Compreender os principais elementos relacionados a Governança, Risco e Compliance 1 e 2.pdf

Compreender os principais elementos
relacionados a governança, risco e compliance

Aula 1 – Confidencialidade, Integridade e Disponibilidade
Aula 2 – Principais Frameworks
Aula 3 – Controle de Segurança
Aula 4 – Políticas
Aula 5 – LGPD
Aula 6 – Ética

Aula 01
Confidencialidade, Integridade
e Disponibilidade

Governança, risco e compliance

É o conjunto de medidas práticas que uma empresa
pode utilizar através da criação de processos para
reduzir ameaças que possam impactar na
continuidade dos seus negócios, gerar prejuízos
financeiros, ou produzir riscos de perdas e de
conformidade legal.
GRC: Governança, Risco e Compliance
Fonte: Adobe Stock

Governança em T.I é o conjunto de processos,
práticas, políticas, leis e regulamentos que
determinam as diretrizes de uma empresa no ramo
da Tecnologia da Informação.
Riscos são todos os eventos que afetam de alguma
forma o cumprimento dos objetivos de uma empresa.
Compliance é o ato pelo qual a empresa cumpre
(está conforme), com todas as leis Federais,
Estaduais, Municipais e os respectivos
regulamentos, políticas e diretrizes organizacionais.
GRC: Governança, Risco e Compliance
Fonte: Adobe Stock

Processos e procedimentos bem estruturados
garantem:
• Funcionamento correto do negócio;
• Correções de falhas de forma eficaz;
• Conformidade com as normas.
Estruturação e disciplina
Fonte: Adobe Stock

A Governança em T.I:
• Alinha as expectativas de mercado e suas
políticas de implantações e manutenções de
ativos de T.I e Segurança da Informação;
• Adota medidas focadas na qualidade da
operação, produzindo-se melhores performances
de sistemas, aumentando sua competitividade.
Por dentro da Governança
Fonte: Adobe Stock

O Risco
• Independente do planejamento prévio, toda e
qualquer empresa está sujeita a imprevistos
internos ou externos;
• Também podem ser vistos como oportunidades
para se estabelecer planos de melhoria;
• A Gestão dos Riscos ameniza as ameaças que
podem surgir, tornando o negócio mais seguro.
Por dentro do Risco
Fonte: Adobe Stock

O Compliance
• Aumenta a credibilidade perante os investidores e
mercado, agregando valor ao negócio;
• Reconhece práticas ilícitas em outras
organizações;
• Reduz custo, aumenta a conscientização dos
colaboradores e sua respectiva satisfação.
Por dentro do Compliance
Fonte: Adobe Stock

A seguir...
No próximo tópico
ogeryrfsrrhrtrytyrsg

A Segurança da Informação tem por objetivo
principal prover os meios necessários para que os
repositórios de dados, bem como suas plataformas
de gestão, sejam acessados somente por pessoas
autorizadas/credenciadas, garantindo os pilares
Confidencialidade, Integridade e Disponibilidade
da informação.
Segurança da Informação
Fonte: Adobe Stock

O Pilar da Confidencialidade protege as
informações de acessos não autorizados,
estabelecendo privacidade para os dados da
empresa, evitando situações de ataques cibernéticos
ou espionagem. A base desse pilar é o controle do
acesso por meio de autenticação de senha, que
também pode ocorrer por meio de varredura
biométrica e criptografia, o que vem gerando
resultados favoráveis nesse sentido.
Confidencialidade
Fonte: Adobe Stock

O Pilar da Integridade é responsável por manter as
características originais dos dados, tal como foram
configuradas na sua criação. Desta forma, as
informações não podem ser alteradas sem
autorização.
Integridade
Fonte: Adobe Stock

O Pilar da disponibilidade determina que o ideal
em um sistema de informação é que os dados
estejam disponíveis para o que for necessário,
garantindo o acesso do usuário em tempo integral.
Isso requer estabilidade e acesso permanente aos
dados do sistema por meio de manutenção rápida,
atualizações constantes e depuração.
Disponibilidade
Fonte: Adobe Stock

Os pilares da Segurança da Informação são como
bússolas que devemos seguir para não cometer
nenhum equívoco quando falamos sobre o assunto.
Sempre começaremos por eles.
No próximo tópico daremos continuidade a essa
jornada, falando sobre como fortalecer esses pilares
para se criar a base de uma estrutura segura.
A seguir...
Fonte: Adobe Stock

Toda a estrutura da Segurança da Informação deve
estar alinhada com o três pilares básicos
(Confidencialidade, Integridade e Disponibilidade),
para garantir que as práticas e políticas sejam
eficazes.
Os pilares da Segurança da Informação ajudam a
preservar um bom nível de proteção dos dados e nas
atividades de tratamento realizadas pela empresa.
Por isso, é fundamental reforçá-los nos processos e
operações.
Fortalecendo os Pilares
Fonte: Adobe Stock

• Política de Gestão de Acesso bem estruturada;
• Política de Classificação da Informação;
• Reforçar a Criptografia
• Autenticação em dois fatores.
Reforçando a Confidencialidade
Fonte: Adobe Stock

• Sistemas licenciados e constantemente
atualizados;
• Processos gerenciais bem definidos e seguros,
visando a preservação das informações;
• Assinaturas digitais.
Reforçando a Integridade
Fonte: Adobe Stock

• Conscientização e treinamento;
• Elaboração de políticas e normas;
• Mantendo os patches de segurança em dia;
• Mantendo backups e cópias de seguranças.
Reforçando a Disponibilidade
Fonte: Adobe Stock

Fortalecendo os pilares cria-se uma estrutura básica
segura para o desenvolvimento de toda Segurança
da Informação.
jornada, explorando pilares secundários, mas não
menos importantes, dos que já falados até aqui.
A seguir...
Fonte: Adobe Stock

Pilares Secundários na Segurança
da Informação

No âmbito da Segurança da Informação, além dos
três pilares iniciais que orientam as ações para
garantir a proteção de dados, temos mais três que
reforçam essas orientações. Estamos falando dos
pilares:
• Autenticidade;
• Irretratabilidade;
• Legalidade.
Pilares Secundários na Segurança da Informação
Fonte: Adobe Stock

O Pilar da Autenticidade
Confirmação de que os dados possuem legitimidade,
ou seja, não haja manipulação ou intervenções
externas de terceiros passando-se por
colaboradores. Dessa forma, é necessário
documentar as ações feitas pelos usuários na rede e
nos sistemas..
Autenticidade
Fonte: Adobe Stock

O Pilar da Irretratabilidade
O pilar da irretratabilidade ou não repúdio atua para
que um indivíduo ou entidade não negue a autoria de
uma ação específica (criar ou assinar um
arquivo/documento, por exemplo).
Irretratabilidade (não repúdio)
Fonte: Adobe Stock

O Pilar da Legalidade
Está diretamente ligado ao valor legal da
comunicação em relação à legislação. Trata-se de
princípio do Direito intrínseco a todo Ordenamento
Jurídico.
Legalidade
Fonte: Adobe Stock

Diante das diversas formas e formatos que o mundo
digital tem ganhado e o aumento do tráfego de dados
o valor da informação tem se tornado cada vez mais
alto.
Os Pilares, de uma forma geral, são como princípios
mínimos a serem seguidos para garantir a
Segurança da Informação e manter o seu valor
econômico.
Valor econômico da informação
Fonte: Adobe Stock

Entender os pilares e sua importância é o primeiro
passo para se construir uma cultura cibernética mais
segura e eficaz.
Conclusão
Fonte: Adobe Stock

Compreender os principais elementos relacionados a Governança, Risco e Compliance 1 e 2.pdf

Framework
É qualquer referência normativa que estabeleça um
conjunto de técnicas, ferramentas ou conceitos pré-
definidos que possam ser utilizados como base para
o estabelecimento de um programa corporativo de
segurança da informação.
O que é framework
Fonte: Adobe Stock

Finalidade
Oferecer o melhor processo para a organização
implementar salvaguardas de segurança de acordo
com o tamanho e estratégia de negócios da
empresa, agilizando em tempo e otimizando os
recursos disponíveis.
O que é framework
Fonte: Adobe Stock

Importância
• Criam modelos de construção de programas de
segurança da informação, gerenciando riscos e
combatendo fragilidades.
• Estabelece a criação de políticas, que serão
repassadas aos times de colaboradores por meio
de instruções e acerca de condutas e punições
por descumprimento.
O que é framework
Fonte: Adobe Stock

Importância
• Gerenciam riscos que tende a trabalhar em cima
das políticas e manter uma proteção contínua das
informações empresariais.
• Avaliam todas as portas de entrada, transferência
e saída de dados, identificando potenciais
vulnerabilidades e aumentando o nível de
segurança onde for preciso.
O que é framework
Fonte: Adobe Stock

Entender o conceito de framework e sua
aplicabilidade é o primeiro passo para se estabelecer
qual será o melhor ou mais adequado processo para
a empresa.
Importante
Fonte: Adobe Stock

Variedades de frameworks
Existem diversos frameworks no mercado e cada
uma tem sua qualidade e especificidade. Dentre os
mais utilizados temos a ISO 27.001, o CIS Controls e
o NIST CSF.
Tipos
Fonte: Adobe Stock

Estabelece diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de
segurança da informação de uma organização.
Trata-se de um padrão para se estabelecer um SGSI
(Sistema de Gestão de Segurança da Informação).
ISO 27.001
Fonte: Adobe Stock

A escolha por esse framework deve ser de forma
estratégica pela organização, considerando suas
necessidades, objetivos, exigências de padrões de
segurança, tamanho e sua estrutura.
É extremamente útil para definir responsabilidades e
deveres dentro da organização.
ISO 27.001
Fonte: Adobe Stock

Conjunto de práticas recomendadas de segurança
cibernética e ações defensivas que ajudam a evitar
os principais ataques da atualidade.
Sua implementação envolve práticas
recomendadas para uma boa política de segurança
da informação, formuladas por um grupo de
especialistas em Tecnologia da Informação e
Segurança da Informação.
CIS Controls
Fonte: Adobe Stock

Utiliza informações coletadas em ataques reais e
defesas eficazes.
Fornecem orientação específica e um caminho para
as organizações atingirem as metas e objetivos
descritos por várias estruturas legais,
regulamentares e políticas.
CIS Controls
Fonte: Adobe Stock

Conjunto de diretrizes e padrões adotados que tem
por finalidade gerenciar e reduzir o risco de
segurança cibernética, além de ajudar as
organizações a prevenir, detectar e responder a
ameaças e ataques cibernéticos.
Foi projetado para melhorar as comunicações de
segurança cibernética e gerenciamento de riscos
entre as partes interessadas internas e externas.
NIST Cyber Security Framework
Fonte: Adobe Stock

Ajuda as organizações a melhorarem suas defesas
contra ataques cibernéticos conhecidos,
transformando os principais conceitos de segurança
em controles acionáveis, com o objetivo de obter um
maior nível de capacidade geral para defesa em
segurança cibernética.
NIST Cyber Security Framework
Fonte: Adobe Stock

Neste tópico, abordamos os principais, mas não
únicos, frameworks utilizados no mercado.
jornada, explicando as particularidades de cada
framework .
A seguir...
Fonte: Adobe Stock

A família das normas ISO 27.000 constituí uma série
de padrões internacionais direcionados à Segurança
da Informação que vale a pena ser conhecido.
Para fins de estudo de frameworks focaremos na
ISO 27.001.
Introdução a ISO 27001
Fonte: Adobe Stock

Lançada em 2005, foi criada com a finalidade de
fazer o gerenciamento e proteção da informação das
empresas utilizando um sistema e Gestão de Risco.
Hoje é considerado o principal padrão internacional
focado em segurança da informação, usando uma
abordagem de melhoria contínua.
Histórico
Fonte: Adobe Stock

• Proteger os pilares da Segurança da Informação:
Confidencialidade, Integridade e Disponibilidade.
• As organizações adotarem um modelo adequado
de estabelecimento, implementação, operação,
monitorização, revisão e gestão de um Sistema de
Gestão de Segurança da Informação.
Objetivos
Fonte: Adobe Stock

• Conformidade;
• Vantagem de mercado;
• Redução de despesas;
• Organização da empresa.
Benefícios
Fonte: Adobe Stock

O conteúdo da ISO é dividido em duas partes:
• O Sistema de gestão de segurança da
informação, ou SGSI;
• Conjunto de controles usados para reduzir seu
risco. (Anexo A da norma).
Conteúdo
Fonte: Adobe Stock

• Ter definido um plano de tratamento e gestão de
riscos;
• Ter definida uma métrica de eficácia dos
controles;
• Implementar um programa para formar e
sensibilizar as pessoas;
• Implementar controles e procedimentos capazes
de detectarem potenciais incidentes.
SGSI - Implementação
Fonte: Adobe Stock

O Anexo A traz 93 controles de referência, cujo
objetivo é criar ideias e boas práticas para tornar a
organização mais segura.
Dentre essas boas práticas estão:
• Políticas de segurança da informação
• Organização da segurança da informação
• Segurança em recursos humanos
• Gestão de ativos
• Controle de acesso
• Criptografia
Controles – Anexo A
Fonte: Adobe Stock

• Segurança física e do ambiente
• Segurança nas operações
• Segurança nas comunicações
• Aquisição, desenvolvimento e manutenção de
sistemas
• Relacionamento na cadeia de suprimento
• Gestão de incidentes de segurança da informação
• Aspectos da segurança da informação na gestão
da continuidade do negócio
• Conformidade
Áreas – Anexo A
Fonte: Adobe Stock

Neste tópico abordamos a estrutura da norma ISO
27.001 como framework de segurança.
jornada, adentrando ao framework CIS Controls.
A seguir...
Fonte: Adobe Stock

Diretrizes e práticas recomendadas para a
Segurança da Informação, constantemente
atualizada e revisada.
Práticas recomendadas e mundialmente
reconhecidas para proteger aplicações e dados nos
ambientes de tecnologia.
Introdução ao CIS Controls
Fonte: Adobe Stock

Projeto iniciado no começo de 2008 em resposta a
perdas extremas de dados ocorridas em
organizações na base industrial de defesa dos EUA.
Inicialmente desenvolvida pelo SANS Institute e a
propriedade foi, então, transferida para o Conselho
de Segurança Cibernética (CCS) em 2013 e, em
seguida, para o Centro de Segurança da Internet
(CIS) em 2015.
Histórico
Fonte: Adobe Stock

• Prevenir os tipos de ataques mais generalizados e
perigosos, dando ainda suporte à conformidade
em um ecossistema de múltiplas estruturas.
• Orientar e especificar um caminho claro para que
as organizações atinjam os objetivos e metas
descritos por várias estruturas legais,
regulamentares e políticas.
Objetivos
Fonte: Adobe Stock

• Os controles priorizam e concentram o menor
número de ações necessárias para se ter o
melhor custo-benefício.
• Contêm recomendações atuais e concretas para
ajudar as empresas a melhorar a postura de
segurança da informação.
Benefícios
Fonte: Adobe Stock

• Os controles do CIS foram criados por
especialistas com o objetivo de serem
universalmente aplicáveis.
• Os controles são separados em três categorias:
básica, fundamental e organizacional,
independentemente do tipo de indústria,
adequando-se a cada realidade.
Benefícios
Fonte: Adobe Stock

Os Grupos de Implementação (IGs) são a orientação
recomendada para priorizar a implementação dos
Controles Críticos de Segurança do CIS.
Os IGs são divididos em três grupos. Eles se
baseiam no perfil de risco e nos recursos que uma
empresa tem à sua disposição para implementar os
controles CIS.
Conteúdo
Fonte: Adobe Stock

• Inventário e controle de ativos de hardware;
• Inventário e controle de ativos de Software;
• Gerenciamento contínuo de vulnerabilidades;
• Uso controlado de privilégios administrativos;
• Configuração segura para hardware e software
em dispositivos móveis, notebooks, estações de
trabalho e servidores;
• Manutenção, monitoramento e análise de registros
de auditoria.
Controles básicos
Fonte: Adobe Stock

A implementação do CIS é feita em 03 grupos:
IG1 - Implementation Group 1
• Conjunto básico de 56 salvaguardas de defesa
cibernética, estabelecendo padrão mínimo
emergente de segurança da informação para
todas as empresas. As salvaguardas incluídas no
IG1 são o que toda empresa deve aplicar para se
defender contra os ataques mais comuns.
CIS - Implementação
Fonte: Adobe Stock

• Compreende 74 salvaguardas adicionais e se
baseia nas 56 salvaguardas identificadas no IG1.
• Uma empresa que usa o IG2 normalmente
emprega indivíduos responsáveis por gerenciar e
proteger a infraestrutura de TI.
Fonte: Adobe Stock

• Inclui 23 salvaguardas adicionais. Baseia-se nas
salvaguardas identificadas em IG1 (56) e IG2 (74),
totalizando as 153 salvaguardas no CIS Controls
V8.
• Ativos e dados do IG3 contêm informações ou
funções confidenciais que estão sujeitas à
supervisão regulatória e de conformidade.
Fonte: Adobe Stock

Neste tópico, abordamos a estrutura do framework
de segurança CIS Controls.
jornada, adentrando ao framework NIST CSF.
A seguir...
Fonte: Adobe Stock

Estabelece padrões, diretrizes e práticas
recomendadas que ajudam as organizações a
melhorar seu gerenciamento de riscos de segurança
cibernética.
Projetado para ser flexível o suficiente para se
integrar aos processos de segurança existentes em
qualquer organização, em qualquer setor.
Introdução ao NIST CSF
Fonte: Adobe Stock

O National Institute of Standards and Technology
(NIST) é uma agência não reguladora que promove a
inovação por meio do avanço da ciência, padrões e
tecnologia de medição.
Em 12 de fevereiro de 2013 iniciou o trabalho do
NIST com o setor privado dos EUA para identificar
padrões de consenso voluntários existentes e
melhores práticas da indústria para incorporá-los em
uma estrutura de segurança cibernética.
Histórico
Fonte: Adobe Stock

• Fornecer um excelente ponto de partida para
implementar segurança da informação e
gerenciamento de riscos de segurança cibernética
em praticamente qualquer organização do setor
privado nos Estados Unidos.
• Escolher as ferramentas que melhor atendem às
necessidades do gerenciamento de riscos de
segurança cibernética de uma organização.
Objetivos
Fonte: Adobe Stock

• O tipo de metodologia permite que as
organizações entendam como seus esforços de
segurança cibernética se comparam às
orientações e fontes autorizadas do NIST csf.
• A linguagem comum age como facilitadora da
comunicação, pois, facilita o entendimento dos
requisitos e do progresso entre todas as partes
interessadas, incluindo a equipe de segurança de
TI, gerenciamento, parceiros, contratados,
fornecedores e outros.
Benefícios
Fonte: Adobe Stock

• Sua aplicação melhora a segurança cibernética e
a resiliência da infraestrutura crítica,
independentemente do tamanho da organização
ou do nível de sofisticação da segurança
cibernética.
Benefícios
Fonte: Adobe Stock

O NIST CSF inclui funções, categorias,
subcategorias e referências informativas.
Suas funções devem ser executadas de forma
contínua para formar uma cultura operacional que
aborde o risco dinâmico de segurança cibernética.
Suas categorias e subcategorias fornecem planos de
ação mais concretos para departamentos ou
processos específicos dentro de uma organização.
Conteúdo
Fonte: Adobe Stock

Neste tópico abordamos a estrutura do framework de
segurança NIST CSF.
jornada, adentrando à implantação do NIST CSF.
A seguir...
Fonte: Adobe Stock

Estrutura e implantação
do NIST CSF

São 5 funções para fornecer uma visão estratégica
de alto nível do ciclo de vida do gerenciamento do
risco de segurança de uma organização.
Funções
Fonte: Adobe Stock
Fonte: Adobe Stock

As funções são divididas em 23 categorias, que se
subdividem em 108 subcategorias, levando o
framework a um nível alto de especificação.
Categorias
Fonte: Adobe Stock

As subcategorias contêm os controles reais e, para
cada uma, o CSF inclui uma lista de referências
cruzadas para padrões e estruturas bem conhecidos,
como ISO 27001, CIS, dentre outros.
Subcategorias
Fonte: Adobe Stock

Em linhas gerais, a implantação do Framework pode
ser dividida em 7 etapas:
• Priorizar e definir o escopo: objetivos
organizacionais;
• Orientar: estratégias de gerenciamento de riscos;
• Criar o perfil atual: avaliar sistemas e ativos
dentro do escopo, requisitos regulatórios;
NIST - Implementação
Fonte: Adobe Stock

• Realizar uma avaliação de riscos: padrões,
ferramentas, métodos e diretrizes de segurança
cibernética e gerenciamento de risco no escopo;
• Criar um perfil ativo: identificar metas que
mitigarão o risco de acordo com seus objetivos;
Fonte: Adobe Stock

• Determinar, analisar e priorizar as lacunas:
analisar as lacunas entre o Perfil Atual e o Perfil
Alvo no contexto de organização;
• Executar o plano de ação: implementar ações
por prioridade, acompanhar o progresso em
relação ao plano, monitorar e avaliar os principais
riscos.
Fonte: Adobe Stock

Neste tópico, finalizamos o conteúdo do NIST CSF,
bem como os principais frameworks utilizados.
Na próxima aula, iniciaremos o conteúdo sobre
controles de segurança.
Conclusão
Fonte: Adobe Stock

Aula 03
Controle de Segurança

Segurança Cibernética protege o ciberespaço
contra ameaças, enquanto a Segurança da
Informação é a proteção de dados globais contra
ameaças.
A Segurança da Informação é um conceito mais
amplo que abrange a Segurança Cibernética.
Para falar sobre os controles usaremos bastante o
conceito de Segurança Cibernética.
Segurança Informação x Segurança Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Autoria Própria
Segurança da
Informação
Segurança
Cibernética

A palavra controle é empregada para descrever a
autoridade e gestão sobre algo específico,
envolvendo a supervisão e administração.
Controles de Segurança Cibernética são medidas
que ajudam a evitar, impedir, detectar, neutralizar ou
minimizar os riscos de Segurança da Informação,
cujo objetivo principal é proteger o CID –
Confidencialidade, Integridade e Disponibilidade das
informações.
Controles de segurança
Fonte: Adobe Stock

Podemos estabelecer 3 tipos de categorias de
controles:
• Operacional
• Técnica
• Física
Categorias de Controles
Fonte: Adobe Stock

São controles organizacionais que complementam e
suportam os controles técnicos. Exemplos: Política
de Segurança da Informação, programa de
conscientização e capacitação, controle de acesso
lógico, etc.
Categoria Operacional
Fonte: Adobe Stock

Tratam riscos a confidencialidade, integridade ou
disponibilidade de informações em formato
eletrônico. Exemplos: Firewall, IDS/IPS, DMZ,
antivírus, criptografia, atualização de patches, etc.
Categoria Técnica
Fonte: Adobe Stock

Previnem o acesso físico, não autorizado, danos e
interferências com as instalações e informações da
empresa. Exemplos: Controle de Acesso físico,
extintores de incêndio adequados para cada
ambiente, etc.
Categoria Física
Fonte: Adobe Stock

Os controles podem ter funções diferentes e
complementares dentro de um sistema integrado de
segurança cibernética, que podem ter funções de:
Dissuadir: refere-se à ideia de que a possibilidade
de ser descoberto, detido e sofrer eventual punição
dissuadirá as pessoas a cometer infrações e crimes
cibernéticos.
Funções dos Controles de Segurança Cibernética
Fonte: Adobe Stock

Dificultar: refere-se à ideia de tornar o acesso
cibernético tão difícil, a ponto do invasor desistir de
atacar o sistema protegido.
Detectar: refere-se à ideia de identificar e dar alarme
sobre uma tentativa de violação de segurança
cibernética.
Fonte: Adobe Stock

Responder: refere-se aos procedimentos, meios e
condições de responder e conter a uma violação de
segurança cibernética, no menor tempo possível,
reduzindo seu impacto à organização.
Recuperar: envolve ações para recuperação da
normalidade na organização após a violação de
segurança cibernética e sua contenção.
Fonte: Adobe Stock

Para as empresas que buscam destaque e confiança
em uma era digital, adotar controles de segurança
cibernética torna-se pré-requisito.
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais esses conceitos.
A seguir...
Fonte: Adobe Stock

O Tribunal de Contas da União, com o intuito de
contribuir para a transformação digital do país,
conscientizando os gestores públicos de Segurança
Cibernética acerca dos riscos aos quais as
organizações estão sujeitas, criou uma cartilha
apontando 5 Controles de Segurança Cibernética,
com base no framework CIS Controls, que são
considerados fundamentais e de implantação
imediata nas organizações. Esta cartilha pode ser
consultada no site do TCU.
Controles Básicos
Fonte: Adobe Stock

Cada organização deve moldar sua abordagem à
segurança, levando em consideração sua estrutura.
Os controles indicam caminhos que devem ser
seguidos, facilitando sua implantação e posterior
implementação.
Controles Básicos
Fonte: Adobe Stock

Os 5 controles destacados pelo TCU são:
• Inventário e controle de ativos corporativos
• Inventário e controle de ativos de software
• Gestão contínua de vulnerabilidades
• Conscientização sobre segurança e treinamento
• Gestão de Respostas a incidentes
Controles Básicos
Fonte: Adobe Stock

Inventário e controle de ativos corporativos:
identificar e impedir a utilização de ativos de TI não
autorizados como condutores de ataques
cibernéticos.
Inventário e controle de ativos de software:
identificar e impedir a utilização de softwares não
autorizados como condutores de ataques
cibernéticos.
Função dos Controles Básicos
Fonte: Adobe Stock

Gestão contínua de vulnerabilidades: evitar a
exploração de vulnerabilidades conhecidas nos
ativos corporativos de TI.
Conscientização sobre segurança e treinamento
de competências: reduzir a possibilidade de
incidentes e ataques derivados do comportamento
humano – engenharia social.
Fonte: Adobe Stock

Gestão de respostas a incidentes: melhorar a
capacidade de identificar potenciais ameaças e
ataques, evitando que se espalhem, colaborando
para a recuperação rápida de dados e sistemas
eventualmente corrompidos.
Fonte: Adobe Stock

As medidas de segurança são ações específicas que
as empresas devem realizar para implementar um
controle.
Conforme conversamos quando estudamos os
frameworks, O CIS prioriza as medidas de segurança
em três grupos de implementação: básicas (IG1),
intermediárias (IG2) e avançadas (IG3).
Medidas de Segurança Cibernética
Fonte: Adobe Stock

Esses 5 controles dizem respeito ao IG1, que são
aquelas medidas que todas as empresas devem
implementar para se proteger dos ataques mais
comuns.
Medidas de Segurança
Fonte: Adobe Stock

Para as empresas que buscam destaque e confiança
em uma era digital, adotar controles de segurança
cibernética torna-se pré-requisito.
tema, explorando um pouco mais sobre esses 5
controles básicos e fundamentais.
A seguir...
Fonte: Adobe Stock

Controle 1 – Inventário e Controle
de Ativos Corporativos

Definição: Gerenciar todos os ativos corporativos de
TI (computadores portáteis e dispositivos móveis,
dispositivos de rede, servidores), conectados
fisicamente, virtualmente ou remotamente à
infraestrutura corporativa de TI, incluindo aqueles em
ambientes de nuvem (cloud computing).
Objetivo: Conhecer com precisão todos os ativos de
hardware da organização que precisam ser
monitorados e protegidos.
Controle 1 – Inventário e Controle de Ativos Corporativos
Fonte: Adobe Stock

Quando se conhece a estrutura dos ativos
corporativos fica mais fácil estabelecer as defesas.
Dessa forma, o controle dos ativos corporativos é
fundamental quando se trata de gestão de
vulnerabilidades, monitoramento de segurança,
processos de recuperação de incidentes e backups.
Por que esse controle é crítico?
Fonte: Adobe Stock

Uma organização também deve ter ciência de todos
os dados que são considerados essenciais ao seu
negócio, para se identificar os ativos corporativos
que mantêm ou gerenciam tais dados, aplicando-lhes
controles de segurança adequados.
Fonte: Adobe Stock

• Estabelecer e manter inventário detalhado,
preciso e atualizado de ativos corporativos que
armazenam, transmitem ou processam dados.
• Escolher entre remover o ativo, impedí-lo de se
conectar à rede ou colocá-lo em quarentena
quando se identificar que se trata de um ativo não
autorizado ou mapeado.
Fonte: Adobe Stock

• No mínimo semanalmente deve-se atualizar o
inventário de ativos corporativos, para identificar
equipamentos não autorizados, evitando-se o uso
indevido desses equipamentos.
Boas práticas adicionais
Fonte: Adobe Stock

Controle 2 – Inventário e Controle
de Ativos de Software

Definição: Acompanhar todo software, sistemas
operacionais e aplicativos utilizados, não permitindo
a instalação e execução nas máquinas de softwares
não autorizados.
Objetivo: Proteger todo sistema de segurança de
vulnerabilidades causadas por softwares não
homologados.
Controle 2 – Inventário e Controle de Ativos de Software
Fonte: Adobe Stock

Um inventário de software completo previne ataques
que, por muitas vezes, tem início a partir de
varreduras de rede que buscam vulnerabilidades de
softwares.
Essa vulnerabilidade, quando localizado num
servidor web, por exemplo, permite que o atacante
instale programa que possibilita o controle remoto da
máquina, o que caracteriza um ataque de phishing.
Fonte: Adobe Stock

• Manter inventários dos softwares, com
informações precisas, detalhadas e atualizadas,
são necessários para realização das tarefas e
rotinas corporativas diárias.
• Assegurar que apenas software homologado e
avaliado pelo setor de T.I seja autorizado no
inventário de software.
Fonte: Adobe Stock

• Evitar exceções ao uso de software não
autorizado, porém, caso seja necessário,
documentar e testá-lo para que o setor de T.I
avalie a possibilidade de utilizá-lo.
• Implementar controles técnicos que permitam que
apenas aplicações específicas possam ser
executadas, acessadas ou carregadas em
processos do sistema.
Fonte: Adobe Stock

Controle 3 – Gestão Contínua de
Vulnerabilidades

Definição: Desenvolver plano para avaliar,
acompanhar e corrigir continuamente
vulnerabilidades em todos os ativos na infraestrutura
de TI da organização, minimizando as oportunidades
para eventuais atacantes.
Controle 3 – Gestão Contínua de Vulnerabilidades
Fonte: Adobe Stock

Atacantes cibernéticos procuram constantemente por
vulnerabilidades que possam ser exploradas. Dessa
forma, os que trabalham com a defesa cibernética
devem ter acesso constante às informações sobre
ameaças corriqueiras e suas respectivas medidas de
mitigação, para que possam avaliar os ambientes de
suas organizações antes dos potenciais ataques.
Fonte: Adobe Stock

No entanto, como também têm acesso às mesmas
informações que os defensores, os atacantes
conseguem, frequentemente, aproveitar essas
vulnerabilidades mais rapidamente do que as
organizações conseguem corrigi-las.
Fonte: Adobe Stock

Dessa forma, a gestão de vulnerabilidades é
fundamental para manter uma organização segura
continuamente, pois ela corrige preventivamente as
falhas encontradas que podem desencadear
ataques.
Fonte: Adobe Stock

• Estabelecer processos contínuos de avaliação e
monitoramento dos ativos de hardware e software,
par eliminar, mitigar ou corrigir vulnerabilidades e
aprimorar configurações, controles e técnicas de
defesa.
• Estabelecer processos contínuos de avaliação das
vulnerabilidades identificadas e dos riscos a elas
associados, priorizando a aplicação de medidas
mitigatórias, de modo a aumentar a efetividade
dos esforços de proteção.
Fonte: Adobe Stock

• Executar a gestão automatizada da aplicação de
programas criados para atualizar ou corrigir um
software, sanando erros de comportamento,
diminuindo as vulnerabilidades de segurança,
melhorando sua performance nos sistemas
operacionais dos seus ativos.
Fonte: Adobe Stock

• Necessário utilizar constantemente ferramentas
que permitam automatizar a realização de
varreduras completas de vulnerabilidades,
autenticadas e não autenticadas, realizando as
respectivas correções.
• Em algumas situações, pode ser inviável
desinstalar uma correção após sua instalação,
ocasionando um prejuízo ainda maior do que o
problema inicial e impactando a continuidade do
negócio.
Fonte: Adobe Stock

Controle 4 – Conscientização
sobre Segurança e Treinamento

Definição: Estabelecer e manter programa contínuo
e permanente de conscientização e treinamento,
para que os colaboradores tenham conhecimentos
adequados em segurança (da informação e
cibernética) e, consequentemente, adotem
comportamentos e procedimentos que reduzam os
riscos para a organização, com o objetivo de se
estabelecer uma nova cultura cibernética na
organização.
Controle 4 – Conscientização sobre Segurança e Treinamento
Fonte: Adobe Stock

No tripé da Segurança da Informação, formado por
tecnologia, processos e pessoas, estas representam
o principal ponto de fragilidade, pois o atacate
consegue induzir facilmente um usuário a clicar num
link indevido, dando margem à invasões.
Fonte: Adobe Stock

Ademais, os colaboradores, intencionalmente ou
não, podem causar incidentes de segurança por
meio de diversas outras ações, tais como o envio de
e-mail com dados sensíveis para destinatário errado,
a perda de equipamento portátil, a utilização de
senha fraca ou reutilização da mesma senha usada
para autenticação em outros sites e aplicativos.
Fonte: Adobe Stock

Dessa forma, todos os programas corporativos de
segurança (da informação e cibernética), têm seu
desempenho determinado pelo fator humano, devido
a grau de conscientização e treinamento.
Mesmo fortalecendo ao máximo essa
conscientização é muito difícil estabelecer uma nova
cultura, portanto nenhum programa consegue reduzir
os riscos a níveis aceitáveis.
Fonte: Adobe Stock

• Estabelecer um programa contínuo e permanente
de treinamento, mostrando aos colaboradores os
riscos e as ameaças aos quais os ativos e dados
da organização estão sujeitos e como agir para
evitá-los.
• Investir em treinamentos aos colaboradores para
reconhecer ataques de engenharia social.
Fonte: Adobe Stock

• Treinar os colaboradores em melhores práticas de
tratamento de dados, o que envolve identificar
dados sensíveis no contexto da organização e
saber como armazená-los, transferi-los, arquivá-
los e destruí-los adequadamente, de modo a
minimizar os riscos de vazamento.
• Treinar os colaboradores para evitar exposição
não intencional de dados, como, por exemplo, a
perda ou o extravio de dispositivos portáteis.
Fonte: Adobe Stock

• Treinar os colaboradores para reconhecer e
notificar incidentes de segurança de forma eficaz.
• Treinar os colaboradores sobre os perigos de se
conectar a redes inseguras e transmitir dados
corporativos por meio delas.
Fonte: Adobe Stock

• Os programas de conscientização e treinamento
devem explicar aos colaboradores as razões por
trás de cada questão de segurança abordada,
monstrando-lhes os objetivos da Segurança da
Informação e Cibernética e os potenciais impactos
dos diferentes comportamentos sobre a
organização.
Fonte: Adobe Stock

• Testar os conhecimentos adquiridos pelos
colaboradores ao final da realização de qualquer
treinamento em segurança (da informação e
cibernética), que pode fazer parte de atividade
educacional de TI.
Fonte: Adobe Stock

Controle 5 – Gestão de Respostas
a Incidentes

Definição: Estabelecer um programa para resposta
a incidentes e verificar sua eficácia através de testes
constantes, com o objetivo de melhorar e adequar
cada vez mais seu tempo de resposta, definindo
políticas, planos, procedimentos, definindo papéis e
treinamento.
Controle 5 – Gestão de Respostas a Incidentes
Fonte: Adobe Stock

Elaborar e manter plano de resposta é essencial
para que a organização esteja preparada caso
ocorra um incidente, identificando ameaças e
respondendo a elas antes que se espalhem e
causem maiores danos.
Fonte: Adobe Stock

• Definir os papéis para que ocorra o gerenciamento
do processo de tratamento de incidentes de forma
eficiente, estabelecendo informações de contato
para reportar os incidentes, bem como relação
com as informações de contato de todas as partes
interessadas que precisam ser informadas sobre a
ocorrência.
Fonte: Adobe Stock

• Estabelecer processo para recebimento de
notificação de incidentes, definindo requisitos
mínimos para os procedimentos, os prazos e o
conteúdo das notificações de incidentes.
Fonte: Adobe Stock

• A equipe de resposta a incidentes deve ser
periodicamente treinada, com base em cenários
de ataque, ajustando para as ameaças e os
impactos potenciais enfrentados pela organização,
garantindo que toda a equipe esteja sempre
preparada para desempenhar suas funções no
processo de resposta.
Fonte: Adobe Stock

• Identificando lacunas nos planos e processos de
resposta e dependências inesperadas, ajudando a
promover, assim, sua atualização constante.
• Incluir inteligência sobre ameaças no processo de
resposta a incidentes, tornando a equipe mais
proativa.
Fonte: Adobe Stock

Apresentamos nos tópicos anteriores os 5 principais
controles que devem ser implementados, de acordo
com os estudos elaborados pelo Tribunal de Contas
da União.
São boas práticas que podem ser facilmente
adotadas na iniciativa privada.
Na próxima aula iremos abordar as Políticas
adotadas em um Sistema de Gestão de Segurança
da Informação e Cibernética.
Conclusão
Fonte: Adobe Stock

A palavra política está a nossa volta em todo
momento e em todos os lugares. Muitas vezes ela é
associada a protestos, manifestações, além de
atribuírem diversos significados pejorativos, para
dizer que algo é complicado para ser resolvido
porque tem muitas etapas, dentre inúmeros outros
significados.
O que é política?
Fonte: Adobe Stock

O termo política vem do grego polis (cidade-Estado)
servindo para designar, desde a antiguidade, o
campo a atividade humana que se refere à cidade,
ao Estado e às coisas de interesse público.
Definição do dicionário Oxford Languages:
1. arte ou ciência de governar.
2. arte ou ciência da organização, direção e
administração de nações ou Estados; ciência
política.
O que é política?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Em uma empresa a palavra política tem relação com
padronização de regras, as chamadas políticas
corporativas que precisam ser seguidas em uma
empresa. Exemplo: Código de Conduta.
Determinam os propósitos e os objetivos de uma
organização, trilhando o caminho para que se
alcance esses objetivos.
O que é política?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

As políticas de segurança são regras corporativas
que determinam os limites da segurança física ou
lógica.
Para nossa área e estudo nos interessa tudo que se
refere à política de segurança lógica.
Políticas de segurança
Fonte: Adobe Stock

A segurança lógica é um conjunto de soluções de
hardwares e softwares especializados, com foco em
detecção, tratamento e mitigação de ameaças
digitais.
Ou seja, é um trabalho técnico e estratégico, com
foco em tornar o acesso aos dados organização mais
seguros, por meio do controle de tentativas de
entrada indevidas, para evitar o sequestro e perdas
de dados.
Conceito
Fonte: Adobe Stock

Reputação das empresas: Uma reputação
construída ao longo de muitos anos pode se perder
facilmente e em pouco tempo quando uma empresa
perde os dados de um cliente, por exemplo. Além
dela enfrentar outros problemas relacionados ao
compliance.
Importância da Segurança Lógica
Fonte: Adobe Stock

Sequestro de dados: Outro fator importante a ser
analisado é o fato de que os atacantes não
sequestram os dados simplesmente por fazê-lo. Eles
solicitam um resgate muito alto em moedas virtuais.
Mesmo que você pague, não há como ter certeza de
que eles irão devolvê-los.
Importância da Segurança Lógica
Fonte: Adobe Stock

A segurança lógica é fundamental para que a
estrutura organizacional da empresa se mantenha.
tema, explorando um pouco mais o assunto.
A seguir...
Fonte: Adobe Stock

PSI – Política de Segurança da
Informação

Uma política de segurança da informação (PSI) ou
política de segurança das informações e
comunicações (PoSIC) tem por objetivo possibilitar o
gerenciamento da segurança de informação em uma
organização, estabelecendo regras e padrões para
proteção da informação.
PSI
Fonte: Adobe Stock

Também é um documento que estabelece e orienta
hierarquia no acesso aos dados, determina boas
práticas, informando o que deve ser evitado a fim de
garantir a segurança de informações sensíveis e
estratégicas.
A PSI também serve como um guia para que todos
saibam como atuar em caso de incidentes de
segurança, definindo procedimentos a serem
adotados.
PSI
Fonte: Adobe Stock

Alguns assuntos importantes que deve estar inserido
em uma Política de Segurança da Informação:
• Autenticação multifatorial e leitura biométrica
• Encriptação de dados
• IAM: Identity and Access Management
• Resposta a incidentes
• Análise comportamental
• Cuidado com a computação na nuvem
• Prevenção contra o ransomware
Conteúdo
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Este conteúdo em uma política é importante porque
trabalha com as fragilidades de senhas habituais e
apresenta outra forma de autenticação que pode ser
uma alternativa mais segura.
A leitura biométrica é o reconhecimento de
características físicas que somente um usuário pode
ter, como impressão digital ou íris dos olhos.
Autenticação multifatorial e leitura biométrica
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

É o processo de codificação de mensagem ou
arquivos. Esse processo gera um código que permite
que apenas aqueles que possuem as chaves
corretas tenham acesso àquelas informações.
A encriptação tem por objetivo proteger os dados
digitais durante o seu envio.
Encriptação de dados
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

IAM (Identity and Access Management) ou
Gerenciamento de Identidade de Acesso, é a prática
de garantir que pessoas e entidades com identidades
digitais tenham o nível certo de acesso aos recursos
da empresa, como redes e bancos de dados.
As funções do usuário e os privilégios de acesso são
definidos e gerenciados por meio de um sistema de
IAM.
IAM: Identity and Access Management
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nesse tópico, iniciamos a abordagem de alguns
conteúdos importantes que fazem parte de uma PSI,
de acordo com a ISO 27.001.
No próximo tópico, vamos dar continuidade a esse
conteúdo.
A seguir...
Fonte: Adobe Stock

O termo “resposta a incidentes” se refere ao
procedimento adotado por uma empresa para
responder a ameaças de TI, como ataques
cibernéticos, violações de segurança e períodos de
inatividade de servidores. De acordo com o
framework NIST CSF ela pode ser dividida num ciclo
de vida de 4 etapas:
• Preparação
• Identificação e Análise
• Contenção, erradicação e recuperação
• Atividade pós evento
Resposta a Incidentes
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Através desse monitoramento, qualquer
comportamento incomum do usuário é facilmente
identificado, podendo ser interrompido de forma
imediata qualquer tipo de ameaça.
Ainda, quando o usuário sabe que existe um
monitoramento de suas atividades já evita o acesso
indevido a determinadas páginas que podem trazer
falhas na segurança.
Análise comportamental
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

É o fornecimento de serviços de computação,
incluindo servidores, armazenamento, bancos de
dados, rede, software, análise e inteligência, pela
Internet (a nuvem) oferecendo inovações mais
rápidas, recursos flexíveis e economias.
A Computação em Nuvem traz excelentes benefícios
para as organizações, contudo também traz a
necessidade de se tomar cuidados com a
segurança, utilizando ferramentas extras de
proteção.
Cuidados com a computação na nuvem
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Todos os dias vemos notícias sobre sequestro de
dados e a dificuldade que as empresas enfrentam
para tratar esse incidente quando acontece.
Nesse tipo de ataque os dados da empresa são
sequestrados e criptografados, impedindo a empresa
de visualizá-los.
Então, e é exigido um pagamento para liberação
desses dados.
Prevenção contra o ransomware
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Não há qualquer garantia de que esses dados serão
devolvidos após o pagamento.
Caso a empresa não tenha uma boa infraestrutura
de backup para garantir a recuperação desses dados
ela fica totalmente nas mãos desses atacantes.
Considerando a quantidade de ataques realizados
nos últimos tempos, é fundamental que uma
organização aborde em sua política estratégias de
prevenção.
Prevenção contra o ransomware
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A PSI tem por objetivo principal estabelecer formas
de garantir os Pilares da Segurança da Informação,
Confidencialidade, Integridade e Disponibilidade.
Para tanto, deve estabelecer todas as regras tendo a
proteção dos pilares como objetivo final.
Garantir o CID
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A plataforma .gov (www.gov.br) oferece diversos
modelos de políticas. Entre no site e busque por
Guias e Modelos.
Garantir o CID
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nesse tópico, abordamos algumas informações
básicas que devem estar presentes em uma PSI
No próximo tópico, verificaremos como se faz uma
Política de Segurança da Informação.
A seguir...
Fonte: Adobe Stock

Como elaborar uma PSI – parte 1

Uma PSI (Política de Segurança da Informação)
pode ser estabelecida em 8 passos:
• Definir quem serão os principais responsáveis
pela PSI.
• Fazer um diagnóstico de segurança da
informação.
• Categorizar os tipos de informações.
• Estabelecer os níveis de acesso às informações.
• Detalhar os recursos tecnológicos utilizados na
proteção de dados.
Elaboração de PSI
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

• Apontar as consequências para quem violar as
diretrizes da PSI.
• Comunicar a política de segurança da informação
para toda a empresa.
• Monitorar e atualizar a PSI.
Veremos separadamente cada um deles.
Elaboração de PSI
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Para a elaboração de uma política eficaz, é
importante organizar um comitê multidisciplinar
responsável pela criação de diretrizes,
implementação e acompanhamento da PSI.
Deverá ser definido um grupo de responsáveis por
definir essas diretrizes e garantir que elas estejam
sendo seguidas.
Definição dos Responsáveis
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nessa etapa é importante levantar os ativos de
informação da empresa e avaliar a maturidade da
segurança desses ativos.
A partir desse diagnóstico, será mais fácil para os
seus profissionais de TI identificarem os pontos que
precisam ser melhorados, trazendo principalmente
uma ordem de prioridade.
Fazer um diagnóstico de segurança da informação
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nesta etapa de elaboração da PSI, é necessário
categorizar os tipos de informações que a
organização deve buscar proteger e classificá-las
como:
• Públicas
• Internas
• Confidenciais
• Restritas
Categorizar os tipos de informações
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Dessa forma, fica mais fácil definir medidas eficazes,
considerando as especificidades de cada tipo de
informação e os riscos inerentes a elas.
Categorizar os tipos de informações
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Depois de categorizar as informações da empresa,
deve-se definir quem poderá acessá-las, levando em
consideração os tipos e a natureza dessas
informações.
Ao estabelecer os níveis de acesso, deve-se deixar
claro quem, como e quando determinados dados
podem ser acessados. Pode ter casos em que o
colaborador terá acesso único para uma informação,
enquanto outros terão acessos a todos os níveis.
Estabelecer os níveis de acesso às informações
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nesse tópico, abordamos alguns pontos para se
elaborar uma PSI.
No próximo tópico continuaremos a conhecer esse
processo.
A seguir...
Fonte: Adobe Stock

Como elaborar uma PSI – parte 2

É importante detalhar as ferramentas que serão
utilizadas para que os colaboradores possam fazer o
uso correto delas.
E para cada ferramenta determinar as regras de uso
e acesso, informando que será mantido um registro
de logs de todo e qualquer uso que for feito em cada
ferramenta.
Esta prática tem se mostrado bastante eficaz no
controle do uso dos recursos.
Detalhe os recursos tecnológicos utilizados na proteção de dados
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Aponte as consequências para quem violar as
diretrizes da PSI.
Nesse caso, além de iniciar o treinamento com todos
os colaboradores, é importante apresentar a eles as
consequências que erros humanos e tecnológicos
causam para a empresa quando os dados são
trabalhados de maneira pouco segura.
Consequências para quem violar as diretrizes da PSI
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Após as revisões e análises da PSI, é essencial
obter a aprovação do corpo gestor da organização e
da equipe de segurança envolvida no processo.
Importante destacar, também que, para que uma PSI
seja útil, ela deve atender os objetivos da segurança
da informação e ser aplicável.
Aprove a Política
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Além da comunicação, é importante ter um
treinamento cíclico na empresa e que esse
treinamento seja repetido a cada alteração de
política.
Comunique a PSI
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Mantendo-se um treinamento sempre atualizado
garante-se que todo colaborador que entre na
empresa tenha o treinamento adequado para
desempenhar sua função.
Treine a PSI
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Acompanhe a implementação da política de
segurança da informação de modo a garantir que os
colaboradores sigam as diretrizes estabelecidas.
O documento deve ser revisado periodicamente a fim
de fazer as atualizações necessárias, conforme
novas necessidades forem surgindo.
Monitore e atualize a PSI
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Para monitorar esse e outros processos, o ideal é
contar com a ajuda da tecnologia, por meio de um
software especializado, desenvolvido para a gestão
de performance de procedimentos operacionais.
Monitore e atualize a PSI
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nos tópicos anteriores, abordamos alguns pontos
relevantes para se elaborar uma PSI.
No próximo tópico continuaremos esse assunto.
A seguir...
Fonte: Adobe Stock

Políticas de Segurança Cibernética

A Política de Segurança Cibernética visa prover a
metodologia necessária para instituir processos e
controles para prevenir e reduzir as vulnerabilidades
e atender aos demais objetivos relacionados à
Segurança Cibernética.
Na prática, sua função não é muito diferente daquilo
que já foi explicado sobre PSI, contudo, para
algumas empresas que precisam seguir a Resolução
4893/21 do Bacen, existe diferença.
Política de Segurança Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Art. 1º Esta Resolução dispõe sobre a política de
segurança cibernética e sobre os requisitos para a
contratação de serviços de processamento e
armazenamento de dados e de computação em
nuvem a serem observados pelas instituições
autorizadas a funcionar pelo Banco Central do Brasil.
Resolução 4893/21 Bacen
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Para as organizações que seguem a Resolução
4893/21 não basta ter somente a Política de
Segurança da Informação, é necessário também ter
uma Política de Segurança Cibernética, abordando
as principais diretrizes de Segurança Cibernética
determinadas no Capítulo II da Resolução.
Para verificar uma PSC pública, verifique no site do
Banco Central do Brasil.
Resolução 4893/21 Bacen
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Normalmente as organizações possuem uma PSI
abordando os assuntos principais e, quando
entendem ser necessário, políticas individuais como:
• Política de Gestão de Acesso.
• Política de Uso da Internet.
• Política de Backup.
• Política de Uso de Dispositivos Móveis.
• Política de Gestão de Terceiros, etc.
Demais políticas que envolvem segurança
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

As políticas corporativas gerais documentam ações,
comportamentos e procedimentos que precisam ser
seguidos dentro de uma empresa como um todo.
Refletem propósitos e objetivos de uma organização,
estabelecendo o que deve ser feito para alcança-los.
Políticas corporativas gerais
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

As políticas orientam as ações que ocorrem dentro
da empresa e impactam os colaboradores e gestores
(políticas internas).
Também se aplicam à forma como a organização se
porta em relação ao público externo (políticas
externas).
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Além de políticas corporativas abrangerem o aspecto
macro de uma empresa, também existe uma
variedade de recomendações e normas que norteiam
o trabalho diário e o funcionamento de uma
organização.
Entre as políticas que servem para unificar os
procedimentos dentro de uma empresa, estão:
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

• Políticas de Recursos Humanos, que envolvem
processos de seleção, remuneração, saúde,
previdência e treinamento de colaboradores.
• Políticas de Vendas, que tratam do processo
comercial e do relacionamento com o cliente.
• Políticas de Produção, que regulam o processo
produtivo e de qualidade.
• Políticas Ambientais, que abordam o impacto da
empresa no ambiente e questões de
sustentabilidade.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nos tópicos anteriores, abordamos as políticas que
regem uma organização, focando especificamente
na PSI.
Na próxima aula, iniciaremos um novo assunto,
abordando a Lei Geral de Proteção de Dados.
Conclusão
Fonte: Adobe Stock

Vivemos um mundo virtual, isso é um fato.
Conversamos com pessoas, trabalhamos, fazemos
consultas médicas, jogamos, fazemos compras,
abrimos contas em bancos, tudo de forma virtual,
dentre inúmeras outras atividades.
Tudo que fazemos na internet deixa rastros que
interessam a terceiros. Seja um carrinho de compra
virtual que não finalizamos ao tipo de pesquisas que
realizamos livremente.
O mundo virtual
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Todos nossos interesses são numericamente
catalogados e utilizados por Machine Learning.
A quantidade de informações que produzimos
diariamente geram valores imensuráveis para muitas
instituições.
Vocês já pararam para pensar na quantidade de
contratos que vocês assinam diariamente?
Relações contratuais
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Quando baixamos apps clicamos em ícones dando
permissões de acesso a nossos dados.
Também é fato que, na grande maioria das vezes,
não paramos para ler o que estamos consentindo.
Já imaginaram ter suas atividades diárias divulgadas
para todas as pessoas, considerando os lugares que
vocês frequentam, a comida que pedem, a bebida
que tomam, aquilo que se comenta nos bastidores?
Consentimento
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Já imaginaram ter sua imagem vinculada a uma rede
social criminosa?
Tudo isso e muito mais pode acontecer quando não
se protege a privacidade e os dados pessoais.
Toda vez que concordamos com termos e políticas
damos o nosso consentimento para que aquele
aplicativo ou site faça o que quiser com nossos
dados, não só o que livremente fornecemos, mas ao
histórico que é gerado por nós.
Consentimento
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Quanto vale sua privacidade? Quanto vale seu
histórico de navegação? Quanto vale os endereços
dos locais que vocês frequentam? Quanto vale seus
dados pessoais?
Esses são valores intrínsecos e extrínsecos que toda
legislação de proteção de dados mundial tenta
preservar.
Valor da informação
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Dados processados geram valor econômico e hoje
esse valor tem sido bem alto.
A internet nos da a falsa sensação de privacidade,
mas, a partir do momento que estamos em rede não
estamos sozinhos.
Trancamos a porta de casa para impedir que
pessoas indesejáveis tenham acesso a nossas
casas, mas postamos fotos íntimas nas redes sociais
e a deixamos abertas para qualquer pessoa ver.
Privacidade
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Damos autorização para sites e aplicativos
escanearem nossas imagens para verificarmos como
ficaremos quando estivermos mais velhos.
E se nessa autorização estiver disposto que nossa
imagem poderá ser utilizada para criação da
inteligência artificial?
Hoje temos aplicativos de inteligência artificial que
manipula nossas fotos e as colocam em contextos
diversos do que imaginamos.
Contextualização dos dados
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Autorizamos e aceitamos tudo que aparece para
podermos utilizar um aplicativo ou um site.
Todos esses aceites são contratos. Quem protege
nossos dados nessas relações contratuais virtuais?
Quem nos protege da exposição indevida de nossos
dados pessoais quando nós mesmos não damos a
devida importância para sua proteção?
Quem protege nossos dados nas relações virtuais?
Fonte: Adobe Stock

Em cenários caóticos e perigosos o Direito precisa
intervir.
Essa intervenção acontece por meio de promulgação
de leis e regulamentos que ajudam a estabelecer a
ordem das coisas.
Assim surgiram as legislações mundiais sobre
proteção de dados. Para garantir a inviolabilidade de
nossa privacidade, não só no mundo físico, mas
também no digital.
A lei e a ordem
Fonte: Adobe Stock

Quando a ordem escapa do controle é o Direito que
a traz de volta.
É com essa força que recepcionamos a Lei Geral de
Proteção de Dados.
Assunto que estudaremos a partir da próxima aula.
A seguir...
Fonte: Adobe Stock

Fundamentos da Lei Geral de
Proteção de Dados

O Direito à Privacidade, que faz parte do rol de
direitos fundamentais sociais, ganhou novas
perspectivas na Era Digital.
Para não perder negócios, os países que ainda não
tinham essa legislação específica, se viram
obrigados a legislar, adaptando-se, principalmente,
mas não só, à Legislação Europeia (GDPR).
Introdução
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Iniciou com a Convenção 108/1980, que viabilizou a
harmonia da legislação de proteção de dados,
através da Diretiva 95/46/CE, que concedeu ao
cidadão o direito de controlar suas informações
pessoais e obrigou sites de pesquisa a remover
dados pessoais impróprios.
Posteriormente surgiu a Diretiva 2002/58/CE, que
regulamentou proteção de dados nos serviços de
comunicação eletrônica.
Proteção de dados na Europa
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

O General Data Protection Regulation (GDPR),
publicado em 14 de abril de 2016 e implementado
em 25 de maio de 2018, revogou a Diretiva
95/46/CE.
O objetivo do GDPR foi harmonizar as leis de
proteção de dados pessoais por toda a Europa, com
o intuito de proteger a privacidade de todos os
cidadãos, reorganizando a maneira como
organizações lidam com dados privado.
Proteção de dados na Europa
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Em agosto de 2018 foi aprovada a Lei nº 13.709/18
que entrou em vigor em setembro de 2020.
Posteriormente, em julho de 2019, foi instituída a
Autoridade Nacional de Proteção de Dados.
Em fevereiro de 2023 foi criada a dosimetria das
penalidades e em agosto aplicada a primeira multa.
Lei Geral de Proteção de Dados
Fonte: Adobe Stock

Trata-se de uma Legislação jovem que ainda
passará por bastante mudanças.
Seu contexto histórico vem da necessidade do Brasil
se adequar às legislações internacionais que
passaram a cuidar dos dados pessoais no âmbito
dos Direitos Humanos.
Fonte: Adobe Stock

A LGPD é uma norma que regulamenta a utilização
da dados pessoais, não a proíbe.
Com a lei, toda atividade que envolve dados
pessoais tem regras e diretrizes claras e objetivas,
devendo estar alinhada com os tratamentos
determinados pela lei, o que traz segurança para os
titulares dos dados.
Importante destacar que a LGPD protege os dados
das pessoas físicas e não jurídicas.
Fonte: Adobe Stock

A LGPD trouxe uma nova perspectiva de negócio
para o mercado internacional ao se adequar aos
padrões necessários.
A seguir...
Fonte: Adobe Stock

Conteúdo e Definições da LGPD

Antes de adentrarmos aos pormenores da Lei é
importante destacar a diferença entre dados
pessoais simples e dados sensíveis, nos termos do
art. 5º, I e II:
I - dado pessoal: informação relacionada a pessoa
natural identificada ou identificável;
Dado pessoal e sensível
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

II - dado pessoal sensível: dado pessoal sobre
origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente
à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural;
Essa definição é fundamental porque a LGPD dará
cuidado especial ao dado pessoal de natureza
sensível.
Dado pessoal e sensível
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

O art. 6º da norma traz em seus incisos os princípios
que devem ser observados no tratamento de dados
pessoais. São eles:
Princípios que norteiam as atividades de tratamento
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
I. Finalidade VI. Transparência
II. Adequação VII. Segurança
III. Necessidade VIII. Prevenção
IV. Livre acesso IX. Não discriminação
V. Qualidade dos dados X. Responsabilização e
prestação de contas
Fonte: Adobe Stock

Conforme dissemos anteriormente a LGPD não
proíbe o tratamento de dados pessoais, ela somente
determina como eles devem ser tratados.
Ela traz nos incisos do art. 7º as hipóteses de
tratamento de dados num rol taxativo, ou seja, fora
dessas hipóteses, os dados pessoais não poderão
ser tratados.
Bases legais de tratamento de dados pessoais
Fonte: Adobe Stock

As 10 bases legais da LGPD são:
Bases legais de tratamento de dados pessoais
Fonte: Adobe Stock
I. Consentimento do titular VI. Execução ou preparação
contratual
II. Legítimo interesse VII. Exercício regular de
direitos
III. Cumprimento de
obrigação legal ou
regulatória
VIII. Proteção da vida e da
incolumidade física
IV. Tratamento pela
administração pública
IX. Tutela de saúde do
titular
V. Realização de estudos e
de pesquisa
X. Proteção de crédito

A forma de tratamento de dados determinada pela
LGPD não pode ser distinta das bases legais que
mencionamos.
Esses incisos é o que chamamos no Direito de rol
taxativo.
Fonte: Adobe Stock

Nesse tópico, iniciamos a abordagem dos artigos da
LGPD.
No próximo tópico, falaremos sobre os Direito dos
Titulares.
A seguir...
Fonte: Adobe Stock

Um dos capítulos mais importantes que a LGPD traz
é o terceiro que trata dos Direitos dos Titulares.
Assim dispõem o art. 18:
Art. 18. O titular dos dados pessoais tem direito a
obter do controlador, em relação aos dados do titular
por ele tratados, a qualquer momento e mediante
requisição:
I - confirmação da existência de tratamento
Direito dos Titulares
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

II - acesso aos dados
III - correção de dados incompletos, inexatos ou
desatualizados
IV - anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em
desconformidade com o disposto na LGPD
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

V - portabilidade dos dados a outro fornecedor de
serviço ou produto, mediante requisição expressa, de
acordo com a regulamentação da autoridade
nacional, observados os segredos comercial e
industrial
VI - eliminação dos dados pessoais tratados com o
consentimento do titular, exceto nas hipóteses
previstas no art. 16 da LGPD
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

VII - informação das entidades públicas e privadas
com as quais o controlador realizou uso
compartilhado de dados
VIII - informação sobre a possibilidade de não
fornecer consentimento e sobre as consequências da
negativa
IX - revogação do consentimento, nos termos do § 5º
do art. 8º da LGPD
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Os direitos dos titulares deverão ser atendidos
mediante requisição.
Na plataforma gov.br é possível preencher uma
requisição de acesso aos dados pessoais tratados.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Apesar dos direitos dos titulares de dados estarem
bem discriminados na LGPD, há inúmeros pontos da
lei que precisam ser regulamentados pela ANPD, o
que dificulta um plano de resposta das empresas às
solicitações dos titulares de dados.
Enquanto a regulamentação desses pontos não
ocorre, as empresas devem seguir o caminho mais
seguro de adequação à lei, contando,
preferencialmente, com a ajuda de uma equipe
especializada em proteção de dados.
Adequações à LGPD
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

O dever do titular é o de manter seus dados
atualizados e informar qualquer modificação
Conclusão
Fonte: Adobe Stock

Um ponto importante para destacarmos é sobre o
vazamento de dados e como a LGPD trabalha com
esse tipo de incidente.
Então, inicialmente, o que se entende por Vazamento
de Dados?
É o ato pelo qual os dados confidenciais de uma
pessoa ou de uma organização são indevidamente
acessados, coletados e divulgados na internet ou
repassados a terceiros.
Vazamento de Dados
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Normalmente o vazamento ocorre por:
• Códigos maliciosos que exploram vulnerabilidades
em sistemas
• Acesso às contas dos usuários por meio de
senhas fracas ou vazadas
• Ação de funcionários ou ex-funcionários que
furtam informações dos sistemas da empresa e
repassam para terceiros
• Roubo de equipamentos que contenham dados
sigilosos
Como ocorre o vazamento de dados?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Considerando as definições da LGPD, um incidente
de segurança é um acontecimento indesejado ou
inesperado, hábil a comprometer a segurança dos
dados pessoais, de modo a expô-los a acessos não
autorizados e a situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito.
Qual é a diferença entre vazamento de dados e incidente de
segurança?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Um vazamento de dados é um tipo de incidente de
segurança que se refere especificamente à
exposição não autorizada de dados pessoais e
informações privadas.
O vazamento de dados é um dos tipos de incidente
de segurança que traz mais risco tanto aos titulares
quanto à empresa controladora dos dados.
Qual é a diferença entre vazamento de dados e incidente de
segurança?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A LGPD determina que os agentes de tratamento de
dados (empresas e pessoas envolvidas no
tratamento de dados pessoais) respondem
legalmente em caso de vazamento de dados.
Art. 44 (…)
Parágrafo único. Responde pelos danos decorrentes
da violação da segurança dos dados o controlador
ou o operador que, ao deixar de adotar as medidas
de segurança previstas no art. 46 desta Lei, der
causa ao dano.”
Quem responde legalmente caso ocorra um vazamento de dados
em uma empresa?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nos termos do art. 43, os agentes de tratamento só
não serão responsabilizados quando provarem:
I – que não realizaram o tratamento de dados
pessoais que lhes é atribuído;
II – que, embora tenham realizado o tratamento de
dados pessoais que lhes é atribuído, não houve
violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do
titular dos dados ou de terceiro.
Casos em que os agentes de tratamento não podem ser
responsabilizados
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Quando ocorre um incidente, o responsável pelo
tratamento dos dados analisa, primeiramente, a
gravidade desse incidente. Quando há vazamento de
dados o incidente quase sempre é grave.
Havendo risco relevante ao titular, o responsável
pelo tratamento dos dados deverá comunicar a
ANPD em até 72 horas após o conhecimento do
incidente, bem como os titulares dos dados.
O que a LGPD determina em caso de vazamento de dados?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A LGPD não prevê sanções específicas para
vazamento de dados, mas estabelece sanções para
infrações à lei em geral.
Como uma das exigências da lei é adotar medidas
para garantir a segurança dos dados, um vazamento
pode ser considerado uma infração.
Ainda, em seu artigo 44 a LGPD estabelece que o
tratamento de dados pessoais será irregular quando
não fornecer a segurança mínima necessária.
Quais são as sanções da LGPD em caso de vazamento de dados?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Sanções previstas na LGPD:
• Advertência, com prazo para corrigir as infrações;
• Multa simples de até 2% do faturamento da
empresa no ano anterior, até o limite de R$ 50
milhões por infração
• Multa diária de até 2% do faturamento da empresa
no ano anterior, até um limite de R$ 50 milhões
por infração
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

• Tornar publica a infração cometida
• Bloqueio dos dados pessoais relacionados à
infração
• Eliminação dos dados pessoais relacionados à
infração
• Suspensão parcial do funcionamento do banco de
dados a que se refere a infração pelo período
máximo de seis meses, prorrogável por igual
período
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

• Suspensão da atividade de tratamento dos dados
pessoais a que se refere a infração pelo período
máximo de seis meses, prorrogável por igual
período
• Proibição parcial ou total das atividades
relacionadas a tratamento de dados
As sanções serão aplicadas somente mediante
processo administrativo que possibilite a ampla
defesa, o contraditório e o direito de recurso.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Apesar da LGPD não trazer em seu texto normativo
a palavra “vazamento de dados” ele se configura
como um dos principais incidentes de segurança
dignos de sanções.
A seguir...
Fonte: Adobe Stock

Processo de Fiscalização da ANPD

O processo de fiscalização da ANPD tem por objetivo
apurar o cumprimento das normas de proteção de
dados pessoais pelas empresas, por meio de
atividades de monitoramento, orientação e
prevenção.
Processo de Fiscalização da ANPD
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A finalidade do monitoramento é coletar informações
e dados pertinentes para auxiliar a ANPD na tomada
de decisões, garantindo o adequado funcionamento
do ambiente regulado.
No que diz respeito à orientação, essa atividade se
destaca pelo enfoque na eficiência econômica e no
emprego de métodos e ferramentas que visam
fomentar a orientação, conscientização e educação
dos agentes de tratamento e dos titulares de dados
pessoais.
Qual a finalidade da fiscalização?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A atividade preventiva, por sua vez, envolve uma
abordagem preferencialmente centrada na
colaboração construtiva e no diálogo para
desenvolver soluções e medidas. Essas buscam
reconduzir o agente de tratamento à plena
conformidade ou prevenir e remediar situações que
possam representar risco ou causar danos aos
titulares de dados pessoais e a outros agentes de
tratamento.
Qual a finalidade da fiscalização?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A Autoridade, no exercício de sua competência
fiscalizatória, pode atuar de ofício, por meio de
programas periódicos de fiscalização, em
colaboração coordenada com órgãos e entidades
públicas, ou em cooperação com autoridades de
proteção de dados pessoais de outros países, seja
em âmbito internacional ou transnacional.
Quais são os meios de atuação da fiscalização?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A fiscalização conduzida pela ANPD visa promover a
compreensão das normas e políticas públicas
relacionadas à proteção de dados pessoais, assim
como das medidas de segurança. Isso é feito para
disseminar boas práticas, conforme estabelecido
pela LGPD, entre os titulares de dados e os agentes
de tratamento.
Quais são os meios de atuação da fiscalização?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

• Harmonização com o plano estratégico, os
mecanismos de monitoramento das operações de
tratamento de dados e a Política Nacional de
Proteção de Dados Pessoais e da Privacidade.
• Ênfase na priorização de ações fundamentadas
em evidências e riscos regulatórios, com
direcionamento e orientação voltados para
alcançar resultados.
Quais são as 10 premissas da Fiscalização?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

• Atuação de maneira responsiva, implementando
medidas proporcionais ao risco identificado e à
conduta dos agentes regulados.
• Incentivo para fomentar a cultura de proteção de
dados pessoais.
• Inclusão de dispositivos para promover
transparência, retroalimentação e autorregulação.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

• Promoção da responsabilidade e prestação de
contas por parte dos agentes de tratamento.
• Fomento à conciliação direta entre as partes, com
ênfase na resolução de problemas e na reparação
de danos pelo controlador, em conformidade com
os princípios e direitos do titular estabelecidos na
LGPD.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

• Necessidade de intervenção mínima na imposição
de condições administrativas para o tratamento de
dados pessoais.
• Realização das atividades fiscalizatórias de forma
mais adequada às competências da ANPD.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Concluímos nessa aula o tema LGPD e suas
premissas.
Na próxima, falaremos um pouco sobre Ética em
Segurança Cibernética.
Conclusão
Fonte: Adobe Stock

A discussão sobre ética e moral perdura ao longo
dos séculos, mantendo-se relevante até os dias
atuais.
Pensadores de diversas épocas, como Sócrates e
Immanuel Kant, ofereceram suas próprias
interpretações desses conceitos.
Ética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

À medida que o tempo avança, essas noções
evoluem para se adequar às novas realidades. Além
disso, a interação entre ética e moral encontra
aplicação em uma variedade de contextos.
Nas organizações, por exemplo, elas desempenham
um papel crucial integrando-se a códigos de conduta.
Ética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Ética e moral são dois conceitos que abordam o
comportamento humano na sociedade, embora não
sejam sinônimos, mas sim complementares.
Embora haja uma interconexão entre eles, a origem
e o significado de ética e moral não são idênticos.
Vamos examinar os conceitos e as distinções entre
essas duas palavras.
Ética e Moral
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A moral refere-se a um conjunto de normas que
orientam o comportamento das pessoas em
contextos específicos. Este conceito tem uma
natureza particular e fundamenta-se principalmente
em hábitos e costumes.
A ética desempenha essencialmente o papel de
racionalizar a moral, representando uma reflexão
sobre as ações humanas. Em outras palavras, as
noções de certo e errado, justo e injusto derivam dos
nossos valores éticos.
Ética e Moral
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Diferentemente da moral, a ética é um conceito de
caráter universal, fundamentado em princípios
teóricos.
Apesar de suas disparidades, ética e moral
compartilham pelo menos uma semelhança notável:
ambas contribuem para delinear os valores que
guiarão o comportamento individual, estabelecendo
noções de índole e caráter, buscando a melhor
maneira de viver em sociedade.
Ética e Moral
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Enquanto "ética" tem sua raiz no grego "ethos", que
significa "modo de ser", "moral" provém do latim
"mores", traduzido como "costumes".
A moral sempre esteve presente, desde os
primórdios da humanidade, a ética, por outro lado,
iniciou suas discussões a partir do filósofo Sócrates,
durante o Período Clássico da Grécia Antiga,
aproximadamente no século IV a.C.
Origem do conceito
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

O conceito de ética e moral desempenha um papel
crucial na definição de valores essenciais para uma
sociedade, pois regula a convivência e contribui para
a formação do caráter das pessoas.
Esses valores servem como guias quando
confrontados com situações difíceis e imprevistas.
Qual a importância da Ética e da Moral?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Apesar de possuírem significados distintos, ética e
moral estão intrinsecamente conectadas, sendo a
ética, em última análise, uma reflexão aprofundada
sobre a moral.
Uma situação moralmente inaceitável pode não ser
reprovada eticamente, exemplo: furto famélico.
Qual a relação entre Ética e Moral?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A ética desempenha um papel fundamental na
Segurança Cibernética, pois ajuda a estabelecer
padrões de conduta e comportamento que
promovem a proteção adequada dos dados e
sistemas.
E qual a importância da Ética para a Segurança Cibernética?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nesse tópico, abordamos inicialmente alguns
conceitos sobre ética e moral.
No próximo tópico, conheceremos um pouco mais
sobre Ética em Segurança Cibernética.
A seguir...
Fonte: Adobe Stock

Ética e aspectos jurídicos em
Segurança Cibernética

A temática da Segurança Cibernética possui uma
significativa relevância global, e o Brasil não foge a
essa realidade.
Com a constante evolução da tecnologia e o
crescente uso da internet, tornou-se imperativo
abordar os aspectos éticos e legais associados à
proteção de dados e à segurança digital.
Ética em Segurança Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

É fundamental que as organizações forneçam
informações transparentes e precisas sobre suas
práticas, o que implica obter o consentimento dos
usuários antes de coletar e processar seus dados
pessoais.
Os indivíduos devem receber esclarecimentos sobre
a finalidade da coleta, o uso previsto e os direitos
que detêm em relação às suas informações, bem
como sobre seu armazenamento e exclusão.
Princípio da Transparência
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Os especialistas em Segurança Cibernética têm o
dever de atuar com diligência, adotando medidas
apropriadas para resguardar sistemas e informações.
Isso abrange a atualização constante em relação às
melhores práticas de segurança, a implementação
de medidas protetivas eficazes e a pronta resposta a
incidentes de segurança.
Melhores práticas
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Como vimos nas aulas passadas, a Segurança
Cibernética segue uma série de normas, diretrizes e
padrões internacionais para se manter em
conformidade.
O comportamento ético dos especialistas consiste
em ter esses padrões estabelecidos como limites
para suas ações e ter o dever de disseminar a
cultura cibernética nesse contexto.
Comportamento Ético
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Sob uma perspectiva legal, existe um conjunto de
leis, regulamentações e convenções internacionais
destinadas a preservar a segurança digital e os
direitos dos usuários.
No âmbito jurídico brasileiro, a Lei Geral de Proteção
de Dados (LGPD), por meio do decreto nº
8.771/2016, define normas referentes à coleta, uso,
armazenamento e compartilhamento de dados
pessoais.
LGPD
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Além disso, ela estipula os direitos dos titulares de
dados, tais como acesso, retificação e exclusão de
informações pessoais, ao mesmo tempo que
estabelece as sanções administrativas aplicáveis em
caso de violações à proteção de dados.
LGPD
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A observância de uma abordagem ética e o
cumprimento das leis são elementos essenciais para
assegurar a proteção dos dados e a segurança
digital dos cidadãos.
Torna-se crucial que empresas e profissionais no
campo da Segurança Cibernética mantenham-se
atualizados e em conformidade com as leis e
regulamentações em vigor, implementando medidas
apropriadas de proteção de dados e segurança
digital.
Qual a importância da Ética no ambiente cibernético?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nesse tópico, abordamos a Ética dentro de um
contexto jurídico.
No próximo tópico, conheceremos o que é Ethical
Hacking.
A seguir...
Fonte: Adobe Stock

O Ethical Hacking desempenha a função de detectar
vulnerabilidades em sistemas e na infraestrutura de
uma empresa de maneira responsável.
Suas habilidades possibilitam a análise minuciosa da
implementação de software, permitindo determinar a
presença ou ausência de potenciais ameaças de
invasão por parte de criminosos cibernéticos.
O que é Ethical Hacking?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Com base nessa descrição, pode-se deduzir que um
Ethical Hacking realiza atividades semelhantes às de
um indivíduo mal-intencionado.
No entanto, é crucial destacar que uma das
características primordiais desse profissional é a sua
integridade e aderência estrita às normas da
empresa para a qual está trabalhando.
O que é Ethical Hacking?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Num mundo em que as relações virtuais se tornam
cada vez mais intensas proporcionalmente a
vulnerabilidade tende a ficar mais evidente.
Consequentemente, profissionais como o Ethical
Hacking são cada vez mais necessários para se
manter a integridade de ambientes e sistemas.
Qual a importância do Ethical Hacking?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Uma das abordagens amplamente reconhecidas do
Ethical Hacking é por meio do Pentest, também
chamado de teste de penetração.
O propósito desse procedimento é simular ataques a
redes e servidores, semelhantes aos que poderiam
ser executados por criminosos cibernéticos.
Como atua o Ethical Hacking?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Se o profissional de Ethical Hacking identificar
alguma vulnerabilidade durante esse processo, ele
pode enviar um relatório ao departamento de TI ou
tomar medidas corretivas, se autorizado.
Como atua o Ethical Hacking?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Um Ethical Hacking bem-sucedido deve manter-se
constantemente atualizado sobre as inovações na
era digital.
Diariamente, surgem novas linguagens de
programação e códigos diversos. Portanto, se esse
profissional não estiver atento a tais atualizações,
corre o risco de negligenciar diversas
vulnerabilidades nos sistemas que monitora.
Qual o perfil de um Ethical Hacking?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

O apreço pela leitura também é comum, pois muitas
respostas para os desafios dos projetos com os
quais lidam estão nas documentações de integração
das APIs dos softwares utilizados.
Essas informações podem, também, ser encontradas
em artigos de blog compartilhados por colegas de
profissão.
Qual o perfil de um Ethical Hacking?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nesse tópico, conhecemos um pouco sobre a figura
do Ethical Hacking.
No próximo tópico, abordaremos o Código de Ética
Profissional.
Conclusão
Fonte: Adobe Stock

A ética profissional refere-se aos princípios e
padrões de comportamento moral que orientam as
ações e decisões de indivíduos em suas atividades
profissionais.
Esses princípios visam promover a integridade,
responsabilidade, honestidade e respeito nas
relações e práticas profissionais.
O que é ética profissional?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A ética profissional varia de acordo com a área de
atuação e as normas específicas associadas a cada
profissão.
No entanto, alguns princípios éticos comuns incluem:
Integridade: Agir com honestidade e coerência,
mantendo a verdade em todas as interações
profissionais.
Alguns princípios da ética profissional
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Confidencialidade: Respeitar e manter a privacidade
das informações confidenciais dos clientes, colegas
e da empresa.
Responsabilidade: Assumir responsabilidade pelas
próprias ações e decisões, buscando sempre o
melhor interesse do cliente, empregador ou público
em geral.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Respeito: Tratar todas as pessoas com respeito e
dignidade, independentemente de diferenças de
raça, gênero, religião, orientação sexual, entre
outros.
Competência: Buscar constantemente aprimorar
suas habilidades e conhecimentos para
desempenhar suas funções de maneira eficaz e
profissional.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Colaboração: Trabalhar de forma colaborativa e
respeitosa com colegas e outros profissionais,
promovendo um ambiente saudável e produtivo.
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

A ética profissional é fundamental para a construção
de relações de confiança, a reputação do profissional
e o bom funcionamento da sociedade como um todo.
Muitas vezes ela está configurada em códigos de
ética profissional específicos de cada profissão e é
parte integrante da responsabilidade social e do
comprometimento com o bem comum.
A importância da ética profissional
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Não temos um Código de Ética definido nessa área
profissional, contudo algumas regras básicas são
evidentes:
• Caso sua organização tenha regras estipuladas
quanto a hardware e software, respeite!
• Na dúvida se sua ação está em conformidade ou
não com a cultura da organização, pergunte!
• Ao observar a possibilidade de um incidente,
notifique!
Qual a postura ética do profissional de Segurança Cibernética?
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Segurança da
Informação
Segurança
Cibernética
Fonte: Adobe Stock

Nesse tópico, abordamos os principais fundamentos
da Ética Profissional.
Conclusão
Fonte: Adobe Stock

Neste curso, você aprendeu sobre a
Confidencialidade, Integridade e Disponibilidade e
quais são os principais fireworks utilizados em um
sistema de segurança. Além disso, conheceu sobre
os controles de segurança e treinamentos e quais
são as políticas de segurança utilizadas em uma
empresa.
Por fim, aprendeu as principais normas da Lei Geral
de Proteção de Dados (LGPD) e quais são os
conceitos de éticas e Ethical Hacking.
Conclusão
Fonte: Adobe Stock

Referências
Controles de Segurança Cibernética. Disponível em: https://portal.tcu.gov.br/5-controles-de-seguranca-cibernetica.htm
Acesso em 10/10/23
Ethical Hacking: entenda o que é e qual a importância do profissional, disponível em: https://blog.cronapp.io/ethical-
hacking-entenda-o-que-e-e-qual-a-importancia-do-profissional/ Acesso em 24/11/23
Ética e Moral, disponível em: https://fia.com.br/blog/etica-e-moral/ Acesso em 16/11/23 Frameworks de Segurança:
Uma Análise Comparativa entre CIS Controls, NIST CSF e ISO 27.001. Disponível em:
https://clavis.com.br/frameworks-de-seguranca-e-book/ Acesso em 21/08/23
GRC: o guia completo sobre Governança, Risco e Compliance. Disponível em:
https://www.strongsecurity.com.br/blog/grc-o-guia-completo-sobre-governanca-riscos-e-compliance/ Acesso em
22/08/23
Guia do Framework de Privacidade e Segurança da Informação. Disponível em: https://www.gov.br/gestao/pt-br
Acesso em 22/08/23

Referências
O que é e como ser um Ethical Hacker? Disponível em: https://acaditi.com.br/o-que-e-e-como-ser-um-ethical-hacker/
Acesso em 24/11/23
Política de Segurança da Informação, disponível em: https://www.siteware.com.br/seguranca/politica-de-seguranca-
da-informacao/ Acesso em 26/10/23
Processo de fiscalização ANPD, disponível em: https://chcadvocacia.adv.br/processo-de-fiscalizacao-da-
anpd/#:~:text=A%20fiscaliza%C3%A7%C3%A3o%20da%20ANPD%20promover%C3%A1,e%20aos%20agentes%20de%2
0tratamento. Acesso em 14/11/23’

Compreender os principais elementos relacionados a Governança, Risco e Compliance 1 e 2.pdf

Mais conteúdo relacionado

Semelhante a Compreender os principais elementos relacionados a Governança, Risco e Compliance 1 e 2.pdf (20)

Último (10)

Compreender os principais elementos relacionados a Governança, Risco e Compliance 1 e 2.pdf