NIST 2.

0 | ISO 27001:2022 | CIS CONTROL V8

Sistema de Gestão da Segurança da

Informação & Segurança Cibernética
Conscientização Corporativa

Atualizado em: 21/03/2024

CURRÍCULO RESUMIDO
Wellington Antonio Monaco
❑ Chief Compliance Officer | Head de Governança de
Privacidade e Proteção de Dados
❑ Palestrante | Coaching & Instrutor – Governança
Corporativa, Governança de TI e Governança de
Privacidade - EXIN DPO
- Compliance e Governança Corporativa
- Jornada de Adequação e de Sustentação à LGPD
- Implementação de Soluções de Segurança da Informação
- Implementação de Gerenciamento e Tratamento de
Incidentes de Segurança da Informação.
- Implementação da Privacidade desde a Concepção e
Privacidade por Padrão
- Auditor Interno - ISO 27001
- Diretor de Serviços Gerenciados e Central de Serviços
Compartilhados:
- Implementação de Serviços Gerenciados nos cliente no
foco de Redução de Custo e Melhoria de Desempenho
Operacional.
- Consultor Estratégico em Governança de TI e Governança
Corporativa
- FASP | Bacharel em Administração de Empresas e Analise
de Sistemas
- FIAP | Pós-Graduação em Gestão de Projetos
- UNINOVE | Mestrado Gestão da Tecnologia da Informação
e Gestão do Conhecimento.
WhatsApp: +55 11 99222-4396
Linkedln: https://www.linkedin.com/in/wmonaco
Youtube: palestrantemonaco
Instagran: @monacowellington
Email: monaco@palestrantemonaco.com.br
Site: www.palestrantemonaco.com.br
Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 3 30
Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 5 / 30
 Organização controles na ISO/IEC 27002:2022
4 Temas 93 Controles 5 Atributos Valores dos atributos
Tipos de controles Preventivo Detectivo Corretivo

Princípios de SI Confidencialidade Disponibilidade Integridade

Conceitos Segurança
Identificar Proteger Detectar Responder Recuperar
Controles Cibernética
organizacionais 37 controles
• Governança • Gestão de Ameaças e
• Gestão de ativos Vulnerabilidades
Controles de • Continuidade
ISO/IEC Pessoas 8 controles • Proteção da informação
• Segurança cadeira de
• Segurança em RH
27002:2022 Capacidades • Segurança física suprimentos
Controles
14 controles operacionais • Segurança Sistemas e Redes • Legal e Compliance
físicos • Segurança de Aplicações • Gestão de eventos de
SI
• Configuração Segura
Controles 34 controles • Gestão de Identidade e Acesso
• Garantia de SI
tecnológico
• Governança e Ecossistema
Domínios de • Proteção
Segurança • Defesa
• Resiliência
1 Entender os Elaborar e
Estabelecer Estabelecer Criar o
2 Iniciando o
Projeto de SGSI motivadores aprovar um
Realizar Gap
Analysis Inicial
uma abordagem
de projeto de
uma equipe de
projeto de
cronograma do
projeto de
para o SGSI business case
Revisão implementação implementação implementação

estrutura
ISO/IEC Entender o Determinar o Definir os
Obter o
Estabelecer
Estabelecer

27001 3 Planejamento contexto e escopo do SGSI objetivos de SI

Iniciar o Manual comprometi-
políticas de SI
estrutura e
do SGSI necessidades (4.3) (6.2)
do SGSI (4.4) mento da alta
(5.2)
responsabilidad
(4.1 e 4.2) direção (5.1) es (5.3)

Estabelecer uma Realizar Completar a

4 Avaliação de metodologia de avaliação e Declaração de
Riscos gerenciamento de tratamento de Aplicabilidade
riscos (6.1) riscos (8.2 e 8.3) (6.1)

Obter os Planejar e Implementar Planejamento e

Recursos (7.1) e executar Implementar
5 Operacionalizaç definir Conscientização e
comunicação (7.3
Controle de
Documentos
Gestão de
Mudanças (6.3)
Controle
Operacional
ão do SGSI competências
(7.5) (8.1)
(7.2) e 7.4)

Implementaçã Selecionar e
Implementar
6 o dos controles
do (Anexo A)
controles (8.1 e
8.2) e ANEXO A Act Plan

Avaliação de Monitoração, Análise Crítica

Desempenho Medição, Auditoria Interna
7 do SGSI
Análise e (9.2)
pela Direção
(9.3)
Avaliação (9.1)
Check Do
Manutenção e Tratamento das
melhoria do não Melhoria
8 SGSI
conformidades
(10.1)
contínua (10.2)

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 11 30

 De onde vem os controles de SI?
Anexo A O anexo A da ISO/IEC 27001:2022
ISO/IEC NIST COBIT contém uma lista de controles
São detalhados
na
27001 aplicáveis à maioria das
organizações.

O detalhamento e orientações de
ITIL CMMI Etc. implementação são encontradas
na ISO/IEC 27002:2022.
ISO/IEC
27002:2022

Declaração de
Aplicabilidade

Controles Controles Controles Controles

Organizacionais de Pessoas Físicos Tecnológicos
(37) (8) (14) (34)

93 CONTROLES

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 12 30

A seleção de controles é orientada pelos
resultados da avaliação de riscos
Você não pode simplesmente
começar a selecionar os

Avaliação de
controles e/ou escrever os

Tratamento
documentos que você mais

de riscos
gosta – a questão é que a

riscos
Política SI
seleção de controles deve ser

Escopo
uma consequência direta dos
processos de avaliação de
riscos e do tratamento de Implementação
riscos. de controles

Controle
Critérios Medidas

Efetividade
Efeitos
potenciais

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 13 / 30

 Controles Controles de Controles Controles
Organizacionais Pessoas Físicos Tecnológicos
(37) (8) (14) (34)

93 CONTROLES

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 14 / 30

Controles Organizacionais (37)
• A.5.1 Políticas de segurança da informação • A.5.21 Gerenciando a segurança da informação na tecnologia da
• A.5.2 Papéis e responsabilidades pela segurança da informação informação e comunicação (TIC) cadeia de suprimentos
• A.5.3 Segregação de funções • A.5.22 Monitoramento, revisão e gerenciamento de mudanças
• A.5.4 Responsabilidades de gestão dos serviços do fornecedor
• A.5.5 Contato com autoridades • A.5.23 Segurança da informação para uso de serviços em nuvem
• A.5.6 Contato com grupos de interesse especial • A.5.24 Planejamento e gerenciamento de incidentes de
• A.5.7 Inteligência de ameaças segurança da informação
• A.5.8 Segurança da informação no gerenciamento de projetos • A.5.25 Avaliação e decisão sobre eventos de segurança da
• A.5.9 Inventário de informações e outros ativos associados informação
• A.5.10 Uso aceitável de informações e outros ativos associados • A.5.26 Resposta a Incidentes de Segurança da Informação
• A.5.11 Devolução de ativos • A.5.27 Aprendizado com Incidentes de Segurança da Informação
• A.5.12 Classificação das informações • A.5.28 Coleta de provas
• A.5.13 Rotulagem de informações • A.5.29 Segurança da informação durante a interrupção
• A.5.14 Transferência de informações • A.5.30 Prontidão de TIC para continuidade de negócios
• A.5.15 Controle de acesso • A.5.31 Requisitos legais, estatutários, regulamentares e
• A.5.16 Gerenciamento de identidade contratuais
• A.5.17 Informações de autenticação • A.5.32 Direitos de propriedade intelectual
• A.5.18 Direitos de acesso • A.5.33 Proteção de registros (Logs )
• A.5.19 Segurança da informação no relacionamento com • A.5.34 Privacidade e Proteção de Dados Pessoais (DP)
fornecedores • A.5.35 Análise crítica independente da segurança da informação
• A.5.20 Abordagem da segurança da informação nos contratos • A.5.36 Conformidade com as políticas, regras e padrões de
com fornecedores segurança da Informação:
• A.5.37 Procedimentos operacionais documentados

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 15 / 30

Controles de Pessoas (8)
• A.6.1 Seleção
• A.6.2 Termos e condições de contratação
• A.6.3 Consciência, educação e treinamento em segurança da informação
• A.6.4 Processo disciplinar
• A.6.5 Responsabilidades após encerramento ou mudança de contratação
• A.6.6 Acordos de confidencialidade ou não divulgação
• A.6.7 Trabalho remoto
• A.6.8 Relato de eventos de segurança da informação

Controles Físicos (14)

• A.7.1 Perímetros de Segurança Física
• A.7.2 Controle de Acesso | Entrada Física
• A.7.3 Garantir Filiais, Escritórios, Salas e Instalações
• A.7.4 Monitoramento de Segurança Física
• A.7.5 Proteção contra ameaças físicas e ambientais
• A.7.6 Trabalhando em Áreas Seguras
• A.7.7 Mesa Limpa e Tela Limpa
• A.7.8 Localização e Proteção de Equipamentos (Ativos)
• A.7.9 Segurança de ativos fora das instalações da organização
• A.7.10 Gerenciamento de Mídias de Armazenamento Removível:
• A.7.11 Serviços de infraestrutura
• A.7.12 Segurança de Cabeamento
• A.7.13 Manutenção do Equipamentos
• A.7.14 Descarte Seguro ou Reutilização de Equipamentos

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 16 / 30

Controles Tecnológicos (34)
• A.8.1 Dispositivos de endpoint do usuário
• A.8.2 Direitos de acesso privilegiado
• A.8.3 Restrição de acesso à informação
• A.8.4 Acesso ao código fonte
• A.8.5 Autenticação Segura
• A.8.6 Gerenciamento de Capacidade
• A.8.7 Proteção contra Malware
• A.8.8 Gerenciamento de Vulnerabilidades Técnicas
• A.8.9 Gerenciamento de Configuração
• A.8.10 Exclusão de informações
• A.8.11 Mascaramento de dados
• A.8.12 Prevenção de Vazamento de Dados
• A.8.13 Backup de informações
• A.8.14 Redundância de instalações de processamento de
informações
• A.8.15 Logs
• A.8.16 Atividades de Monitoramento
• A.8.17 Sincronização do Relógio
• A.8.18 Uso de Programas Utilitários Privilegiados
• A.8.19 Instalação de Software em Sistemas Operacionais
• A.8.20 Segurança de Redes
• A.8.21 Segurança dos Serviços de rede
• A.8.22 Segregação de Redes
• A.8.23 Filtragem da Web
• A.8.24 Dados | Uso de criptografia
• A.8.25 Ciclo de vida de desenvolvimento seguro
• A.8.26 Requisitos de segurança do aplicativo
• A.8.27 Arquitetura de sistema seguro e princípios de engenharia
• A.8.28 Codificação Segura
• A.8.29 Testes de Segurança em Desenvolvimento e Critérios de
Homologação
• A.8.30 Desenvolvimento terceirizado
• A.8.31 Separação de ambientes de desenvolvimento, teste e
produção
• A.8.32 Controle de Gerenciamento de Mudanças
• A.8.33 Informações de Teste
• A.8.34 Proteção de Sistemas de Informação durante testes de
auditoria

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 17 / 30

Layout dos Controles na ISO/IEC 27002:2022
Na ISO/IEC 27002:2022, cada controle contém o seguinte:
❑ Título do controle: Nome curto do controle;
❑ Tabela de atributos: Uma tabela mostra o(s) valor(es) de cada atributo para o controle dado;
❑ Controle: Qual é o controle
❑ Propósito: Por que convém que o controle seja implementado;
❑ Orientação: Como convém que o controle seja implementado;
❑ Outras informações: Texto explicativo ou referências a outros documentos relacionados.
❑ Subtítulos são usados no texto de orientação para alguns controles para auxiliar a legibilidade onde a
orientação é longa e aborda vários tópicos. Tais títulos não são necessariamente usados em todos os textos
de orientação. Subtítulos são sublinhados

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 18 / 30

 Ilustração: TIEXAMES

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 19 / 30

 Ciclo de Vida dos Dados
Rastreabilidade Ativos: tudo aquilo que tem
Gerar / importância e valor para o
Armazenar Usar Compartilhar Arquivar Excluir
Coletar
Crescimento Identificar Transformar Direitos de Backup Expirar
contexto Corporativo.
Classificar Mover Acesso Criptografia Deletar
Armazenar Hierarquizar Fuga de Dados Reter Destruir Ativos de Informação: tudo
Preservar Anonimizar Risco de Acesso Recuperar aquilo onde temos
Proteger Pseudonimizar Preservar
Visibilidade
informações armazenadas
Controle de Auditar
Dark Data Acesso temporária ou definitivamente.
Comportamento
Geração ou Coleta de Estrutura de Permissões de Regras de Retenção /
dados Acessos Exclusão

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 20 / 30

Business Case | Identificação das Atividades de Tratamento de
Dados Pessoais nos Departamentos de Recursos Humanos |
Marketing | Jurídico | TI
❑ Recrutamento, Seleção e Contratação
❑ Gestão RH
Exemplo
❑ Desligamento

5W
What? Why? Where? Who? When?

2H
How? How much?

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 21 / 30

Business Case | Identificação das Atividades de Tratamento de
Dados Pessoais nos Departamentos de Recursos Humanos |
Marketing | Jurídico | TI
Recrutamento, Seleção e Contratação Exemplo
Divulgação de Vagas | Divulgação de Vagas |
Divulgação de Vagas | Divulgação de Vagas | Divulgação de Vagas |
Colaboradores Aprendiz e Menor
Colaboradores CLT Colaboradores PJ Estagiários
Especiais Aprendiz

Política | Recrutamento
Política | Recrutamento Política | Recrutamento Política | Recrutamento
e Seleção de Política | Recrutamento
e Seleção de e Seleção de e Seleção de Aprendiz e
Candidatos CLT e Seleção de Estagiários
Candidatos CLT Candidatos PJ Menor Aprendiz
Especiais

Recebimento Currículos Recebimento Currículos Recebimento Currículos

Recebimento Currículos Recebimento Currículos
| Amarelinho | Anúncios | Campi | Aprendiz - enre | CAT | Anúncios
| Catho | Empregos.com
/ Funcionários Especiais 18 e 24 anos Funcionários Especiais

Recebimento Currículos Recebimento Currículos Recebimento Currículos Recebimento Currículos

Recebimento Currículos
| Ibrasa | Aprendiz - enre | Mídias Sociais | | Mídias Sociais | | SENAC | Aprendiz -
| Infojobs
18 e 24 anos Facebook Instagran enre 18 e 24 anos

Recebimento Currículos
Recebimento Currículos
| Site Corporativo | Recebimento Currículos Recebimento Currículos Recebimento Currículos
| Físico (papel) |
Formulário de inscrição | Email Corporativo | WhatsApp Pessoal | WhatsApp Corporativo
Diversas localidades
site/intranet

Criar Armazenar Usar Compartilhar Arquivar Excluir

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 22 / 30

 https://csat.cisecurity.org/accounts/signup

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 23 / 30

https://csat.cisecurity.org/accounts/signup

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 24 / 30

 https://csat.cisecurity.org/accounts/signup

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 25 / 30

https://csat.cisecurity.org/accounts/signup

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 26 / 30

Business Case | Identificação das Atividades de Tratamento de
Dados Pessoais nos Departamentos de Recursos Humanos |
Marketing | Jurídico | TI

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 27 / 30

Business Case | Identificação das Atividades de Tratamento de
Dados Pessoais nos Departamentos de Recursos Humanos |
Marketing | Jurídico | TI

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 28 / 30

Business Case | Identificação das Atividades de Tratamento de
Dados Pessoais nos Departamentos de Recursos Humanos |
Marketing | Jurídico | TI

Documento Confidencial | https://www.linkedin.com/in/wmonaco palestrantemonaco @monacowellington Slide: 29 / 30

O b r i ga d o !
We llington Mo na co
+55 11 99222-4396
https://www.linkedin.com/in/wmonaco
palestrantemonaco
@monacowellington
monaco@palestrantemonaco.com.br
www.palestrantemonaco.com.br