
Segurança
Cibernética
Cibernética
• Monitorar e atualizar a PSI. Segurança
Segurança
Cibernética
Cibernética
Veremos separadamente cada um deles.
Fonte: Adobe Stock
Definição dos Responsáveis
Para a elaboração de uma política eficaz, é

Segurança da
importante organizar um comitê multidisciplinar Segurança
Segurança da da
Informação
Informação
Informação
responsável pela criação de diretrizes,
implementação e acompanhamento da PSI. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Deverá ser definido um grupo de responsáveis por Cibernética
definir essas diretrizes e garantir que elas estejam
sendo seguidas. Fonte: Adobe Stock
Fazer um diagnóstico de segurança da informação
Nessa etapa é importante levantar os ativos de

Segurança da
informação da empresa e avaliar a maturidade da Segurança
Segurança da da
Informação
Informação
Informação
segurança desses ativos.
Segurança
Segurança
Cibernética
Cibernética
A partir desse diagnóstico, será mais fácil para os Segurança
Segurança
Cibernética
seus profissionais de TI identificarem os pontos que Cibernética
precisam ser melhorados, trazendo principalmente
uma ordem de prioridade. Fonte: Adobe Stock
Categorizar os tipos de informações
Nesta etapa de elaboração da PSI, é necessário

Segurança da
categorizar os tipos de informações que a Segurança
Segurança da da
Informação
Informação
Informação
organização deve buscar proteger e classificá-las
como: Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
• Públicas Cibernética
• Internas
• Confidenciais Fonte: Adobe Stock
• Restritas
Categorizar os tipos de informações
Dessa forma, fica mais fácil definir medidas eficazes,

Segurança da
considerando as especificidades de cada tipo de Segurança
Segurança da da
Informação
Informação
Informação
informação e os riscos inerentes a elas.
Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

Estabelecer os níveis de acesso às informações
Depois de categorizar as informações da empresa,

Segurança da
deve-se definir quem poderá acessá-las, levando em Segurança
Segurança da da
Informação
Informação
Informação
consideração os tipos e a natureza dessas
informações. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Ao estabelecer os níveis de acesso, deve-se deixar Cibernética
claro quem, como e quando determinados dados
podem ser acessados. Pode ter casos em que o Fonte: Adobe Stock
colaborador terá acesso único para uma informação,

enquanto outros terão acessos a todos os níveis.
A seguir...
Nesse tópico, abordamos alguns pontos para se

elaborar uma PSI.
No próximo tópico continuaremos a conhecer esse

processo.
Fonte: Adobe Stock

Como elaborar uma PSI – parte 2
Detalhe os recursos tecnológicos utilizados na proteção de dados
É importante detalhar as ferramentas que serão

Segurança da
utilizadas para que os colaboradores possam fazer o Segurança
Segurança da da
Informação
Informação
Informação
uso correto delas.
Segurança
Segurança
Cibernética
Cibernética
E para cada ferramenta determinar as regras de uso Segurança
Segurança
Cibernética
e acesso, informando que será mantido um registro Cibernética
de logs de todo e qualquer uso que for feito em cada
ferramenta. Fonte: Adobe Stock
Esta prática tem se mostrado bastante eficaz no

controle do uso dos recursos.
Consequências para quem violar as diretrizes da PSI
Aponte as consequências para quem violar as

Segurança da
diretrizes da PSI. Segurança
Segurança da da
Informação
Informação
Informação
Nesse caso, além de iniciar o treinamento com todos Segurança

Segurança
Cibernética
Cibernética
os colaboradores, é importante apresentar a eles as Segurança
Segurança
Cibernética
consequências que erros humanos e tecnológicos Cibernética
causam para a empresa quando os dados são
trabalhados de maneira pouco segura. Fonte: Adobe Stock
Aprove a Política
Após as revisões e análises da PSI, é essencial

Segurança da
obter a aprovação do corpo gestor da organização e Segurança
Segurança da da
Informação
Informação
Informação
da equipe de segurança envolvida no processo.
Importante destacar, também que, para que uma PSI Segurança
Segurança
Cibernética
Cibernética
seja útil, ela deve atender os objetivos da segurança Segurança
Segurança
Cibernética
da informação e ser aplicável. Cibernética
Fonte: Adobe Stock

Comunique a PSI
Além da comunicação, é importante ter um

Segurança da
treinamento cíclico na empresa e que esse Segurança
Segurança da da
Informação
Informação
Informação
treinamento seja repetido a cada alteração de
política. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

Treine a PSI
Mantendo-se um treinamento sempre atualizado

Segurança da
garante-se que todo colaborador que entre na Segurança
Segurança da da
Informação
Informação
Informação
empresa tenha o treinamento adequado para
desempenhar sua função. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

Monitore e atualize a PSI
Acompanhe a implementação da política de

Segurança da
segurança da informação de modo a garantir que os Segurança
Segurança da da
Informação
Informação
Informação
colaboradores sigam as diretrizes estabelecidas.
Segurança
Segurança
Cibernética
Cibernética
O documento deve ser revisado periodicamente a fim Segurança
Segurança
Cibernética
de fazer as atualizações necessárias, conforme Cibernética
novas necessidades forem surgindo.
Fonte: Adobe Stock
Monitore e atualize a PSI
Para monitorar esse e outros processos, o ideal é

Segurança da
contar com a ajuda da tecnologia, por meio de um Segurança
Segurança da da
Informação
Informação
Informação
software especializado, desenvolvido para a gestão
de performance de procedimentos operacionais. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

A seguir...
Nos tópicos anteriores, abordamos alguns pontos

relevantes para se elaborar uma PSI.
No próximo tópico continuaremos esse assunto.
Fonte: Adobe Stock

Políticas de Segurança Cibernética
Política de Segurança Cibernética
A Política de Segurança Cibernética visa prover a

Segurança da
metodologia necessária para instituir processos e Segurança
Segurança da da
Informação
Informação
Informação
controles para prevenir e reduzir as vulnerabilidades
e atender aos demais objetivos relacionados à Segurança
Segurança
Cibernética
Cibernética
Segurança Cibernética. Segurança
Segurança
Cibernética
Cibernética
Na prática, sua função não é muito diferente daquilo
que já foi explicado sobre PSI, contudo, para Fonte: Adobe Stock
algumas empresas que precisam seguir a Resolução

4893/21 do Bacen, existe diferença.
Resolução 4893/21 Bacen
Art. 1º Esta Resolução dispõe sobre a política de

Segurança da
segurança cibernética e sobre os requisitos para a Segurança
Segurança da da
Informação
Informação
Informação
contratação de serviços de processamento e
armazenamento de dados e de computação em Segurança
Segurança
Cibernética
Cibernética
nuvem a serem observados pelas instituições Segurança
Segurança
Cibernética
autorizadas a funcionar pelo Banco Central do Brasil. Cibernética
Fonte: Adobe Stock

Resolução 4893/21 Bacen
Para as organizações que seguem a Resolução

Segurança da
4893/21 não basta ter somente a Política de Segurança
Segurança da da
Informação
Informação
Informação
Segurança da Informação, é necessário também ter
uma Política de Segurança Cibernética, abordando Segurança
Segurança
Cibernética
Cibernética
as principais diretrizes de Segurança Cibernética Segurança
Segurança
Cibernética
determinadas no Capítulo II da Resolução. Cibernética
Para verificar uma PSC pública, verifique no site do
Banco Central do Brasil. Fonte: Adobe Stock
Demais políticas que envolvem segurança
Normalmente as organizações possuem uma PSI

Segurança da
abordando os assuntos principais e, quando Segurança
Segurança da da
Informação
Informação
Informação
entendem ser necessário, políticas individuais como:
Segurança
Segurança
Cibernética
Cibernética
• Política de Gestão de Acesso. Segurança
Segurança
Cibernética
• Política de Uso da Internet. Cibernética
• Política de Backup.
• Política de Uso de Dispositivos Móveis. Fonte: Adobe Stock
• Política de Gestão de Terceiros, etc.

Políticas corporativas gerais
As políticas corporativas gerais documentam ações,

Segurança da
comportamentos e procedimentos que precisam ser Segurança
Segurança da da
Informação
Informação
Informação
seguidos dentro de uma empresa como um todo.
Segurança
Segurança
Cibernética
Cibernética
Refletem propósitos e objetivos de uma organização, Segurança
Segurança
Cibernética
estabelecendo o que deve ser feito para alcança-los. Cibernética
Fonte: Adobe Stock

As políticas orientam as ações que ocorrem dentro

Segurança da
da empresa e impactam os colaboradores e gestores Segurança
Segurança da da
Informação
Informação
Informação
(políticas internas).
Segurança
Segurança
Cibernética
Cibernética
Também se aplicam à forma como a organização se Segurança
Segurança
Cibernética
porta em relação ao público externo (políticas Cibernética
externas).
Fonte: Adobe Stock
Além de políticas corporativas abrangerem o aspecto

Segurança da
macro de uma empresa, também existe uma Segurança
Segurança da da
Informação
Informação
Informação
variedade de recomendações e normas que norteiam
o trabalho diário e o funcionamento de uma Segurança
Segurança
Cibernética
Cibernética
organização. Segurança
Segurança
Cibernética
Cibernética
Entre as políticas que servem para unificar os
procedimentos dentro de uma empresa, estão: Fonte: Adobe Stock
• Políticas de Recursos Humanos, que envolvem

Segurança da
processos de seleção, remuneração, saúde, Segurança
Segurança da da
Informação
Informação
Informação
previdência e treinamento de colaboradores.
• Políticas de Vendas, que tratam do processo Segurança
Segurança
Cibernética
Cibernética
comercial e do relacionamento com o cliente. Segurança
Segurança
Cibernética
• Políticas de Produção, que regulam o processo Cibernética
produtivo e de qualidade.
• Políticas Ambientais, que abordam o impacto da Fonte: Adobe Stock
empresa no ambiente e questões de

sustentabilidade.
Conclusão
Nos tópicos anteriores, abordamos as políticas que

regem uma organização, focando especificamente
na PSI.
Na próxima aula, iniciaremos um novo assunto,

abordando a Lei Geral de Proteção de Dados.
Fonte: Adobe Stock

Aula 05
LGPD
O mundo virtual
Vivemos um mundo virtual, isso é um fato.

Segurança da
Conversamos com pessoas, trabalhamos, fazemos Segurança
Segurança da da
Informação
Informação
Informação
consultas médicas, jogamos, fazemos compras,
abrimos contas em bancos, tudo de forma virtual, Segurança
Segurança
Cibernética
Cibernética
dentre inúmeras outras atividades. Segurança
Segurança
Cibernética
Cibernética
Tudo que fazemos na internet deixa rastros que
interessam a terceiros. Seja um carrinho de compra Fonte: Adobe Stock
virtual que não finalizamos ao tipo de pesquisas que

realizamos livremente.
Relações contratuais
Todos nossos interesses são numericamente

Segurança da
catalogados e utilizados por Machine Learning. Segurança
Segurança da da
Informação
Informação
Informação
A quantidade de informações que produzimos Segurança

Segurança
Cibernética
Cibernética
diariamente geram valores imensuráveis para muitas Segurança
Segurança
Cibernética
instituições. Cibernética
Vocês já pararam para pensar na quantidade de Fonte: Adobe Stock
contratos que vocês assinam diariamente?

Consentimento
Quando baixamos apps clicamos em ícones dando

Segurança da
permissões de acesso a nossos dados. Segurança
Segurança da da
Informação
Informação
Informação
Também é fato que, na grande maioria das vezes, Segurança

Segurança
Cibernética
Cibernética
não paramos para ler o que estamos consentindo. Segurança
Segurança
Cibernética
Cibernética
Já imaginaram ter suas atividades diárias divulgadas
para todas as pessoas, considerando os lugares que Fonte: Adobe Stock
vocês frequentam, a comida que pedem, a bebida

que tomam, aquilo que se comenta nos bastidores?
Consentimento
Já imaginaram ter sua imagem vinculada a uma rede

Segurança da
social criminosa? Segurança
Segurança da da
Informação
Informação
Informação
Tudo isso e muito mais pode acontecer quando não Segurança

Segurança
Cibernética
Cibernética
se protege a privacidade e os dados pessoais. Segurança
Segurança
Cibernética
Cibernética
Toda vez que concordamos com termos e políticas
damos o nosso consentimento para que aquele Fonte: Adobe Stock
aplicativo ou site faça o que quiser com nossos

dados, não só o que livremente fornecemos, mas ao
histórico que é gerado por nós.
Valor da informação
Quanto vale sua privacidade? Quanto vale seu

Segurança da
histórico de navegação? Quanto vale os endereços Segurança
Segurança da da
Informação
Informação
Informação
dos locais que vocês frequentam? Quanto vale seus
dados pessoais? Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Esses são valores intrínsecos e extrínsecos que toda Cibernética
legislação de proteção de dados mundial tenta
preservar. Fonte: Adobe Stock
Privacidade
Dados processados geram valor econômico e hoje

Segurança da
esse valor tem sido bem alto. Segurança
Segurança da da
Informação
Informação
Informação
A internet nos da a falsa sensação de privacidade, Segurança

Segurança
Cibernética
Cibernética
mas, a partir do momento que estamos em rede não Segurança
Segurança
Cibernética
estamos sozinhos. Cibernética
Trancamos a porta de casa para impedir que Fonte: Adobe Stock
pessoas indesejáveis tenham acesso a nossas

casas, mas postamos fotos íntimas nas redes sociais
e a deixamos abertas para qualquer pessoa ver.
Contextualização dos dados
Damos autorização para sites e aplicativos

Segurança da
escanearem nossas imagens para verificarmos como Segurança
Segurança da da
Informação
Informação
Informação
ficaremos quando estivermos mais velhos.
Segurança
Segurança
Cibernética
Cibernética
E se nessa autorização estiver disposto que nossa Segurança
Segurança
Cibernética
imagem poderá ser utilizada para criação da Cibernética
inteligência artificial?
Fonte: Adobe Stock
Hoje temos aplicativos de inteligência artificial que

manipula nossas fotos e as colocam em contextos
diversos do que imaginamos.
Quem protege nossos dados nas relações virtuais?
Autorizamos e aceitamos tudo que aparece para

podermos utilizar um aplicativo ou um site.
Todos esses aceites são contratos. Quem protege

nossos dados nessas relações contratuais virtuais?
Quem nos protege da exposição indevida de nossos

dados pessoais quando nós mesmos não damos a Fonte: Adobe Stock
devida importância para sua proteção?

A lei e a ordem
Em cenários caóticos e perigosos o Direito precisa

intervir.
Essa intervenção acontece por meio de promulgação

de leis e regulamentos que ajudam a estabelecer a
ordem das coisas.
Assim surgiram as legislações mundiais sobre Fonte: Adobe Stock
proteção de dados. Para garantir a inviolabilidade de

nossa privacidade, não só no mundo físico, mas
também no digital.
A seguir...
Quando a ordem escapa do controle é o Direito que

a traz de volta.
É com essa força que recepcionamos a Lei Geral de

Proteção de Dados.
Assunto que estudaremos a partir da próxima aula.

Fonte: Adobe Stock
Fundamentos da Lei Geral de
Proteção de Dados
Introdução
O Direito à Privacidade, que faz parte do rol de

Segurança da
direitos fundamentais sociais, ganhou novas Segurança
Segurança da da
Informação
Informação
Informação
perspectivas na Era Digital.
Segurança
Segurança
Cibernética
Cibernética
Para não perder negócios, os países que ainda não Segurança
Segurança
Cibernética
tinham essa legislação específica, se viram Cibernética
obrigados a legislar, adaptando-se, principalmente,
mas não só, à Legislação Europeia (GDPR). Fonte: Adobe Stock
Proteção de dados na Europa
Iniciou com a Convenção 108/1980, que viabilizou a

Segurança da
harmonia da legislação de proteção de dados, Segurança
Segurança da da
Informação
Informação
Informação
através da Diretiva 95/46/CE, que concedeu ao
cidadão o direito de controlar suas informações Segurança
Segurança
Cibernética
Cibernética
pessoais e obrigou sites de pesquisa a remover Segurança
Segurança
Cibernética
dados pessoais impróprios. Cibernética
Posteriormente surgiu a Diretiva 2002/58/CE, que Fonte: Adobe Stock
regulamentou proteção de dados nos serviços de

comunicação eletrônica.
Proteção de dados na Europa
O General Data Protection Regulation (GDPR),

Segurança da
publicado em 14 de abril de 2016 e implementado Segurança
Segurança da da
Informação
Informação
Informação
em 25 de maio de 2018, revogou a Diretiva
95/46/CE. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
O objetivo do GDPR foi harmonizar as leis de Cibernética
proteção de dados pessoais por toda a Europa, com
o intuito de proteger a privacidade de todos os Fonte: Adobe Stock
cidadãos, reorganizando a maneira como

organizações lidam com dados privado.
Lei Geral de Proteção de Dados
Em agosto de 2018 foi aprovada a Lei nº 13.709/18

que entrou em vigor em setembro de 2020.
Posteriormente, em julho de 2019, foi instituída a

Autoridade Nacional de Proteção de Dados.
Em fevereiro de 2023 foi criada a dosimetria das

penalidades e em agosto aplicada a primeira multa. Fonte: Adobe Stock
Trata-se de uma Legislação jovem que ainda

passará por bastante mudanças.
Seu contexto histórico vem da necessidade do Brasil

se adequar às legislações internacionais que
passaram a cuidar dos dados pessoais no âmbito
dos Direitos Humanos.
Fonte: Adobe Stock
A LGPD é uma norma que regulamenta a utilização

da dados pessoais, não a proíbe.
Com a lei, toda atividade que envolve dados

pessoais tem regras e diretrizes claras e objetivas,
devendo estar alinhada com os tratamentos
determinados pela lei, o que traz segurança para os
titulares dos dados. Fonte: Adobe Stock
Importante destacar que a LGPD protege os dados

das pessoas físicas e não jurídicas.
A seguir...
A LGPD trouxe uma nova perspectiva de negócio

para o mercado internacional ao se adequar aos
padrões necessários.

Fonte: Adobe Stock

Conteúdo e Definições da LGPD
Dado pessoal e sensível
Antes de adentrarmos aos pormenores da Lei é

Segurança da
importante destacar a diferença entre dados Segurança
Segurança da da
Informação
Informação
Informação
pessoais simples e dados sensíveis, nos termos do
art. 5º, I e II: Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
I - dado pessoal: informação relacionada a pessoa Cibernética
natural identificada ou identificável;
Fonte: Adobe Stock
Dado pessoal e sensível
II - dado pessoal sensível: dado pessoal sobre

Segurança da
origem racial ou étnica, convicção religiosa, opinião Segurança
Segurança da da
Informação
Informação
Informação
política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente Segurança
Segurança
Cibernética
Cibernética
à saúde ou à vida sexual, dado genético ou Segurança
Segurança
Cibernética
biométrico, quando vinculado a uma pessoa natural; Cibernética
Essa definição é fundamental porque a LGPD dará Fonte: Adobe Stock
cuidado especial ao dado pessoal de natureza

sensível.
Princípios que norteiam as atividades de tratamento
O art. 6º da norma traz em seus incisos os princípios

Segurança da
que devem ser observados no tratamento de dados Segurança
Segurança da da
Informação
Informação
Informação
pessoais. São eles:
Segurança
Segurança
I. Finalidade VI. Transparência Cibernética
Cibernética
Segurança
Segurança
II. Adequação VII. Segurança Cibernética
Cibernética
III. Necessidade VIII. Prevenção

Fonte: Adobe Stock
IV. Livre acesso IX. Não discriminação
V. Qualidade dos dados X. Responsabilização e

prestação de contas
Bases legais de tratamento de dados pessoais
Conforme dissemos anteriormente a LGPD não

proíbe o tratamento de dados pessoais, ela somente
determina como eles devem ser tratados.
Ela traz nos incisos do art. 7º as hipóteses de

tratamento de dados num rol taxativo, ou seja, fora
dessas hipóteses, os dados pessoais não poderão
ser tratados. Fonte: Adobe Stock
Bases legais de tratamento de dados pessoais
As 10 bases legais da LGPD são:
I. Consentimento do titular VI. Execução ou preparação

contratual
II. Legítimo interesse VII. Exercício regular de
direitos
III. Cumprimento de VIII. Proteção da vida e da
obrigação legal ou incolumidade física
regulatória
Fonte: Adobe Stock
IV. Tratamento pela IX. Tutela de saúde do
administração pública titular
V. Realização de estudos e X. Proteção de crédito
de pesquisa
A forma de tratamento de dados determinada pela

LGPD não pode ser distinta das bases legais que
mencionamos.
Esses incisos é o que chamamos no Direito de rol

taxativo.
Fonte: Adobe Stock

A seguir...
Nesse tópico, iniciamos a abordagem dos artigos da

LGPD.
No próximo tópico, falaremos sobre os Direito dos

Titulares.
Fonte: Adobe Stock

Direito do Titulares
Direito dos Titulares
Um dos capítulos mais importantes que a LGPD traz

Segurança da
é o terceiro que trata dos Direitos dos Titulares. Segurança
Segurança da da
Informação
Informação
Informação
Assim dispõem o art. 18:
Segurança
Segurança
Cibernética
Cibernética
Art. 18. O titular dos dados pessoais tem direito a Segurança
Segurança
Cibernética
obter do controlador, em relação aos dados do titular Cibernética
por ele tratados, a qualquer momento e mediante
requisição: Fonte: Adobe Stock
I - confirmação da existência de tratamento

II - acesso aos dados

Segurança da
Segurança
Segurança da da
Informação
Informação
Informação
III - correção de dados incompletos, inexatos ou
desatualizados Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
IV - anonimização, bloqueio ou eliminação de dados Cibernética
desnecessários, excessivos ou tratados em
desconformidade com o disposto na LGPD Fonte: Adobe Stock
V - portabilidade dos dados a outro fornecedor de

Segurança da
serviço ou produto, mediante requisição expressa, de Segurança
Segurança da da
Informação
Informação
Informação
acordo com a regulamentação da autoridade
nacional, observados os segredos comercial e Segurança
Segurança
Cibernética
Cibernética
industrial Segurança
Segurança
Cibernética
Cibernética
VI - eliminação dos dados pessoais tratados com o
consentimento do titular, exceto nas hipóteses Fonte: Adobe Stock
previstas no art. 16 da LGPD

VII - informação das entidades públicas e privadas

Segurança da
com as quais o controlador realizou uso Segurança
Segurança da da
Informação
Informação
Informação
compartilhado de dados
Segurança
Segurança
Cibernética
Cibernética
VIII - informação sobre a possibilidade de não Segurança
Segurança
Cibernética
fornecer consentimento e sobre as consequências da Cibernética
negativa
Fonte: Adobe Stock
IX - revogação do consentimento, nos termos do § 5º

do art. 8º da LGPD
Os direitos dos titulares deverão ser atendidos

Segurança da
mediante requisição. Segurança
Segurança da da
Informação
Informação
Informação
Na plataforma gov.br é possível preencher uma Segurança

Segurança
Cibernética
Cibernética
requisição de acesso aos dados pessoais tratados. Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

Adequações à LGPD
Apesar dos direitos dos titulares de dados estarem

Segurança da
bem discriminados na LGPD, há inúmeros pontos da Segurança
Segurança da da
Informação
Informação
Informação
lei que precisam ser regulamentados pela ANPD, o
que dificulta um plano de resposta das empresas às Segurança
Segurança
Cibernética
Cibernética
solicitações dos titulares de dados. Segurança
Segurança
Cibernética
Cibernética
Enquanto a regulamentação desses pontos não
ocorre, as empresas devem seguir o caminho mais Fonte: Adobe Stock
seguro de adequação à lei, contando,

preferencialmente, com a ajuda de uma equipe
especializada em proteção de dados.
Conclusão
O dever do titular é o de manter seus dados

atualizados e informar qualquer modificação

Fonte: Adobe Stock

LGPD e Vazamento de Dados
Vazamento de Dados
Um ponto importante para destacarmos é sobre o

Segurança da
vazamento de dados e como a LGPD trabalha com Segurança
Segurança da da
Informação
Informação
Informação
esse tipo de incidente.
Segurança
Segurança
Cibernética
Cibernética
Então, inicialmente, o que se entende por Vazamento Segurança
Segurança
Cibernética
de Dados? Cibernética
É o ato pelo qual os dados confidenciais de uma Fonte: Adobe Stock
pessoa ou de uma organização são indevidamente

acessados, coletados e divulgados na internet ou
repassados a terceiros.
Como ocorre o vazamento de dados?
Normalmente o vazamento ocorre por:

Segurança da
Segurança
Segurança da da
Informação
Informação
Informação
• Códigos maliciosos que exploram vulnerabilidades
em sistemas Segurança
Segurança
Cibernética
Cibernética
• Acesso às contas dos usuários por meio de Segurança
Segurança
Cibernética
senhas fracas ou vazadas Cibernética
• Ação de funcionários ou ex-funcionários que
furtam informações dos sistemas da empresa e Fonte: Adobe Stock
repassam para terceiros

• Roubo de equipamentos que contenham dados
sigilosos
Qual é a diferença entre vazamento de dados e incidente de
segurança?
Considerando as definições da LGPD, um incidente

Segurança da
de segurança é um acontecimento indesejado ou Segurança
Segurança da da
Informação
Informação
Informação
inesperado, hábil a comprometer a segurança dos
dados pessoais, de modo a expô-los a acessos não Segurança
Segurança
Cibernética
Cibernética
autorizados e a situações acidentais ou ilícitas de Segurança
Segurança
Cibernética
destruição, perda, alteração, comunicação ou Cibernética
qualquer forma de tratamento inadequado ou ilícito.
Fonte: Adobe Stock
Qual é a diferença entre vazamento de dados e incidente de
segurança?
Um vazamento de dados é um tipo de incidente de

Segurança da
segurança que se refere especificamente à Segurança
Segurança da da
Informação
Informação
Informação
exposição não autorizada de dados pessoais e
informações privadas. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
O vazamento de dados é um dos tipos de incidente Cibernética
de segurança que traz mais risco tanto aos titulares
quanto à empresa controladora dos dados. Fonte: Adobe Stock
Quem responde legalmente caso ocorra um vazamento de dados
em uma empresa?
A LGPD determina que os agentes de tratamento de

Segurança da
dados (empresas e pessoas envolvidas no Segurança
Segurança da da
Informação
Informação
Informação
tratamento de dados pessoais) respondem
legalmente em caso de vazamento de dados. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Art. 44 (…) Cibernética
Parágrafo único. Responde pelos danos decorrentes
da violação da segurança dos dados o controlador Fonte: Adobe Stock
ou o operador que, ao deixar de adotar as medidas

de segurança previstas no art. 46 desta Lei, der
causa ao dano.”
Casos em que os agentes de tratamento não podem ser
responsabilizados
Nos termos do art. 43, os agentes de tratamento só

Segurança da
não serão responsabilizados quando provarem: Segurança
Segurança da da
Informação
Informação
Informação
I – que não realizaram o tratamento de dados Segurança

Segurança
Cibernética
Cibernética
pessoais que lhes é atribuído; Segurança
Segurança
Cibernética
II – que, embora tenham realizado o tratamento de Cibernética
dados pessoais que lhes é atribuído, não houve
violação à legislação de proteção de dados; ou Fonte: Adobe Stock
III – que o dano é decorrente de culpa exclusiva do

titular dos dados ou de terceiro.
O que a LGPD determina em caso de vazamento de dados?
Quando ocorre um incidente, o responsável pelo

Segurança da
tratamento dos dados analisa, primeiramente, a Segurança
Segurança da da
Informação
Informação
Informação
gravidade desse incidente. Quando há vazamento de
dados o incidente quase sempre é grave. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Havendo risco relevante ao titular, o responsável Cibernética
pelo tratamento dos dados deverá comunicar a
ANPD em até 72 horas após o conhecimento do Fonte: Adobe Stock
incidente, bem como os titulares dos dados.

O que a LGPD determina em caso de vazamento de dados?
Quando ocorre um incidente, o responsável pelo

Segurança da
tratamento dos dados analisa, primeiramente, a Segurança
Segurança da da
Informação
Informação
Informação
gravidade desse incidente. Quando há vazamento de
dados o incidente quase sempre é grave. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Havendo risco relevante ao titular, o responsável Cibernética
pelo tratamento dos dados deverá comunicar a
ANPD em até 72 horas após o conhecimento do Fonte: Adobe Stock
incidente, bem como os titulares dos dados.

Quais são as sanções da LGPD em caso de vazamento de dados?
A LGPD não prevê sanções específicas para

Segurança da
vazamento de dados, mas estabelece sanções para Segurança
Segurança da da
Informação
Informação
Informação
infrações à lei em geral.
Segurança
Segurança
Cibernética
Cibernética
Como uma das exigências da lei é adotar medidas Segurança
Segurança
Cibernética
para garantir a segurança dos dados, um vazamento Cibernética
pode ser considerado uma infração.
Fonte: Adobe Stock
Ainda, em seu artigo 44 a LGPD estabelece que o

tratamento de dados pessoais será irregular quando
não fornecer a segurança mínima necessária.
Sanções previstas na LGPD:

Segurança da
Segurança
Segurança da da
Informação
Informação
Informação
• Advertência, com prazo para corrigir as infrações;
• Multa simples de até 2% do faturamento da Segurança
Segurança
Cibernética
Cibernética
empresa no ano anterior, até o limite de R$ 50 Segurança
Segurança
Cibernética
milhões por infração Cibernética
• Multa diária de até 2% do faturamento da empresa
no ano anterior, até um limite de R$ 50 milhões Fonte: Adobe Stock
por infração
• Tornar publica a infração cometida

Segurança da
• Bloqueio dos dados pessoais relacionados à Segurança
Segurança da da
Informação
Informação
Informação
infração
• Eliminação dos dados pessoais relacionados à Segurança
Segurança
Cibernética
Cibernética
infração Segurança
Segurança
Cibernética
• Suspensão parcial do funcionamento do banco de Cibernética
dados a que se refere a infração pelo período
máximo de seis meses, prorrogável por igual Fonte: Adobe Stock
período
• Suspensão da atividade de tratamento dos dados

Segurança da
pessoais a que se refere a infração pelo período Segurança
Segurança da da
Informação
Informação
Informação
máximo de seis meses, prorrogável por igual
período Segurança
Segurança
Cibernética
Cibernética
• Proibição parcial ou total das atividades Segurança
Segurança
Cibernética
relacionadas a tratamento de dados Cibernética
As sanções serão aplicadas somente mediante Fonte: Adobe Stock
processo administrativo que possibilite a ampla

defesa, o contraditório e o direito de recurso.
A seguir...
Apesar da LGPD não trazer em seu texto normativo

a palavra “vazamento de dados” ele se configura
como um dos principais incidentes de segurança
dignos de sanções.

Fonte: Adobe Stock
Processo de Fiscalização da ANPD
Processo de Fiscalização da ANPD
O processo de fiscalização da ANPD tem por objetivo

Segurança da
apurar o cumprimento das normas de proteção de Segurança
Segurança da da
Informação
Informação
Informação
dados pessoais pelas empresas, por meio de
atividades de monitoramento, orientação e Segurança
Segurança
Cibernética
Cibernética
prevenção. Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

Qual a finalidade da fiscalização?
A finalidade do monitoramento é coletar informações

Segurança da
e dados pertinentes para auxiliar a ANPD na tomada Segurança
Segurança da da
Informação
Informação
Informação
de decisões, garantindo o adequado funcionamento
do ambiente regulado. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
No que diz respeito à orientação, essa atividade se Cibernética
destaca pelo enfoque na eficiência econômica e no
emprego de métodos e ferramentas que visam Fonte: Adobe Stock
fomentar a orientação, conscientização e educação

dos agentes de tratamento e dos titulares de dados
pessoais.
Qual a finalidade da fiscalização?
A atividade preventiva, por sua vez, envolve uma

Segurança da
abordagem preferencialmente centrada na Segurança
Segurança da da
Informação
Informação
Informação
colaboração construtiva e no diálogo para
desenvolver soluções e medidas. Essas buscam Segurança
Segurança
Cibernética
Cibernética
reconduzir o agente de tratamento à plena Segurança
Segurança
Cibernética
conformidade ou prevenir e remediar situações que Cibernética
possam representar risco ou causar danos aos
titulares de dados pessoais e a outros agentes de Fonte: Adobe Stock
tratamento.
Quais são os meios de atuação da fiscalização?
A Autoridade, no exercício de sua competência

Segurança da
fiscalizatória, pode atuar de ofício, por meio de Segurança
Segurança da da
Informação
Informação
Informação
programas periódicos de fiscalização, em
colaboração coordenada com órgãos e entidades Segurança
Segurança
Cibernética
Cibernética
públicas, ou em cooperação com autoridades de Segurança
Segurança
Cibernética
proteção de dados pessoais de outros países, seja Cibernética
em âmbito internacional ou transnacional.
Fonte: Adobe Stock
Quais são os meios de atuação da fiscalização?
A fiscalização conduzida pela ANPD visa promover a

Segurança da
compreensão das normas e políticas públicas Segurança
Segurança da da
Informação
Informação
Informação
relacionadas à proteção de dados pessoais, assim
como das medidas de segurança. Isso é feito para Segurança
Segurança
Cibernética
Cibernética
disseminar boas práticas, conforme estabelecido Segurança
Segurança
Cibernética
pela LGPD, entre os titulares de dados e os agentes Cibernética
de tratamento.
Fonte: Adobe Stock
Quais são as 10 premissas da Fiscalização?
• Harmonização com o plano estratégico, os

Segurança da
mecanismos de monitoramento das operações de Segurança
Segurança da da
Informação
Informação
Informação
tratamento de dados e a Política Nacional de
Proteção de Dados Pessoais e da Privacidade. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
• Ênfase na priorização de ações fundamentadas Cibernética
em evidências e riscos regulatórios, com
direcionamento e orientação voltados para Fonte: Adobe Stock
alcançar resultados.
• Atuação de maneira responsiva, implementando

Segurança da
medidas proporcionais ao risco identificado e à Segurança
Segurança da da
Informação
Informação
Informação
conduta dos agentes regulados.
Segurança
Segurança
Cibernética
Cibernética
• Incentivo para fomentar a cultura de proteção de Segurança
Segurança
Cibernética
dados pessoais. Cibernética
• Inclusão de dispositivos para promover Fonte: Adobe Stock
transparência, retroalimentação e autorregulação.

• Promoção da responsabilidade e prestação de

Segurança da
contas por parte dos agentes de tratamento. Segurança
Segurança da da
Informação
Informação
Informação
• Fomento à conciliação direta entre as partes, com Segurança

Segurança
Cibernética
Cibernética
ênfase na resolução de problemas e na reparação Segurança
Segurança
Cibernética
de danos pelo controlador, em conformidade com Cibernética
os princípios e direitos do titular estabelecidos na
LGPD. Fonte: Adobe Stock
• Necessidade de intervenção mínima na imposição

Segurança da
de condições administrativas para o tratamento de Segurança
Segurança da da
Informação
Informação
Informação
dados pessoais.
Segurança
Segurança
Cibernética
Cibernética
• Realização das atividades fiscalizatórias de forma Segurança
Segurança
Cibernética
mais adequada às competências da ANPD. Cibernética
Fonte: Adobe Stock

Conclusão
Concluímos nessa aula o tema LGPD e suas

premissas.
Na próxima, falaremos um pouco sobre Ética em

Segurança Cibernética.
Fonte: Adobe Stock

Aula 06
Ética
Ética
A discussão sobre ética e moral perdura ao longo

Segurança da
dos séculos, mantendo-se relevante até os dias Segurança
Segurança da da
Informação
Informação
Informação
atuais.
Segurança
Segurança
Cibernética
Cibernética
Pensadores de diversas épocas, como Sócrates e Segurança
Segurança
Cibernética
Immanuel Kant, ofereceram suas próprias Cibernética
interpretações desses conceitos.
Fonte: Adobe Stock
Ética
À medida que o tempo avança, essas noções

Segurança da
evoluem para se adequar às novas realidades. Além Segurança
Segurança da da
Informação
Informação
Informação
disso, a interação entre ética e moral encontra
aplicação em uma variedade de contextos. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Nas organizações, por exemplo, elas desempenham Cibernética
um papel crucial integrando-se a códigos de conduta.
Fonte: Adobe Stock
Ética e Moral
Ética e moral são dois conceitos que abordam o

Segurança da
comportamento humano na sociedade, embora não Segurança
Segurança da da
Informação
Informação
Informação
sejam sinônimos, mas sim complementares.
Segurança
Segurança
Cibernética
Cibernética
Embora haja uma interconexão entre eles, a origem Segurança
Segurança
Cibernética
e o significado de ética e moral não são idênticos. Cibernética
Vamos examinar os conceitos e as distinções entre Fonte: Adobe Stock
essas duas palavras.

Ética e Moral
A moral refere-se a um conjunto de normas que

Segurança da
orientam o comportamento das pessoas em Segurança
Segurança da da
Informação
Informação
Informação
contextos específicos. Este conceito tem uma
natureza particular e fundamenta-se principalmente Segurança
Segurança
Cibernética
Cibernética
em hábitos e costumes. Segurança
Segurança
Cibernética
Cibernética
A ética desempenha essencialmente o papel de
racionalizar a moral, representando uma reflexão Fonte: Adobe Stock
sobre as ações humanas. Em outras palavras, as

noções de certo e errado, justo e injusto derivam dos
nossos valores éticos.
Ética e Moral
Diferentemente da moral, a ética é um conceito de

Segurança da
caráter universal, fundamentado em princípios Segurança
Segurança da da
Informação
Informação
Informação
teóricos.
Segurança
Segurança
Cibernética
Cibernética
Apesar de suas disparidades, ética e moral Segurança
Segurança
Cibernética
compartilham pelo menos uma semelhança notável: Cibernética
ambas contribuem para delinear os valores que
guiarão o comportamento individual, estabelecendo Fonte: Adobe Stock
noções de índole e caráter, buscando a melhor

maneira de viver em sociedade.
Origem do conceito
Enquanto "ética" tem sua raiz no grego "ethos", que

Segurança da
significa "modo de ser", "moral" provém do latim Segurança
Segurança da da
Informação
Informação
Informação
"mores", traduzido como "costumes".
Segurança
Segurança
Cibernética
Cibernética
A moral sempre esteve presente, desde os Segurança
Segurança
Cibernética
primórdios da humanidade, a ética, por outro lado, Cibernética
iniciou suas discussões a partir do filósofo Sócrates,
durante o Período Clássico da Grécia Antiga, Fonte: Adobe Stock
aproximadamente no século IV a.C.

Qual a importância da Ética e da Moral?
O conceito de ética e moral desempenha um papel

Segurança da
crucial na definição de valores essenciais para uma Segurança
Segurança da da
Informação
Informação
Informação
sociedade, pois regula a convivência e contribui para
a formação do caráter das pessoas. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Esses valores servem como guias quando Cibernética
confrontados com situações difíceis e imprevistas.
Fonte: Adobe Stock
Qual a relação entre Ética e Moral?
Apesar de possuírem significados distintos, ética e

Segurança da
moral estão intrinsecamente conectadas, sendo a Segurança
Segurança da da
Informação
Informação
Informação
ética, em última análise, uma reflexão aprofundada
sobre a moral. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Cibernética
Uma situação moralmente inaceitável pode não ser
reprovada eticamente, exemplo: furto famélico.
Fonte: Adobe Stock
E qual a importância da Ética para a Segurança Cibernética?
A ética desempenha um papel fundamental na

Segurança da
Segurança Cibernética, pois ajuda a estabelecer Segurança
Segurança da da
Informação
Informação
Informação
padrões de conduta e comportamento que
promovem a proteção adequada dos dados e Segurança
Segurança
Cibernética
Cibernética
sistemas. Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

A seguir...
Nesse tópico, abordamos inicialmente alguns

conceitos sobre ética e moral.
No próximo tópico, conheceremos um pouco mais

sobre Ética em Segurança Cibernética.
Fonte: Adobe Stock

Ética e aspectos jurídicos em
Segurança Cibernética
Ética em Segurança Cibernética
A temática da Segurança Cibernética possui uma

Segurança da
significativa relevância global, e o Brasil não foge a Segurança
Segurança da da
Informação
Informação
Informação
essa realidade.
Segurança
Segurança
Cibernética
Cibernética
Com a constante evolução da tecnologia e o Segurança
Segurança
Cibernética
crescente uso da internet, tornou-se imperativo Cibernética
abordar os aspectos éticos e legais associados à
proteção de dados e à segurança digital. Fonte: Adobe Stock
Princípio da Transparência
É fundamental que as organizações forneçam

Segurança da
informações transparentes e precisas sobre suas Segurança
Segurança da da
Informação
Informação
Informação
práticas, o que implica obter o consentimento dos
usuários antes de coletar e processar seus dados Segurança
Segurança
Cibernética
Cibernética
pessoais. Segurança
Segurança
Cibernética
Cibernética
Os indivíduos devem receber esclarecimentos sobre
a finalidade da coleta, o uso previsto e os direitos Fonte: Adobe Stock
que detêm em relação às suas informações, bem

como sobre seu armazenamento e exclusão.
Melhores práticas
Os especialistas em Segurança Cibernética têm o

Segurança da
dever de atuar com diligência, adotando medidas Segurança
Segurança da da
Informação
Informação
Informação
apropriadas para resguardar sistemas e informações.
Segurança
Segurança
Cibernética
Cibernética
Isso abrange a atualização constante em relação às Segurança
Segurança
Cibernética
melhores práticas de segurança, a implementação Cibernética
de medidas protetivas eficazes e a pronta resposta a
incidentes de segurança. Fonte: Adobe Stock
Comportamento Ético
Como vimos nas aulas passadas, a Segurança

Segurança da
Cibernética segue uma série de normas, diretrizes e Segurança
Segurança da da
Informação
Informação
Informação
padrões internacionais para se manter em
conformidade. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
O comportamento ético dos especialistas consiste Cibernética
em ter esses padrões estabelecidos como limites
para suas ações e ter o dever de disseminar a Fonte: Adobe Stock
cultura cibernética nesse contexto.

LGPD
Sob uma perspectiva legal, existe um conjunto de

Segurança da
leis, regulamentações e convenções internacionais Segurança
Segurança da da
Informação
Informação
Informação
destinadas a preservar a segurança digital e os
direitos dos usuários. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
No âmbito jurídico brasileiro, a Lei Geral de Proteção Cibernética
de Dados (LGPD), por meio do decreto nº
8.771/2016, define normas referentes à coleta, uso, Fonte: Adobe Stock
armazenamento e compartilhamento de dados

pessoais.
LGPD
Além disso, ela estipula os direitos dos titulares de

Segurança da
dados, tais como acesso, retificação e exclusão de Segurança
Segurança da da
Informação
Informação
Informação
informações pessoais, ao mesmo tempo que
estabelece as sanções administrativas aplicáveis em Segurança
Segurança
Cibernética
Cibernética
caso de violações à proteção de dados. Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

Qual a importância da Ética no ambiente cibernético?
A observância de uma abordagem ética e o

Segurança da
cumprimento das leis são elementos essenciais para Segurança
Segurança da da
Informação
Informação
Informação
assegurar a proteção dos dados e a segurança
digital dos cidadãos. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Torna-se crucial que empresas e profissionais no Cibernética
campo da Segurança Cibernética mantenham-se
atualizados e em conformidade com as leis e Fonte: Adobe Stock
regulamentações em vigor, implementando medidas

apropriadas de proteção de dados e segurança
digital.
A seguir...
Nesse tópico, abordamos a Ética dentro de um

contexto jurídico.
No próximo tópico, conheceremos o que é Ethical

Hacking.
Fonte: Adobe Stock

Ethical Hacking
O que é Ethical Hacking?
O Ethical Hacking desempenha a função de detectar

Segurança da
vulnerabilidades em sistemas e na infraestrutura de Segurança
Segurança da da
Informação
Informação
Informação
uma empresa de maneira responsável.
Segurança
Segurança
Cibernética
Cibernética
Suas habilidades possibilitam a análise minuciosa da Segurança
Segurança
Cibernética
implementação de software, permitindo determinar a Cibernética
presença ou ausência de potenciais ameaças de
invasão por parte de criminosos cibernéticos. Fonte: Adobe Stock
O que é Ethical Hacking?
Com base nessa descrição, pode-se deduzir que um

Segurança da
Ethical Hacking realiza atividades semelhantes às de Segurança
Segurança da da
Informação
Informação
Informação
um indivíduo mal-intencionado.
Segurança
Segurança
Cibernética
Cibernética
No entanto, é crucial destacar que uma das Segurança
Segurança
Cibernética
características primordiais desse profissional é a sua Cibernética
integridade e aderência estrita às normas da
empresa para a qual está trabalhando. Fonte: Adobe Stock
Qual a importância do Ethical Hacking?
Num mundo em que as relações virtuais se tornam

Segurança da
cada vez mais intensas proporcionalmente a Segurança
Segurança da da
Informação
Informação
Informação
vulnerabilidade tende a ficar mais evidente.
Segurança
Segurança
Cibernética
Cibernética
Consequentemente, profissionais como o Ethical Segurança
Segurança
Cibernética
Hacking são cada vez mais necessários para se Cibernética
manter a integridade de ambientes e sistemas.
Fonte: Adobe Stock
Como atua o Ethical Hacking?
Uma das abordagens amplamente reconhecidas do

Segurança da
Ethical Hacking é por meio do Pentest, também Segurança
Segurança da da
Informação
Informação
Informação
chamado de teste de penetração.
Segurança
Segurança
Cibernética
Cibernética
O propósito desse procedimento é simular ataques a Segurança
Segurança
Cibernética
redes e servidores, semelhantes aos que poderiam Cibernética
ser executados por criminosos cibernéticos.
Fonte: Adobe Stock
Como atua o Ethical Hacking?
Se o profissional de Ethical Hacking identificar

Segurança da
alguma vulnerabilidade durante esse processo, ele Segurança
Segurança da da
Informação
Informação
Informação
pode enviar um relatório ao departamento de TI ou
tomar medidas corretivas, se autorizado. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

Qual o perfil de um Ethical Hacking?
Um Ethical Hacking bem-sucedido deve manter-se

Segurança da
constantemente atualizado sobre as inovações na Segurança
Segurança da da
Informação
Informação
Informação
era digital.
Segurança
Segurança
Cibernética
Cibernética
Diariamente, surgem novas linguagens de Segurança
Segurança
Cibernética
programação e códigos diversos. Portanto, se esse Cibernética
profissional não estiver atento a tais atualizações,
corre o risco de negligenciar diversas Fonte: Adobe Stock
vulnerabilidades nos sistemas que monitora.

Qual o perfil de um Ethical Hacking?
O apreço pela leitura também é comum, pois muitas

Segurança da
respostas para os desafios dos projetos com os Segurança
Segurança da da
Informação
Informação
Informação
quais lidam estão nas documentações de integração
das APIs dos softwares utilizados. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Essas informações podem, também, ser encontradas Cibernética
em artigos de blog compartilhados por colegas de
profissão. Fonte: Adobe Stock
Conclusão
Nesse tópico, conhecemos um pouco sobre a figura

do Ethical Hacking.
No próximo tópico, abordaremos o Código de Ética

Profissional.
Fonte: Adobe Stock

Ética profissional
O que é ética profissional?
A ética profissional refere-se aos princípios e

Segurança da
padrões de comportamento moral que orientam as Segurança
Segurança da da
Informação
Informação
Informação
ações e decisões de indivíduos em suas atividades
profissionais. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Esses princípios visam promover a integridade, Cibernética
responsabilidade, honestidade e respeito nas
relações e práticas profissionais. Fonte: Adobe Stock
Alguns princípios da ética profissional
A ética profissional varia de acordo com a área de

Segurança da
atuação e as normas específicas associadas a cada Segurança
Segurança da da
Informação
Informação
Informação
profissão.
Segurança
Segurança
Cibernética
Cibernética
No entanto, alguns princípios éticos comuns incluem: Segurança
Segurança
Cibernética
Cibernética
Integridade: Agir com honestidade e coerência,
mantendo a verdade em todas as interações Fonte: Adobe Stock
profissionais.
Confidencialidade: Respeitar e manter a privacidade

Segurança da
das informações confidenciais dos clientes, colegas Segurança
Segurança da da
Informação
Informação
Informação
e da empresa.
Segurança
Segurança
Cibernética
Cibernética
Responsabilidade: Assumir responsabilidade pelas Segurança
Segurança
Cibernética
próprias ações e decisões, buscando sempre o Cibernética
melhor interesse do cliente, empregador ou público
em geral. Fonte: Adobe Stock
Respeito: Tratar todas as pessoas com respeito e

Segurança da
dignidade, independentemente de diferenças de Segurança
Segurança da da
Informação
Informação
Informação
raça, gênero, religião, orientação sexual, entre
outros. Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Competência: Buscar constantemente aprimorar Cibernética
suas habilidades e conhecimentos para
desempenhar suas funções de maneira eficaz e Fonte: Adobe Stock
profissional.
Colaboração: Trabalhar de forma colaborativa e

Segurança da
respeitosa com colegas e outros profissionais, Segurança
Segurança da da
Informação
Informação
Informação
promovendo um ambiente saudável e produtivo.
Segurança
Segurança
Cibernética
Cibernética
Segurança
Segurança
Cibernética
Cibernética
Fonte: Adobe Stock

A importância da ética profissional
A ética profissional é fundamental para a construção

Segurança da
de relações de confiança, a reputação do profissional Segurança
Segurança da da
Informação
Informação
Informação
e o bom funcionamento da sociedade como um todo.
Segurança
Segurança
Cibernética
Cibernética
Muitas vezes ela está configurada em códigos de Segurança
Segurança
Cibernética
ética profissional específicos de cada profissão e é Cibernética
parte integrante da responsabilidade social e do
comprometimento com o bem comum. Fonte: Adobe Stock
Qual a postura ética do profissional de Segurança Cibernética?
Não temos um Código de Ética definido nessa área

Segurança da
profissional, contudo algumas regras básicas são Segurança
Segurança da da
Informação
Informação
Informação
evidentes:
Segurança
Segurança
Cibernética
Cibernética
• Caso sua organização tenha regras estipuladas Segurança
Segurança
Cibernética
quanto a hardware e software, respeite! Cibernética
• Na dúvida se sua ação está em conformidade ou
não com a cultura da organização, pergunte! Fonte: Adobe Stock
• Ao observar a possibilidade de um incidente,

notifique!
Conclusão
Nesse tópico, abordamos os principais fundamentos

da Ética Profissional.
Fonte: Adobe Stock

Recapitulando
Conclusão
Neste curso, você aprendeu sobre a

Confidencialidade, Integridade e Disponibilidade e
quais são os principais fireworks utilizados em um
sistema de segurança. Além disso, conheceu sobre
os controles de segurança e treinamentos e quais
são as políticas de segurança utilizadas em uma
empresa.
Fonte: Adobe Stock
Por fim, aprendeu as principais normas da Lei Geral

de Proteção de Dados (LGPD) e quais são os
conceitos de éticas e Ethical Hacking.
Referências
Controles de Segurança Cibernética. Disponível em: https://portal.tcu.gov.br/5-controles-de-seguranca-cibernetica.htm

Acesso em 10/10/23
Ethical Hacking: entenda o que é e qual a importância do profissional, disponível em: https://blog.cronapp.io/ethical-
hacking-entenda-o-que-e-e-qual-a-importancia-do-profissional/ Acesso em 24/11/23
Ética e Moral, disponível em: https://fia.com.br/blog/etica-e-moral/ Acesso em 16/11/23 Frameworks de Segurança:

Uma Análise Comparativa entre CIS Controls, NIST CSF e ISO 27.001. Disponível em:
https://clavis.com.br/frameworks-de-seguranca-e-book/ Acesso em 21/08/23
GRC: o guia completo sobre Governança, Risco e Compliance. Disponível em:

https://www.strongsecurity.com.br/blog/grc-o-guia-completo-sobre-governanca-riscos-e-compliance/ Acesso em
22/08/23
Guia do Framework de Privacidade e Segurança da Informação. Disponível em: https://www.gov.br/gestao/pt-br

Acesso em 22/08/23
Referências
O que é e como ser um Ethical Hacker? Disponível em: https://acaditi.com.br/o-que-e-e-como-ser-um-ethical-hacker/

Acesso em 24/11/23
Política de Segurança da Informação, disponível em: https://www.siteware.com.br/seguranca/politica-de-seguranca-

da-informacao/ Acesso em 26/10/23
Processo de fiscalização ANPD, disponível em: https://chcadvocacia.adv.br/processo-de-fiscalizacao-da-

anpd/#:~:text=A%20fiscaliza%C3%A7%C3%A3o%20da%20ANPD%20promover%C3%A1,e%20aos%20agentes%20de%2
0tratamento. Acesso em 14/11/23’

Compreender Os Principais Elementos Relacionados A Governança, Risco e Compliance 1 e 2

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Compreender Os Principais Elementos Relacionados A Governança, Risco e Compliance 1 e 2

Enviado por

Direitos autorais:

Formatos disponíveis

Compreender os principais elementos

relacionados a governança, risco e compliance

Aula 2 – Principais Frameworks

Aula 3 – Controle de Segurança

É o conjunto de medidas práticas que uma empresa

Fonte: Adobe Stock

Governança em T.I é o conjunto de processos,

Riscos são todos os eventos que afetam de alguma

Fonte: Adobe Stock

Compliance é o ato pelo qual a empresa cumpre

Processos e procedimentos bem estruturados

• Funcionamento correto do negócio;

Fonte: Adobe Stock

• Alinha as expectativas de mercado e suas

• Adota medidas focadas na qualidade da

de sistemas, aumentando sua competitividade.

• Independente do planejamento prévio, toda e

• Também podem ser vistos como oportunidades

• A Gestão dos Riscos ameniza as ameaças que

• Aumenta a credibilidade perante os investidores e

• Reconhece práticas ilícitas em outras

• Reduz custo, aumenta a conscientização dos

A Segurança da Informação tem por objetivo

O Pilar da Confidencialidade protege as

resultados favoráveis ​nesse sentido.

O Pilar da Integridade é responsável por manter as

Fonte: Adobe Stock

O Pilar da disponibilidade determina que o ideal

Os pilares da Segurança da Informação são como

No próximo tópico daremos continuidade a essa

Toda a estrutura da Segurança da Informação deve

Por isso, é fundamental reforçá-los nos processos e

• Política de Gestão de Acesso bem estruturada;

• Política de Classificação da Informação;

• Autenticação em dois fatores.

• Sistemas licenciados e constantemente

• Processos gerenciais bem definidos e seguros,

• Elaboração de políticas e normas;

• Mantendo os patches de segurança em dia;

• Mantendo backups e cópias de seguranças.

Fortalecendo os pilares cria-se uma estrutura básica

No próximo tópico daremos continuidade a essa

No âmbito da Segurança da Informação, além dos

Confirmação de que os dados possuem legitimidade,

O pilar da irretratabilidade ou não repúdio atua para

Fonte: Adobe Stock

Está diretamente ligado ao valor legal da

Fonte: Adobe Stock

Diante das diversas formas e formatos que o mundo

Os Pilares, de uma forma geral, são como princípios

Entender os pilares e sua importância é o primeiro

Fonte: Adobe Stock

É qualquer referência normativa que estabeleça um

Oferecer o melhor processo para a organização

• Criam modelos de construção de programas de

• Estabelece a criação de políticas, que serão

de instruções e acerca de condutas e punições

• Gerenciam riscos que tende a trabalhar em cima

• Avaliam todas as portas de entrada, transferência

vulnerabilidades e aumentando o nível de

Entender o conceito de framework e sua

Fonte: Adobe Stock

Existem diversos frameworks no mercado e cada

resultados favoráveis nesse sentido.