Apostila - Módulo 1 - Bootcamp Online Gestor(a) de Operações de TI-3

Prévia do material em texto

Gestão e Segurança 
Hermann de Oliveira Rego 
2022
 
2 
 
SUMÁRIO 
Capítulo 1. Gestão e Governança .............................................................................. 6 
O que é gestão ............................................................................................................................... 6 
Surgimento e aplicabilidade ................................................................................................... 6 
Gestão de TI ................................................................................................................................... 7 
O que é governança de TI ..................................................................................................... 10 
Governança de TI x Gestão de TI ...................................................................................... 11 
Capítulo 2. TOGAF® ..................................................................................................... 13 
História........................................................................................................................................... 13 
Visão Geral ................................................................................................................................... 14 
Capítulo 3. COBIT .......................................................................................................... 17 
Introdução ................................................................................................................................... 17 
O que é ........................................................................................................................................... 17 
História e Cenário Atual ......................................................................................................... 18 
Princípios e Objetivos ............................................................................................................. 20 
Capítulo 4. COSO ........................................................................................................... 25 
Introdução ................................................................................................................................... 25 
Gerenciamento de Riscos de Negócios .......................................................................... 26 
Capítulo 5. ISO 38500 ................................................................................................. 29 
O que é ........................................................................................................................................... 29 
Princípios ...................................................................................................................................... 29 
Tarefas Principais ..................................................................................................................... 30 
NBRISO/IEC38505-1 de 01/2020..................................................................................... 30 
Capítulo 6. ISO 22301 ................................................................................................. 33 
O que é ........................................................................................................................................... 33 
Certificação .................................................................................................................................. 34 
 
3 
 
Benefícios da Certificação .................................................................................................... 35 
Continuidade do Negócio ...................................................................................................... 35 
Inter-relação com outros modelos ................................................................................... 36 
Visão de Norma .......................................................................................................................... 36 
Capítulo 7. ISO 31000 ................................................................................................. 40 
Benefícios ..................................................................................................................................... 41 
Aplicabilidade e Refinamentos ........................................................................................... 42 
Tratamento de Riscos ............................................................................................................. 44 
Tópicos principais ..................................................................................................................... 44 
Capítulo 8. ISO 20000 ................................................................................................. 47 
O que é ........................................................................................................................................... 47 
PDCA ............................................................................................................................................... 48 
Cláusulas ....................................................................................................................................... 48 
Benefícios ..................................................................................................................................... 49 
Capítulo 9. ISO 27000 ................................................................................................. 52 
O que é ........................................................................................................................................... 52 
As normas ..................................................................................................................................... 52 
Vantagens na adoção .............................................................................................................. 54 
ISO 27001 .................................................................................................................................... 55 
A estrutura da ISO27001 ...................................................................................................... 55 
Capítulo 10. Outros Modelos, Normas, Frameworks, Metodologias e Afins ................ 58 
PMBOK ........................................................................................................................................... 58 
BABok ............................................................................................................................................. 58 
CBOK ............................................................................................................................................... 58 
MOF.................................................................................................................................................. 59 
LEAN IT .......................................................................................................................................... 59 
 
4 
 
Val IT ............................................................................................................................................... 60 
Risk IT ............................................................................................................................................ 61 
ITIL .................................................................................................................................................. 63 
Leis Brasileiras ........................................................................................................................... 65 
SOx ................................................................................................................................................... 65 
ISAE3402......................................................................................................................................67 
SOC 1, SOC 2, SOC 3 ................................................................................................................ 69 
NIST CSF (Cybersecurity Framework) ............................................................................. 70 
Glossário ............................................................................................................................... 74 
Referências ......................................................................................................................... 76 
 
 
 
1 
 
6 
 
Capítulo 1. Gestão e Governança 
Em um cenário complexo e cada vez mais desafiador, é importante 
tratar as demandas de tecnologia de uma forma ordenada e organizada, a 
fim de que as ações possam ser tratadas, acompanhadas e finalizadas de 
forma eficiente e eficaz. 
O que é gestão 
Gestão, que vem do latim gestione, está ligada à ação de administrar, 
gerir pessoas, recursos, etc, para alguma finalidade. Certamente é um dos 
termos mais usados no campo empresarial, normalmente ligado à 
administração de recursos para alcance de metas / objetivos. 
Considerando o cenário cada vez mais desafiador e competitivo no 
contexto empresarial, as empresas precisam ser cada vez melhores, mais 
otimizadas, eficientes e eficazes, tendo o mínimo de desperdício possível de 
recursos. Assim, a gestão empresarial tem sido cada vez mais focada, 
estudada e aplicada, seja adotando processos, modelos e mecânicas 
devidamente estruturados para uma melhor entrega, seja customizando 
estes modelos face às especificidades das empresas. 
Surgimento e aplicabilidade 
A gestão, ligada às ciências humanas (já que lida com pessoas, suas 
estruturas e sinergias), começou a ter um maior foco na revolução industrial, 
quando os profissionais começaram a ter que lidar com problemas até então 
inexistentes. Por meio de experimentos, pesquisas, métodos científicos e 
observação, surgiu então a ciência da administração. 
Na medida que os problemas foram se ampliando, bem como o 
conhecimento em torno dos mesmos, a gestão começou a se subdividir. Esta 
subdivisão iniciou-se com Fayol, criador da Teoria Geral da Administração, 
que inicialmente subdividiu uma empresa em 6 setores: 
 
7 
 
• Gestão Administrativa: coordenação da empresa e encabeçando as 
demais áreas de gestão; 
• Gestão de Contabilidade: trata das questões contábeis, folha de 
pagamento, tributos, etc.; 
• Gestão de Produção: responsável pela condução dos temas ligados 
à produção da empresa e sua eficiência; 
• Gestão Financeira: perspectiva responsável pela administração de 
investimentos, gastos, consumos, ou seja, todo âmbito que envolve 
os recursos financeiros corporativos; 
• Gestão de Segurança: visão que cuida das políticas ligadas à 
segurança do trabalho, produção e pessoal; 
• Gestão Comercial: gestão responsável pela temática correlacionado 
a vendas, relacionamento com o cliente, dentre outros. 
Com o passar do tempo e a mudança da perspectiva de gestão 
ampliando os horizontes fabris, outras subdivisões se mostraram 
necessárias. Assim, mais recentemente, foram iniciadas as tratativas ligadas 
à gestão de tecnologia, gestão de segurança e gestão de projetos, por 
exemplo. 
Gestão de TI 
Como o próprio nome já sugere, a gestão da TI lida com as temáticas 
ligadas à tecnologia da informação, usadas para tratativa, distribuição e 
armazenamento de dados. Envolve, dentre diversos fatores, hardware, 
software, e diversas outras perspectivas. 
A Gestão de TI conta com três pilares principais, a saber: 
• Ferramentas / Tecnologia: todo o ferramental empregado pela 
empresa envolvendo máquinas e softwares, estão englobados neste 
 
8 
 
pilar. A gestão se envolve desde o entendimento da demanda, a 
seleção da ferramenta (máquina, software, etc) adequada, sua 
implementação e operacionalização, de forma que o conjunto 
alocado entregue os resultados esperados. 
• Processos: Pessoas e ferramentas adequadas, porém sem processos 
definidos, podem estar fadados ao insucesso. A gestão de TI, 
portanto, tem também como missão definir os processos certos e 
padronizados (boas práticas) para melhor usufruto dos recursos 
disponíveis. 
Pessoas: um dos ativos, se não “O ativo”, de maior importância nas 
organizações, é fundamental neste tripé. É essencial que as pessoas 
corretas, com as capacitações corretas, sejam alocadas nas diversas 
atribuições definidas pela empresa, para que as ferramentas e processos 
sejam bem usados e alcancem o sucesso esperado. 
É por meio de uma boa gestão de TI que as empresas podem ter, 
como benefícios, aumento de produtividade de seus colaboradores, 
segurança, redução de custos operacionais, otimização de processos, 
facilidade de gestão (como um todo). Alguns de seus principais princípios 
são: 
• Alinhamento da TI com os objetivos do negócio 
• Garantia de entrega de valor com os projetos e investimentos 
• Gerenciamento de recursos 
• Gerenciamento de riscos 
• Gerenciamento de performance e resultados 
• Suporte aos processos organizacionais 
 
9 
 
O que é governança 
Governança é um sistema ou mecânica que traz um conjunto de 
processos voltados à direção, gestão e monitoramento das empresas, 
englobando diretoria, conselho, relacionamento entre partes interessadas, 
fiscalização, controle, compliance, dentre outros. 
Considerando sua observância em leis, normas, processos, ajuda na 
avaliação de riscos e desenvolvimento de estratégias de comando e gestão, 
a fim de alcançar maiores e melhores resultados, e entrega de valor aos 
stakeholders. 
Principalmente em grandes negócios e empresas listadas em bolsa, 
ganha cada vez mais corpo e relevância, pois melhora a gestão, protege a 
imagem, gera atração de investidores e cria um ambiente favorável à atração 
de melhores profissionais, aumento da perenidade da empresa e redução de 
problemas e conflitos. 
A despeito de ter uma atenção especial das grandes corporações, é 
benéfica para empresas de todos os tamanhos. Tem como desafios, por 
outro lado, a própria resistência cultural, a falta de conhecimento específico, 
a ausência de controles internos eficazes e a inobservância / 
desconhecimento das leis. 
A governança corporativa se baseia em 4 princípios que apoiarão o 
crescimento da confiança (externa e interna): 
1. Transparência: disponibilização de informações de forma ampla e 
considerando sua relevância, às partes interessadas 
2. Equidade: isonomia na tratativa de todas as partes interessadas, 
considerando ainda as especificidades individuais 
3. Responsabilidade Corporativa: zelo pela viabilidade financeira do 
negócio, tornando o cenário produtivo 
 
10 
 
4. Prestação de Contas: prestação de contas de atos pelos agentes, de 
forma clara, e de forma diligente 
O que é governança de TI 
Governança de TI é um conjunto de políticas, métodos, estratégias 
que alinham o plano estratégico corporativo ou plano estratégico da TI, 
viabilizando a entrega de tecnologia à empresa, para que os objetivos 
corporativos sejam concretizados. 
É por meio da governança que se criam os direcionadores que 
permitirão uma atuação mais estratégica da TI, no entendimento e 
atendimento das demandas dos seus clientes. 
Em conjunto com a gestão de TI, a governança é responsável pelo 
planejamento, desenvolvimento, entrega e acompanhamento das 
demandas, buscando a eficiência e eficácia. 
Por meio da governança de TI, alguns impactos / consequências são 
percebidas tais como minimização de riscos, conformidade com normas e 
transparência. Estas características são cada vez mais importantes no 
âmbito empresarial e são imprescindíveis e mandatórias em negócios 
comercializados na bolsa de valores, por exemplo. 
A adoção de governança traz diversos benefícios para a empresa: 
• Alinhamento das rotinas da TI com as demais áreas 
• Melhoria do fluxo de trabalho interno da TI 
• Gera amplitude nas entregasda infraestrutura 
• Aumenta a confiabilidade da infraestrutura 
• Promove alinhamento da estratégia corporativa com a TI 
 
11 
 
• Mapeia, controla e aperfeiçoa recursos, ferramentas e processos da 
TI 
• Vislumbra de forma integrada a arquitetura, as aplicações e sua 
infraestrutura, alinhando-as com as necessidades do negócio (atuais 
e futuras) 
• Fomenta gestão por indicadores estratégicos de desempenho 
• Cria e incentiva uma cultura corporativa de TI 
• Dimensiona as demandas de TI de outros departamentos 
Governança de TI x Gestão de TI 
Enquanto a gestão da TI está relacionada à entrega dos melhores 
serviços de TI possíveis, ou seja, cuida da rotina da TI estabelecendo 
processos, recursos, relacionamentos, indicadores de acompanhamento 
dentre outros, a governança de TI atua com viés de direcionamento, 
definição de políticas / regras, tornando-se um mecanismo de proteção, 
controle e gestão de riscos. 
Apesar de serem capitaneadas por alguns profissionais ou áreas 
específicas (principalmente em grandes organizacionais), toda a área da TI 
tem responsabilidade na gestão e governança. 
 
 
 
2 
 
13 
 
Capítulo 2. TOGAF® 
O Padrão TOGAF®, um padrão do “The Open Group 
(https://www.opengroup.org/togaf) , é uma metodologia de Arquitetura 
Corporativa usada pelas organizações (líderes mundiais) para melhorar a 
eficiência dos negócios. 
Desenvolvido em 1995, alcançou em 2016 uma adoção de cerca de 
60% das empresas da Fortune 500. É gratuito para uso interno, não podendo 
ser usado de forma gratuita com finalidades comerciais. 
Criado para ajudar a construir uma arquitetura de TI que ofereça 
uma estrutura para desenvolvimento de software, ajuda a organizar o 
processo de desenvolvimento alinhando a TI com as unidades de negócio, 
controlando escopo, custo (mantendo orçamento) e tempo (gerenciando e 
controlando cronograma), almejando a entrega de um trabalho de qualidade. 
Ajuda ainda no alinhamento entre objetivos do negócio e objetivos da TI, 
apoiando na definição e organização dos requisitos antes do início de 
projetos. 
Segundo o Open Group, ele está destinado a garantir que todos 
falem a mesma língua, padronizar métodos abertos para arquitetura 
corporativa, gerar economia de tempo e dinheiro e otimizar uso de recursos. 
História 
O TOGAF foi baseado no TAFIM (Framework de arquitetura técnica 
para gerenciamento de informações) criado pelo Departamento de Defesa 
dos USA na década de 1990, expandindo seus conceitos já em sua primeira 
versão, liberada em 1995. 
O coração do TOGAF é o ADM - Architecture Development Method, 
que, apoia as empresas na definição de um processo que trate o ciclo de vida 
https://www.opengroup.org/togaf
 
14 
 
da arquitetura corporativa, podendo ser customizado para necessidades 
específicas. 
Abaixo a evolução de liberações: 
• 2001 – TOGAF 7 
• 2002 – TOGAF 8 Enterprise Edition 
• 2003 – TOGAF 8.1 
• 2005 – Open Group assume o TOGAF 
• 2006 – TOGAF 8.1.1 
• 2009 – TOGAF 9 
• 2011 – TOGAF 9.1 
• 2018 – TOGAF 9.2 (última versão) 
Visão Geral 
Provendo uma visão global do design, planejamento, implementação 
e governança de uma arquitetura corporativa modelada em quatro níveis 
(negócios, aplicação, dados e tecnologia), fornece um conjunto de 
arquiteturas base que propicia a visão dos estados atual e futuro da 
arquitetura. 
Podendo ser baixado pelo site 
https://publications.opengroup.org/c182?_ga=2.196513068.1804281896.1
630555042-1264483865.1630555042 , acaba se tornando uma ferramenta 
que pode ser usada para desenvolvimento de diferentes arquiteturas, 
devendo: 
• Prover um vocabulário comum 
https://publications.opengroup.org/c182?_ga=2.196513068.1804281896.1630555042-1264483865.1630555042
https://publications.opengroup.org/c182?_ga=2.196513068.1804281896.1630555042-1264483865.1630555042
 
15 
 
• Conter um conjunto de ferramentas 
• Definir um método que defina um sistema de informação organizado 
em um conjunto de blocos 
• Definir como estes blocos se encaixam 
• Contemplar uma lista de padrões recomendados 
• Considerar uma lista de produtos que podem ser usados na 
implementação dos blocos. 
Figura 1: TOGAF 
 
Fonte: https://www.opengroup.org/togaf 
https://www.opengroup.org/togaf
 
 
 
3 
 
17 
 
Capítulo 3. COBIT 
Introdução 
O COBIT – “Control Objectives for Information and Related 
Technologies” é um framework de governança criado pelo ISACA em 1994, 
estando atualmente na versão COBIT 2019. Um de seus papéis contempla o 
gerenciamento das rotinas de TI por meio de processos eficazes, permitindo 
uma medição e acompanhamento adequados. 
ISACA é uma associação internacional (Information Systems Audit 
and Control Association) fundada em 1967, que fomenta e suporta o 
desenvolvimento de metodologias e certificações correlacionadas a 
auditoria e controle em sistemas da informação. Difundida em mais de 160 
países e tendo mais de 90000 membros em todo o mundo, atuando nas mais 
diversas posições de TI, tem sua capilaridade garantida por 185 capítulos 
locais, espalhados em mais de 75 países. 
Além de terem a custódia do COBIT e de terem sido os criadores do 
ITGI (IT Governance Institute), desenvolveram quatro das mais almejadas 
certificações de governança e segurança do mercado (CISA, CISM, CGEIT, 
CRISC), além da certificação em COBIT. 
O que é 
O COBIT, na prática, consiste em uma estrutura capaz de fornecer 
uma visão de melhores práticas de governança, descrevendo processos, 
planejamento, execução e monitoração dos processos, além de objetivos de 
controle, que são específicos para cada corporação. 
Desde os primórdios centrado em auditoria, com o tempo o COBIT 
passou a ser um framework de gerenciamento de TI e governança mais 
abrangente e respeitado. Ao longo da sua evolução, chegou a ser 
 
18 
 
complementado com o Val IT e com o Risk IT (até a versão 4). A partir do 
COBIT 5, ambos foram incorporados ao próprio COBIT. 
História e Cenário Atual 
O framework evoluiu nas últimas décadas, passando pelas versões 2, 
3, 4, 5 e chegando à versão atual – 2019. 
O COBIT 4.1 foi compreendido como um modelo subdividido em 4 
(quatro) domínios, baseado em processos (34 ao todo) com uma definição 
específica de responsabilidades. 
Figura 2: Domínios e Processos do COBIT 4.1. 
 
Fonte: https://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-
fundamentos/28793 
Nesta versão (4.1), o COBIT praticamente foi enxergado como um 
integrador de diretrizes, atuando como um grande “guarda-chuva” que 
combinava as diversas soluções existentes, sendo reconhecido por diversos 
dos padrões internacionais de mercado (TOGAF, PMBOK, ISO 27000, CMMI, 
COSO, ITIL, PRINCE 2). 
 
https://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-fundamentos/28793
https://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-fundamentos/28793
 
19 
 
Figura 3: Operação da TI e as diversas perspectivas de gestão 
 
Fonte: https://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-
fundamentos/28793 
Já na versão 5, trouxe como novidade uma visão cascateada de 
objetivos, que permitia desdobrar objetivos e requisitos de negócio, em 
objetivos, requisitos e ações de TI. Também a versão 5 – que acabou se 
beneficiando do longo tempo de uso das versões anteriores (mais de 15 anos 
de uso), acabou se transformando em uma grande integração e melhoria dos 
principais frameworks do ISACA, considerando COBIT 4.1, Val IT, Risk IT, 
BMIS (Business Model for Information Security), ITAF (IT Assurance 
Framework) e TGF (Taking Governance Forward). 
Figura 4: Integração das normas existentes 
 
Fonte: https://www.redbelt.com.br/blog/2017/12/18/principios-cobit-5/ 
https://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-fundamentos/28793
https://www.devmedia.com.br/cobit-4-1-entendendo-seus-principais-fundamentos/28793
https://www.redbelt.com.br/blog/2017/12/18/principios-cobit-5/20 
 
Por fim, também se percebeu nesta versão uma distinção maior 
entre gestão e governança. Ele passou a focar em governança de TI, 
buscando uma maior adesão e adoção de si pelas empresas, e enfatizando a 
participação da alta direção do negócio, nas tomadas de decisão da TI. A 
figura abaixo dá uma visão da evolução do COBIT: 
Figura 5: Evolução do COBIT com o passar do tempo 
 
Fonte: https://www.portalgsti.com.br/cobit/sobre/, 
Princípios e Objetivos 
Considerando a versão COBIT 5, são 5 – e não mais 4 - os princípios: 
Figura 6: Princípios do COBIT 
 
Fonte: https://www.portalgsti.com.br/cobit/sobre/. 
https://www.portalgsti.com.br/cobit/sobre/
https://www.portalgsti.com.br/cobit/sobre/
 
21 
 
Estes princípios apoiam na criação e estruturação de um sistema de 
governança e gestão dentro das empresas. Além dos princípios, o COBIT 5 
traz 17 objetivos corporativos e 17 objetivos da TI, que serão listados mais 
abaixo. 
Os 17 Objetivos Genérico Corporativos do COBIT 5 são: 
1. Valor dos investimentos da organização, percebido pelas partes 
interessadas. 
2. Portfólio de produtos e serviços competitivos. 
3. Gestão de risco organizacional (salvaguarda de ativos). 
4. Conformidade com as leis e regulamentos externos. 
5. Transparência Financeira. 
6. Cultura de serviço orientada ao Cliente. 
7. Continuidade e disponibilidade do serviço de negócio. 
8. Respostas rápidas para um ambiente de negócios em mudança. 
9. Tomada de decisão estratégica com base na informação. 
10. Otimização dos custos de prestação de serviços. 
11. Otimização da funcionalidade do processo de negócios. 
12. Otimização dos custos do processo de negócios. 
13. Programas de gestão de mudanças no negócio. 
14. Produtividade operacional e da equipe. 
15. Conformidade com Políticas Internas. 
16. Pessoas qualificadas e motivadas. 
 
22 
 
17. Cultura de inovação de produtos e negócios. 
Os 17 Objetivos Genéricos de TI do COBIT 5 são: 
1. Alinhamento da estratégia de negócios e de TI. 
2. Conformidade de TI e suporte para conformidade do negócio com as 
leis e regulamentos externos. 
3. Compromisso da gerência executiva com a tomada de decisões de 
TI. 
4. Gestão de risco organizacional de TI. 
5. Benefícios obtidos pelo investimento de TI e portfólio de serviços. 
6. Transparência dos custos, benefícios e riscos de TI. 
7. Prestação de serviços de TI em consonância com os requisitos de 
negócio. 
8. Uso adequado de aplicativos, informações e soluções tecnológicas. 
9. Agilidade de TI. 
10. Segurança da informação, infraestrutura de processamento e 
aplicativos. 
11. Otimização de ativos, recursos e habilidades de TI. 
12. Capacitação e apoio aos processos de negócios através da 
integração de aplicativos e tecnologia. 
13. Entrega de programas fornecendo benefícios, dentro do prazo, 
orçamento e atendendo requisitos. 
14. Disponibilidade de informações úteis e confiáveis para a tomada de 
decisão. 
 
23 
 
15. Conformidade de TI com as políticas internas. 
16. Equipes de TI e de negócios motivadas e qualificadas . 
17. Conhecimento, expertise e iniciativas para inovação dos negócios. 
Considerando esta abordagem ampla do COBIT5, que traz consigo a 
integração do Risk IT, Val IT, dentre outros, o 3º princípio traz um conjunto 
de habilitadores de governança e gestão que inclui 37 processos, conforme 
abaixo: 
Figura 7: visão de framework considerada no 3º princípio do COBIT 5 
 
Fonte: https://www.itsmnapratica.com.br/conceitos-cobit-5/ 
https://www.itsmnapratica.com.br/conceitos-cobit-5/
 
 
 
4 
 
25 
 
Capítulo 4. COSO 
Introdução 
O COSO (Committee of Sponsoring Organizations of the Treadway 
Commission) é uma organização criada nos EUA em 1985 para prevenção de 
fraudes em processos internos na empresa. Trata-se de uma organização 
sem fins lucrativos, que visa a melhoria dos relatórios financeiros, a adoção 
da ética empresarial e o cumprimento de controles internos, sendo 
patrocinado por cinco principais classes de profissionais da área financeira 
dos EUA - American Institute of Certified Public Accountants (AICPA), 
American Accounting Association (AAA), Financial Executives International 
(FEI), Institute of Internal Auditors (IIA) and Institute of Management 
Accountants (IMA). 
Visando guiar a gestão executiva corporativa nos aspectos 
relevantes inerentes à governança organizacional, ética nos negócios, 
controles internos, gerenciamento de riscos de negócios, reportologia 
financeira e fraudes, COSO estabeleceu um modelo de controle interno 
comum contra o qual as empresas e organizações podem avaliar seus 
sistemas de controle. 
Tendo em vista a globalização e padronização internacional, as 
recomendações da COSO estão cada vez mais sendo praticados no mundo, 
sendo considerados como modelos e referência – inclusive no Brasil. 
Focaremos neste material, no complemento à introdução do COSO, 
os aspectos que envolvem o gerenciamento de riscos de negócios, 
considerando sua correlação com os riscos de TI. 
 
 
26 
 
Gerenciamento de Riscos de Negócios 
Desenvolvido a partir de 2001 inicialmente pela 
PriceWaterHou8seCoopers, contratada pelo COSO, surgiu uma estrutura 
mais fácil e usável para gerir riscos de negócios, motivados inclusive pela 
crescente constatação de fraudes (Enron, Tyco, etc) que inclusive 
culminaram na promulgação da Lei Sarbanes-Oxley, ou simplesmente SOx. 
Em 2004, portanto, houve a publicação do framework integrado de 
gerenciamento de riscos corporativos. Considerando os demais controles 
adotados pelo COSO, há o entendimento de que a abordagem consolidada é 
mais robusta e abrangente no contexto que envolve o gerenciamento de 
riscos. Esta estrutura inclui atualmente quatro categorias: 
• Estratégico: objetivos de alto nível, alinhamento de políticas e apoio 
à sua missão. 
• Operações: uso eficaz e eficiente de seus recursos. 
• Relatórios: confiabilidade dos relatórios. 
• Conformidade: conformidade com as leis e regulamentos aplicáveis. 
Adicionalmente, há oito componentes de gerenciamento de risco de 
negócios: 
• Ambiente interno 
• Estabelecimento de Objetivos 
• Identificação de Objetivos 
• Avaliação de riscos 
• Resposta ao risco 
• Atividades de controle 
 
27 
 
• Informação e comunicação 
• Monitoramento 
O COSO acredita que o Framework Integrado de Gerenciamento de 
Riscos do Negócio fornece uma inter-relação claramente definida entre os 
componentes e objetivos de gerenciamento de risco de uma organização, 
que irá satisfazer a necessidade de cumprir as novas leis, regulamentos e 
padrões. 
 
 
 
5 
 
29 
 
Capítulo 5. ISO 38500 
O que é 
A Norma ISO/IEC 38500 é uma norma internacional para a 
governança corporativa de tecnologia da informação, publicada em conjunto 
pela ISO (Organização Internacional de Normalização) e IEC (Comissão 
Eletrotécnica Internacional), fornecendo um framework que orienta 
dirigentes sobre o uso eficiente, eficaz e aceitável da TI (Tecnologia da 
Informação) nas organizações, apoiando ainda no cumprimento de suas 
obrigações legais, éticas e regulamentares no uso da TI pelas empresas. 
Trata-se de uma norma adaptável, podendo ser aplicada a 
organizações de todo o porte e áreas de atuação, independentemente da 
extensão da usabilidade da TI.E norma ISO/IEC 38500:2008, em linhas 
gerais, compreende definições, princípios e um modelo. 
Princípios 
Os seis princípios para a governança de TI definidos pela norma são: 
• Estratégia: A estratégia de negócio da organização tem em conta as 
capacidades de TI atuais e futuras; os planos estratégicos para a TI 
satisfazem as necessidades atuais e futuras (contínuas) da 
estratégia de negócio organizacional. 
• Aquisições: As aquisições de TI são feitas por razões válidas, 
considerando análises apropriadas e gerando decisões 
transparentes e claras. Há um equilíbrio entre, oportunidades, 
custos,benefícios e riscos, tanto no curto como no médio e longo 
prazos. 
• Responsabilidade: Todos - indivíduos e grupos - devem compreender 
e aceitar as suas responsabilidades no fornecimento da TI, sendo 
 
30 
 
que os responsáveis pelas ações devem ter a autoridade para as 
realizarem adequadamente. 
• Desempenho: A TI é adequada à finalidade de suporte da 
organização, à disponibilização de seus serviços e no tocante aos 
níveis e qualidade dos serviços necessários para atender os 
requisitos atuais e futuros do negócio. 
• Conformidade: A TI deve estar conforme com a legislação e 
regulamentos vigentes e aplicáveis, de forma que suas práticas e 
políticas estão devidamente definidas, implementadas, aplicadas e 
acompanhadas. 
• Comportamento Humano: As políticas, práticas e decisões de TI 
devem respeitar o Comportamento Humano, incluindo as 
necessidades atuais e a evolução futura das necessidades de todas 
as “pessoas envolvidas no processo” 
Tarefas Principais 
E norma ISO/IEC 38500:2008 define que os dirigentes governem a 
TI através de três tarefas principais, a saber: 
1. Avaliar o uso atual e futuro da TI. 
2. Orientar a preparação e a implementação de planos e políticas para 
assegurar que o uso da TI atenda aos objetivos do negócio. 
3. Monitorar o cumprimento das políticas e o desempenho em relação 
aos planos 
NBRISO/IEC38505-1 de 01/2020 
A NBRISO/IEC38505-1 de 01/2020 trata da aplicabilidade da 
ISO/IEC38500, na perspectiva de governança de dados. Possuindo 24 
páginas, fornece princípios norteadores sobre o uso eficiente, eficaz e 
 
31 
 
aceitável de dados nas organizações, assegurando às partes interessadas de 
que se os princípios especificados foram observados e respeitados, pode-se 
haver confiança na governança de dados da organização, inclusive no 
contexto de proteção de dados, apoiando ainda na construção de um 
vocabulário para a governança de dados. 
 
 
 
 
 
 
 
 
 
 
6 
 
33 
 
Capítulo 6. ISO 22301 
O que é 
A norma ISO 22301 (Segurança Social – Sistemas de gestão da 
continuidade de negócios – Requisitos) é uma norma internacional baseada 
em requisitos de segurança e resiliência para um negócio, focando no 
sistema de gestão de continuidade de negócios. 
Uma certificação em ISO 22301 (ISO 22301:2019) visa assegurar a 
perpetuidade das operações em caso de incidentes, permitindo que as 
empresas atuem de forma preventiva na identificação de riscos, buscando 
integridade do negócio e das pessoas. Lida também com as estratégias para 
rápida recuperação das operações, em casos de incidentes – principalmente 
os graves. 
A ISO 22031 substituiu a BS 25999-2; estes dois padrões eram 
muito similares, mas obviamente continham algumas diferenças. No 
endereço https://advisera.com/27001academy/pt-br/blog/2012/05/22/iso-
22301-vs-bs-25999-2-um-infografico/ é possível ver um infográfico 
bastante interessante, comparando a ISO 22301 e BS 25999-2. 
Este padrão, assim como outros, pode ser adotado por qualquer 
organização, dos mais diversos portes, sendo construído de forma a 
viabilizar a sua aplicabilidade em qualquer cenário. 
Abaixo uma lista de outros padrões e normas que se inter-
relacionam, e que podem ser uteis em um cenário de implementação de 
continuidade de negócios: 
• ISO/IEC 27031:2011 – Diretrizes de adequação à tecnologia da 
informação e comunicação para a continuidade de negócios. 
https://advisera.com/27001academy/pt-br/blog/2012/05/22/iso-22301-vs-bs-25999-2-um-infografico/
https://advisera.com/27001academy/pt-br/blog/2012/05/22/iso-22301-vs-bs-25999-2-um-infografico/
 
34 
 
• ISO/IEC 27001 – Sistemas de gestão de segurança da informação – 
Requisitos. 
• PD 25666 – Orientação em exercícios e testes para programas de 
continuidade e contingência. 
• ISO/IEC 24762 – Diretrizes para serviços de recuperação de 
desastres para tecnologia da informação e comunicação. 
• PAS 200 – Gerenciamento de crises – Orientação e melhores 
práticas. 
• ISO/PAS 22399 – Diretrizes para adequação a incidentes e gestão 
de continuidade operacional. 
• PD 25111 – Orientação sobre os aspectos humanos da continuidade 
de negócios. 
Certificação 
Assim como outras normas, a organização pode obter uma 
certificação por meio de um corpo de certificação reconhecido, chancelando 
sua adequação e capacidade de atendimento às conformidades e melhores 
práticas. Se compararmos esta norma com outas estruturas e padrões de 
continuidade de negócios existentes, este também passa a ser um 
diferencial da sua observância. 
O processo de certificação normalmente contempla uma análise de 
gaps / mapeamento do cenário atual, que gerará um plano de ação de 
adequação. As ações mapeadas, após cumpridas e equacionadas, 
viabilizarão uma nova avaliação / auditoria interna que, se gerarem 
resultados positivos, viabilizarão o agendamento de uma auditoria formal, 
externa. Uma vez o certificado alcançado, entra-se em fase de manutenção 
da certificação, com validações periódicas, e com uma necessidade de 
recertificação a cada 3 anos. 
 
35 
 
Benefícios da Certificação 
• Implementação de controles para ocorrência de incidentes; 
• Recuperação rápida da operação em caso de incidentes, mitigando 
impactos e efeitos para o negócio; 
• Atendimento a regulações de continuidade de negócios; 
• Verificação da capacidade de atendimento às estratégias da 
corporação e de continuidade; 
• Aumento de segurança e visibilidade do business para a parte 
interessada. 
Continuidade do Negócio 
Um plano de continuidade de negócio direcionará como o negócio 
irá lidar com eventuais incidentes, por meio de um sistema de 
gerenciamento de continuidade de negócios planejado e efetivo, que 
viabilizará respostas eficientes e eficazes à eventos. 
Este sistema de gestão contém um plano de continuidade de 
negócios que contempla exercícios, treinamentos, revisões e testes, 
permitindo definir os processos-chave, os impactos em caso de ameaça, o 
modus operandi em caso de ocorrência, etc. 
Parte inerente à ISO 22301 é a análise de impacto nos negócios, que 
ajuda a mapear as atividades críticas da organização, suas dependências, 
recursos envolvidos, suportes necessários, serviços essenciais e impactos 
em caso de falhas e faltas. 
Os exercícios e testes permitiram o aumento da maturidade, 
mapeamento de gaps e aumento da resiliência e recuperação do ambiente e 
da organização, gerando ganhos no perfil de riscos, que influenciarão nas 
 
36 
 
tratativas com as diversas partes interessadas, desde clientes, a 
seguradoras e investidores. 
Inter-relação com outros modelos 
A continuidade de negócios “conversa” com outros modelos, sendo 
parte da gestão de riscos corporativos, com áreas que se sobrepõe à gestão 
de TI e à gestão de segurança. 
Figura 8: Inter-relação da continuidade de negócios 
 
Fonte: https://advisera.com/27001academy/pt-br/o-que-e-a-iso-22301. 
Visão de Norma 
Abaixo a lista de alguns dos documentos obrigatórios de 
constituição, para implementação do padrão: 
• Lista de requisitos legais, 
regulamentares e outros; 
• Escopo do BCMS; 
• Política de continuidade de 
negócios; 
• Objetivos da continuidade de 
negócios; 
• Estrutura de resposta a 
incidentes; 
• Planos de continuidade de 
negócios; 
• Procedimentos de recuperação; 
• Resultados de ações preventivas; 
https://advisera.com/27001academy/pt-br/o-que-e-a-iso-22301
 
37 
 
• Evidência de competências 
pessoais; 
• Resultados de ações corretivas; 
• Registros de comunicação com 
as partes interessadas; 
• Análise de impacto nos 
negócios; 
 
• Resultados de monitoramento e 
medida; 
• Resultados de auditoria interna; 
• Resultados de revisão de gestão; 
• Avaliação de riscos, incluindo 
tratamento de riscos. 
 
O padrão inclui as seguintes seções em seu conteúdo: 
Introdução 
0.1 Geral 
0.2 O modelo Planeje-Faça-Verifique-
Aja (PDCA) 
0.3 Componentesdo PDCA neste 
padrão internacional 
1 Escopo 
2 Referências normativas 
3 Termos e definições 
4 Contexto da organização 
4.1 Compreendendo a organização e 
seu contexto 
4.2 Compreendendo as necessidades e 
expectativas das partes interessadas 
4.3 Determinado o escopo do sistema 
de gestão 
4.4 Sistema de gestão da continuidade 
de negócios 
5 Liderança 
5.1 Geral 
5.2 Gestão de compromisso 
5.3 Política 
5.4 Papéis organizacionais, 
responsabilidades e autoridades 
7 Suporte 
7.1 Recursos 
7.2 Competência 
7.3 Conscientização 
7.4 Comunicação 
7.5 Informações documentadas 
8 Operação 
8.1 Planejamento e controle 
operacional 
8.2 Análise de impacto nos negócios e 
avaliação de riscos 
8.3 Estratégia de continuidade de 
negócios 
8.4 Estabelecer e implementar 
procedimentos de continuidade de 
negócios 
8.5 Exercícios e testes 
9 Avaliação de desempenho 
9.1 Monitoramento, medida, análise e 
avaliação 
9.2 Auditoria interna 
9.3 Análise crítica da gestão 
10 Melhoria 
 
38 
 
6 Planejamento 
6.1 Ações para abordar riscos e 
oportunidades 
6.2 Objetivos da continuidade de 
negócios e planos para alcançá-los 
 
10.1 Não-conformidade e ação 
corretiva 
10.2 Melhoria contínua 
Bibliografia 
 
 
 
7 
 
40 
 
Capítulo 7. ISO 31000 
A ISO 31000 é uma norma internacional sobre gestão de riscos, 
elaborada em português, no Brasil, pela Comissão de Estudo Especial de 
Gestão de Riscos (ABNT/CEE-063), contando com a participação de 
sessenta e nove profissionais de diversos segmentos. 
O principal objetivo do ISO 31000 – que em 2009 não foi 
desenvolvida originalmente com a intenção de ser uma norma certificadora 
- é fornecer diretrizes ligadas à gestão de risco, que podem ser customizadas 
para qualquer organização e seu contexto, tendo como peculiaridade o fato 
de ter um texto curto e conciso, diferentemente das outras normas ISO. 
Suas 16 páginas permitem uma leitura mais rápida, além de facilitar a 
adesão e uso, se transformando em uma ferramenta essencial para auxílio 
às empresas no gerenciamento de risco, no planejamento e na tomada de 
decisão. 
A ISO 31000 é composta por três normas: 
• ISO 31000 – Informações básicas, princípios e diretrizes para a 
implementação da gestão de riscos. 
• ISO/IEC 31010 – Técnicas de avaliação e gestão de riscos. 
• ISO Guia 73 – Vocabulário relacionado à gestão de riscos. 
A norma ISO 31000 está dividida basicamente em quatro seções 
principais: 
• Definição dos termos-chave; 
• Princípios da gestão de riscos; 
• Elementos do processo de gestão de riscos; 
 
41 
 
• Estrutura para implementação do processo de gerenciamento de 
riscos. 
As estratégias de gerenciamento de riscos podem ser aplicadas a 
riscos com impacto positivo ou negativo, cabendo uma avaliação das 
oportunidades e desafios envolvidos no risco apresentado. 
Em 2018, a ISO disponibilizou uma versão atualizada de suas 
diretrizes de gerenciamento de risco, substituindo assim a versão anterior - 
de 2009. Esta nova versão trouxe: 
• Linguagens atualizadas e simplificadas; 
• Estruturas de referência; 
• Maior atenção à natureza iterativa do gerenciamento de riscos, 
reforçando a visão de que as organizações devem avaliar seu 
processo de gerenciamento de riscos sempre que houver novas 
informações; 
• Um foco renovado no papel de liderança, a ser desempenhada pela 
alta gerência, para garantir que a gestão de riscos seja integrada em 
todos os níveis da organização. 
Benefícios 
Os mais diversos benefícios podem ser constatados no tocante a 
adoção desta ISO. Como já foi possível notar, diversas outras normas, 
frameworks e metodologias buscam tratar riscos, o que aumenta a sinergia. 
Sua abrangência apoia inclusive nas ações que envolvem a Lei Geral de 
Proteção de Dados (LGPD). Abaixo, alguns dos impactos e resultados 
corporativos, após a adesão às diretrizes da norma: 
• Aumento de confiança das partes interessadas; 
 
42 
 
• Incentivo à proatividade no âmbito de gestão, em todas as áreas 
envolvidas; 
• Melhoria na eficiência das operações; 
• Otimização de desempenho de processos envolvendo saúde e 
segurança no trabalho; 
• Melhoria na resiliência da operação, quando confrontada com 
desafios de qualquer natureza; 
• Mitigação de perdas; 
• Apoio no estabelecimento de processos adequados para tomada de 
decisão. 
Aplicabilidade e Refinamentos 
Antes de mais nada, para sua adesão e aplicação, é importante 
contar com equipe – interna ou externa – devidamente preparada e 
capacitada na norma. Entende-se que a implementação pode ocorrer mais 
de uma vez, devido ao surgimento de novas informações e observância de 
situações ainda não mapeadas no cenário anterior. Ademais, mudanças nos 
negócios, podem demandar novas avaliações. 
De acordo com a ISO31000, a empresa deve aplicar o processo de 
gerenciamento de risco quando: 
• Houver mudanças nos objetivos da organização; 
• Necessidade de observância e/ou adequação à novos requisitos 
legais; 
• Ocorrer alguma tomada de decisão que gere ou altere riscos; 
 
43 
 
• Análise da compreensão atual dos riscos, face as medidas adotadas 
anteriormente; 
• Eventos que gerem mudanças no ambiente (tanto interno quanto 
externo). 
Isto feito permitirá que a empresa esteja cada vez mais preparada 
para lidar com riscos, na iminência de ter que lidar com novos riscos ou novas 
situações. 
Quaisquer que sejam os objetivos a serem alcançados por uma 
organização, o processo de gestão de riscos deveria ser parte integrante de 
todas as ações organizacionais, incluindo a tomada de decisão em todos os 
níveis, sendo válido para quaisquer tipos de risco, tais como: 
• Proteção e privacidade de dados pessoais (LGPD); 
• Questões ambientais, sociais e de governança (ESG); 
• Programas de integridade, compliance e anti-suborno 
• Segurança da informação; 
• Segurança e saúde no trabalho; 
• Segurança de sistemas e processos; 
• Sistemas de gestão da qualidade, gestão da inovação, gestão 
ambiental, gestão de crises e continuidade de negócios; 
• COSO / Controles internos; 
A norma internacional ISO 31000 recomenda que o processo de 
gestão de riscos (PGR) seja integrado na estrutura, operações e processos 
da organização, e que seja parte integrante da gestão do negócio e da 
tomada de decisão, podendo ser aplicado nos níveis estratégico, 
 
44 
 
operacional, de programas e de projetos. Recomenda também que a 
natureza dinâmica e variável do comportamento humano seja considerada 
ao longo de todo o processo de gestão de riscos. 
Tratamento de Riscos 
Avaliação e tratamento de riscos estão diretamente ligados já que 
após a identificação da ameaça, faz-se necessário realização de testes e 
avaliação do melhor mecanismo e/ou técnica para gerenciar o risco. 
A ISO31000 traz algumas sugestões para tratamento - a despeito 
de estar facultado a cada organização, a definição dos melhores métodos – 
conforme abaixo: 
• Assumir o risco para aproveitar uma determinada oportunidade; 
• Não iniciar ou não interromper a atividade que eventualmente dá ou 
dará origem ao risco; 
• Remover a fonte do risco; 
• Alterar a probabilidade; 
• Mudar as consequências; 
• Compartilhar o risco; 
• Sustentar o risco por decisão fundamentada. 
Estas medidas podem ser adotadas individual ou simultaneamente, 
em cada situação / risco mapeado. 
Tópicos principais 
Abaixo, segue uma visão dos oito principais tópicos da ISO 
31000:2018: 
• O “patrocínio” executivo é fundamental; 
 
45 
 
• Considerar os riscos nas decisões de negócios; 
• Enfatizar a implementação adequada; 
• A gestão de riscos não é de tamanho único; 
• Proatividade; 
• Padronização do vocabulário; 
• Uso da melhor informação disponível; 
• Avaliação do sucesso. 
 
 
 
8 
 
47 
 
Capítulo 8. ISO 20000 
O que é 
A ISO/IEC 20000 é a primeira norma editada pela ISO que trata 
gestão de serviços de TI, sendotambém a primeira norma mundial 
especificamente focada na gestão de serviços de TI. Ela não formaliza a 
inclusão das práticas do ITIL, embora esteja descrito na norma um conjunto 
de processos de gestão que estão alinhados com os processos definidos nos 
livros do mesmo. 
Os requisitos da norma foram criados com a intenção de serem 
implantadas em prestadores de serviços de TI de todos os tamanhos e tipos 
de serviços prestados, e especifica ao prestador de serviços de TI o 
planejamento, estabelecimento, implementação, operação, monitoramento, 
revisão, manutenção e melhoria de um Sistema de Gestão de Serviços (SMS 
em inglês). 
Definindo as boas práticas de gestão de serviços de TI, seu 
desenvolvimento foi baseado na BS (British Standard) 15000 e teve a 
intenção de ser compatível com o ITIL. 
Sua primeira edição é de 2005; 
• em 2011, a ISO/IEC 20000-1:2005 foi atualizada para a ISO/IEC 
20000-1:2011. 
• em 2012, a ISO/IEC 20000-2:2005 foi atualizada para a ISO/IEC 
20000-2:2012. 
• M 2018, a norma ISO/IEC 20000-1 foi novamente revisada pelo 
ISO/IEC JTC1/SC 40 (IT Service Management and IT Governance) 
 
48 
 
O propósito maior é garantir a qualidade dos PROCESSOS, não sendo 
objetivo principal – apesar de poder influenciar – atuar na qualidade dos 
produtos, dos serviços e da organização em si. 
PDCA 
A ISO/IEC 2000-1 requer uso da metodologia PDCA (Plan, Do, Check, 
Act) em todas as partes do sistema de gestão de serviços, e dos serviços em 
si, podendo ser descrito nesta parte da norma conforme demonstrado 
abaixo: 
Figura 9: visão do PDCA no contexto da ISO 2000-1 
 
Fonte: https://blog.softexpert.com/iso-iec-20000-visao-geral-simples-eficaz/. 
Cláusulas 
A norma é composta pelas clausulas abaixo: 
• Escopo 
• Referências Normativas: 
https://blog.softexpert.com/iso-iec-20000-visao-geral-simples-eficaz/
 
49 
 
• Termos e Definições 
• Requisitos Gerais do Sistema de Gestão de Serviços (SMS) 
• Desenvolvimento e Transição de Serviços Novos ou Alterados 
• Processos de entrega de serviços 
• Processos de Relacionamento 
Benefícios 
A ISO/IEC 20000 fornece uma base para prover a implementação 
dos processos de gestão de serviços em uma organização, utilizando-o de 
forma constante e consistente. Como seu propósito é promover a adoção de 
um processo integrado para entregar serviços que satisfaçam os requisitos 
do negócio e do cliente, acaba por apoiar na introdução de uma cultura de 
serviços, provendo metodologias para entregar serviços que atendam aos 
requisitos de negócio definidos. 
Enfatiza ainda processos que apoiem na qualidade real de 
fornecimento, apoiando as organizações a gerar receita ou a ter um custo 
efetivo, via uma gestão de serviço profissional e adequado. 
Abaixo, algumas características de organizações que adotam a 
norma ISO 20000 como modelo de gestão de serviços em tecnologia da 
informação: 
• Ajudam os fornecedores de serviços a determinar uma conformidade 
com as melhores práticas; 
• Transformam departamentos focados em tecnologia, em 
departamentos focados em serviços; 
• Melhoram a confiança e disponibilidade dos sistemas; 
 
50 
 
• Proveem uma referência para definição de acordo de nível de 
serviços; 
• Fornecem ganho em marketing, gerando também vantagem 
competitiva. 
A ISO 20000 é especialmente importante nas organizações de 
setores em que a qualidade dos serviços de TI é essencial para o sucesso 
corporativo. Por outro lado, é também relevante nas organizações que 
fornecem serviços geridos ou subcontratam serviços de TI, apoiando no 
atendimento às questões de compliance e normas regulatórias. 
Ela foi desenvolvida para estar alinhada com a família ISO 9001, e 
também com a família ISO/IEC 27001. Independentemente de o objetivo 
envolver ou não a certificação, a norma pode ser utilizada como guia e 
balizador para melhoria dos processos de TI. 
 
 
 
9 
 
52 
 
Capítulo 9. ISO 27000 
O que é 
As normas da família ISO/IEC 27000 convergem para o Sistema de 
Gestão de Segurança da Informação (SGSI), tendo como mais conhecidas 
as normas ISO 27001 e ISO 27002. 
O conceito de segurança da informação vai além do quesito 
tecnológico, apesar de transcorrerem próximos. O SGSI, assim, é uma forma 
de segurança para todos os tipos de dados e informações, e possui como 
atributos básicos a confidencialidade, disponibilidade, autenticidade e 
integridade. 
Cada uma das normas da ISO 27000 tem uma função específica, mas 
todas têm como objetivo principal a criação, manutenção, melhoria, 
funcionamento, análise e revisão de um SGSI. 
As normas podem ser adotadas independentemente do porte ou tipo 
da empresa, e suas diretrizes buscam a segurança das informações e 
sistemas da organização, trazendo estratégias e orientações que fazem com 
que o SGSI se adapte à empresa que deseja adotá-lo. 
Como já visto neste material, existem diversas outras normas e 
outras funções relacionadas à segurança da informação. No contexto da ISO 
27000, as diretrizes variam de um cenário mais básico de implementação de 
um SGSI, até pontos mais específicos para organizações que prestarão 
serviços de certificação ou auditoria para empresas. 
As normas 
A família é grande e existem diversas normas relacionadas. As 
normas mais conhecidas da família ISO 27000 são as 27001 e 27002, e é 
recomendável que sejam usadas em conjunto. A despeito da quantidade de 
 
53 
 
normas, apenas a ISO 27001 era, até pouco tempo, passível de certificação 
acreditada. Todas as outras são apenas guias de boas práticas. 
Existem mais de 40 normas, que foram desenvolvidas com base em 
procedimentos para a implementação nas empresas, havendo algumas 
também dedicadas exclusivamente a determinados segmentos de mercado. 
Exemplos deste cenário são a ISO 27011, que trata a gestão da segurança 
da informação para empresas de telecomunicações, ou a ISO 27015, que 
trata do ramo de serviços financeiros. As mais conhecidas são: 
• ISO/IEC 27000 – Princípios e Vocabulário, define a nomenclatura 
utilizada nas normas seguintes da família 27000. 
• ISO/IEC 27001 – “Tecnologia da Informação. Técnicas de 
segurança. Sistemas de Gestão de Segurança da Informação – 
Requisitos. 
• ISO/IEC 27002 – Tecnologia da informação - Técnicas de segurança 
- Código de prática para controles de segurança da informação 
• ISO/IEC 27003 – Tecnologia da informação - Técnicas de Segurança 
- Sistemas de gestão de segurança da informação - Guia de Boas 
Práticas 
• ISO/IEC 27004 – Tecnologia da informação - Técnicas de segurança 
- Gestão da segurança da informação - Monitorização, medição, 
análise e avaliação 
• ISO/IEC 27005 – Tecnologia da informação - Técnicas de segurança 
- Gestão de risco da segurança da informação 
• ISO/IEC 27006 - Tecnologia da informação - Técnicas de segurança 
- Requisitos para os organismos que fornecem auditoria e 
certificação de sistemas de gestão de segurança da informação. 
 
54 
 
Mais recentemente, algumas outras normas têm sido mais buscadas 
e vem chamando a atenção, por estarem focadas em tópicos específicos da 
TI, como por exemplo a ISO 27017, que trata dos controles para cloud 
computing, ou a ISO 27033, que diz respeito à segurança de redes. 
Com a adesão cada vez mais frequente de computação em nuvem, e 
também considerando o cenário atual de LGPD e privacidade de dados, a 
ISO/IEC27018, que trata da proteção de dados pessoais em nuvem publica, 
começam a ter maior atenção de provedores de serviços. 
Abaixo alguns links de provedores, e sua forma de tratar e respeitar 
as ISOs 27017 e 27018: 
• https://cloud.google.com/security/compliance/iso-27018/?hl=pt-br 
• https://docs.microsoft.com/pt-br/compliance/regulatory/offering-
iso-27018 
• https://docs.microsoft.com/pt-br/compliance/regulatory/offering-
iso-27017 
Vantagens na adoção 
Considerando os dados como uns dos ativos mais valiosos das 
empresas,esta ponderação sobre motivos para adoção sequer deveria 
existir. No entanto, abaixo estão listadas algumas das vantagens para 
adoção: 
• Excelente ROI, devido à construção de uma boa imagem para a 
marca; 
• Redução de custos na tratativa de eventos; 
• Viabilidade de fornecimento de serviços para grandes empresas, 
pois este item começa a ser exigido no mercado; 
https://cloud.google.com/security/compliance/iso-27018/?hl=pt-br
https://docs.microsoft.com/pt-br/compliance/regulatory/offering-iso-27018
https://docs.microsoft.com/pt-br/compliance/regulatory/offering-iso-27018
https://docs.microsoft.com/pt-br/compliance/regulatory/offering-iso-27017
https://docs.microsoft.com/pt-br/compliance/regulatory/offering-iso-27017
 
55 
 
• Necessidade de atendimento à normas e regulamentos; 
• Correlação totalmente direta com a adequação para a LGPD; 
• Redução de riscos para o negócio e para a TI; 
• Integração a um sistema mais amplo de gestão e governança; 
• Vantagem competitiva perante outras empresas do mercado. 
ISO 27001 
A ISO 27001 – que foi publicada originalmente em 2005 - foi 
baseada - e substituiu - o BS 7799 parte 2, que com isso deixou de ser válido. 
Na norma ISO 27001 está disponível o Anexo A, indicando quais são 
os controles internos que passam por avaliação conforme objetivos e 
políticas de segurança da informação de cada organização. Alguns controles 
envolvem: 
• Organização Interna; 
• Requisitos Legais; 
• Dispositivos móveis e trabalhos 
remotos; 
• Segurança em RH; 
• Controle de Acesso (físico e 
sistema); 
• Segurança em desenvolvimento e 
suporte; 
• Segurança na informação da 
cadeia de suprimentos; 
• Gestão de incidentes; 
 
• Criptografia; 
• Segurança Física; 
• Equipamentos; 
• Segurança nas Operações; 
• Proteção contra malware; 
• Copias de segurança; 
• Controle de software operacional; 
• Gestão de vulnerabilidade; 
• Segurança de dados; 
• Transferência da informação; 
• Gestão de Ativos; 
• Tratamento de Mídias. 
 
A estrutura da ISO27001 
A estrutura global da norma ISO 27001 pode ser apresentada da 
seguinte forma: 
 
56 
 
Figura 10: Estrutura global da ISO 27001 
 
Fonte: https://www.27001.pt/iso27001_3.html. 
https://www.27001.pt/iso27001_3.html
 
 
 
10 
 
 
58 
 
 
Capítulo 10. Outros Modelos, Normas, Frameworks, Metodologias e Afins 
Há diversos outros frameworks, normas e bibliotecas de melhores 
práticas e metodologias no mercado. Abaixo, trazemos algumas para 
ampliação de conhecimento e direcionamento de estudos futuros: 
PMBOK 
PMBOK, ou Project Management Book of Knowledge, é certamente a 
maior referência na área de conhecimento de gerenciamento de projetos, 
sendo aplicado em projetos de quaisquer naturezas (e não apenas na TI). 
BABok 
BABok, (Business Analysis Body of Knowledge), é um guia mantido e 
publicado pelo IIBA (International Institute of Business Analysis) , 
reconhecido como padrão para as práticas de Análise de Negócio. 
O guia descreve as áreas de conhecimentos da Análise de Negócios, 
suas atividades e tarefas e as habilidades necessárias para ser eficaz na sua 
execução. 
CBOK 
CBOK, ou BPM CBOK é o Guia para o Gerenciamento de Processos de 
Negócio – Corpo Comum de Conhecimento. Como o próprio nome já 
transparece, trata-se da referência na área de conhecimento de 
gerenciamento de processos de negócio (BPM), sendo dividido em nove 
áreas: 
1. Gerenciamento de Processos de Negócio 
2. Modelagem de Processos 
3. Análise de Processos 
 
 
59 
 
 
4. Desenho de Processos 
5. Gerenciamento de Desempenho de Processos 
6. Transformação de Processos 
7. Organização do Gerenciamento de Processos 
8. Gerenciamento Corporativo de Processos 
9. Tecnologias de BPM. 
MOF 
Mais comumente falado e abordado no passado, o Microsoft 
Operations Framework contempla princípios, atividades e práticas que 
visam garantir a confiabilidade dos serviços de TI 
Possui direcionadores para a criação, organização e operação da TI, 
se preocupando com as etapas ligadas ao suporte dos serviços de 
tecnologia, objetivando entregar um ambiente apto a suprir as demandas e 
necessidades da organização e seus colaboradores. 
LEAN IT 
A aplicação dos conceitos do Lean Thinking / Sistema Toyota de 
Produção à TI, deu origem ao LEAN IT. Tal qual sua origem, foca em melhoria 
contínua, aumento da qualidade e redução dos desperdícios de recursos, 
gerando assim mais produtividade, otimização de recursos e entrega de 
valor aos clientes. 
Seu sucesso está ligado diretamente a uma mudança de 
mentalidade e cultura corporativa, que influenciará o comportamento dos 
colaboradores. Sua implementação se dá por meio do Lean tranformation 
Program, que consiste em diversas etapas que visam fomentar a 
 
 
60 
 
 
compreensão desta nova forma de operacionalização das rotinas e gestão 
do trabalho. 
O Lean IT acaba sendo uma filosofia que complementa 
adequadamente os frameworks e melhores práticas como ITIL e COBIT, 
bem como os métodos ágeis mais conhecidos – Scrum, XP). 
Tal qual kanban e Kanban, tem como um de seus elementos chave o 
sistema puxado, que muda completamente a maneira tradicionalmente 
usada para estruturar processos organizacionais. Assim, toda a 
produtividade é associada a demandas que puxarão as etapas e processos 
necessários para sua entrega, fazendo com que atividades só ocorram se de 
fato houver alguma demanda ou necessidade, evitando desperdícios. Esta 
alteração de comportamento faz com que, dentre outras coisas, aumente-se 
a racionalização do uso da infraestrutura de TI existente. 
Por se tratar de uma visão focada na entrega de valor, o cliente está 
no centro das atenções. Essa perspectiva faz com que ocorram mais 
interações entre cliente e TI, viabilizando a entrega de produtos mais 
valiosos para o cliente, em um tempo de desenvolvimento e entrega menor. 
Val IT 
Criado pelo IT Governance Institute, o modelo Val IT foi publicado 
em 2006 e revisado em 2008. Seu objetivo era apoiar na demonstração do 
valor da tecnologia para o negócio. 
Principalmente na época do COBIT 4, foi considerado quase que um 
complemento do mesmo, auxiliando a empresa a ter o máximo de retorno de 
seus investimentos, focando as decisões nas demandas dos clientes e nas 
estratégias de médio e longo prazos. Nesta perspectiva, o cenário atual cria 
um desafio adicional ao modelo, já que as mudanças são cada vez mais 
 
 
61 
 
 
frequentes, ocorrendo em intervalos cada vez menores, por conta das 
mudanças de ambiente e da evolução disruptiva da tecnologia. 
O Val IT é um conjunto de princípios e práticas comprovadas de 
governança, contendo processos, guias, diretrizes e técnicas de apoio. Pode 
ser encarado como um framework pragmático, ou seja, objetivo e prático. 
Possui 7 princípios-chave que servem como orientadores, e que se 
relacionam com processos e práticas, visando o atingimento de metas e a 
criação de valor. Os princípios-chave são: 
• Gerenciamento distinto de investimentos, conforme suas diferentes 
categorias; 
• Resposta rápida a alterações devido ao monitoramento de 
indicadores-chave; 
• Disponibilização de recursos por deveres designados às partes 
interessadas; 
• Monitoramento constante, melhoria contínua; 
• Gestão conforme um portfólio de investimento; 
• Escopo completo das tarefas necessárias para atingimento do valor 
de negócio, devidamente incluso; 
• Gestão por meio do ciclo de vida econômico. 
Risk IT 
Criado pelo ISACA em 2009, foi publicado como complemento ao 
COBIT, trazendo as perspectivas de gerenciamento de riscos. Além de se 
definir e saber lidar com a resposta aos riscos, tinha como objetivos a 
integração da gestão de riscos de TI e da organização, auxiliando na 
 
 
62 
 
 
compreensão sobre a receptividade e tolerância ao risco, bem como 
apoiando na tomada de decisão perante o risco. 
Com o risco da TI sendo considerado um risco do negócio,integra-
se os riscos da TI e os objetivos do negócio, avaliando suas dependências 
em relação aos serviços da TI, e o impacto que estes riscos mapeados podem 
gerar no negócio. 
Em sua segunda edição, traz práticas que buscam otimizar o risco, a 
oportunidade, a segurança e o valor do negócio, apoiando a decisão 
consensual no que tange a riscos de TI. Traz junto consigo um guia 
complementar (Risk IT Practitioner Guide), que orienta de forma prática, as 
atividades descritas no framework (tem-se, portanto, uma visão do requisito 
e o que fazer a respeito). 
Considerando a evolução contínua, sua segunda edição está 
alinhada com o COBIT 2019 e tem um foco mais forte em segurança 
cibernética, e traz uma metodologia que apoia a: 
• Identificar riscos (atuais e emergentes) por toda a empresa; 
• Desenvolver capacidades para garantir o funcionamento dos 
processos de negócios, caso ocorra algum evento; 
• Viabilizar investimentos em compliance e sistemas internos de 
controle, para otimização dos riscos relacionados à TI; 
• Vislumbrar o risco de TI dentro de um contexto de business, 
melhorando e facilitando a percepção de exposição. 
Os riscos de TI podem, segundo o Risk IT, ser categorizados de 
formas distintas, a saber: 
 
 
63 
 
 
• Habilitador de valor de TI: riscos relacionados à oportunidade 
perdida de aumentar o valor do negócio por processos habilitados ou 
aprimorados de TI; 
• Entrega de Projeto / Programa de TI: riscos relacionados ao 
gerenciamento de projetos relacionados a TI destinados a habilitar 
ou melhorar os negócios; 
• Operação e Entrega de Serviço de TI: riscos associados às 
operações do dia a dia e prestação de serviços de TI que podem 
trazer problemas, ineficiência para as operações de negócios de uma 
organização 
O Risk IT é baseado nos padrões / frameworks de gerenciamento de 
riscos corporativos COSO e ISO 31000, propiciando uma compreensão dos 
riscos também pela alta gestão. 
ITIL 
ITIL, acrônimo de Information Technology Infrastructure Library, é 
provavelmente o mais conhecido dos frameworks / melhores práticas do 
mercado, sendo usado em mais de 180 países. 
Tema específico do módulo 1 do curso de Gestor de Operações, o 
ITIL – considerando sua versão V3, que é a mais conhecida e ainda difundida 
– foi organizado em cinco livros, que contemplam o ciclo de vida de um 
serviço de TI, partindo de sua concepção e perpassando por diversas fases, 
até chegar em sua fase de encerramento. Seus cinco livros, ou cinco etapas 
do ciclo de vida, são: 
• Estratégia: seleção e priorização de novos serviços ou melhorias em 
serviços existentes; 
 
 
64 
 
 
• Desenho: Mapeamento de requisitos e projeto (design) dos serviços 
de TI; 
• Transição: Implementação e disponibilização do serviço desenhado; 
• Operação: Entrega / Operacionalização dos serviços; 
• Melhoria Contínua: Acompanhamento, monitoramento, medição e 
melhoria constante dos serviços. 
Cada etapa é composta de diversos processos, conforme 
demonstrado na figura abaixo. 
Figura 11: Estrutura de Processos do ITIL V3 
 
Fonte: https://www.euax.com.br/2018/10/itil-o-que-e-importancia-como-
implantar/. 
Funciona muito bem, se integrado com outros frameworks, tais 
como ISO 20000 e COBIT, já que é focado no planejamento e execução de 
projetos e serviços de TI, ao passo que os outros frameworks mencionados 
https://www.euax.com.br/2018/10/itil-o-que-e-importancia-como-implantar/
https://www.euax.com.br/2018/10/itil-o-que-e-importancia-como-implantar/
 
 
65 
 
 
focam nas definições de políticas, gestão e controles. Por conta disso, criou-
se a visão de que o COBIT foca no “o que fazer” e o ITIL no “como fazer”. 
Leis Brasileiras 
Dentre a legislação brasileira, cabe mencionar 3 leis correlacionadas 
com segurança 
• LEI Nº 12.737, DE 30 DE NOVEMBRO DE 2012 
– Conhecida como Lei Caroline Dieckmann, dispõe sobre a 
tipificação criminal de delitos informáticos. 
• LEI Nº 12.965, DE 23 DE ABRIL DE 2014 
– Conhecida como Marco Civil da Internet, esta Lei estabelece 
princípios, garantias, direitos e deveres para o uso da 
internet no Brasil e determina as diretrizes para atuação da 
União, dos Estados, do Distrito Federal e dos Municípios em 
relação à matéria. 
• LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. 
– Conhecida como Lei Geral de Proteção de Dados ou 
simplesmente LGPD, esta Lei dispõe sobre o tratamento de 
dados pessoais, inclusive nos meios digitais, por pessoa 
natural ou por pessoa jurídica de direito público ou privado, 
com o objetivo de proteger os direitos fundamentais de 
liberdade e de privacidade e o livre desenvolvimento da 
personalidade da pessoa natural. 
SOx 
A Lei Sarbanes-Oxley, SarbOx ou SOx, é uma lei americana 
sancionada em 2002, pelo congresso norte-americano. Surgiu como 
 
 
66 
 
 
resposta à uma série de escândalos financeiros que envolveram grandes 
empresas dos EUA, como Enron, Xerox, etc, que erraram propositalmente 
escriturações contábeis e realizaram diversas outras fações fraudulentas. 
Elaborada pelo senador Paul S. Sarbanes e pelo deputado Michael 
Oxley (originaram o nome da lei), foi promulgada pelo presidente George W. 
Bush. Constitui-se um dispositivo legal para impedir fraudes corporativas 
restaurar a confiança necessária a investidores / acionistas, estabilizar o 
valor das ações do mercado e, por fim, mas não menos importante, garantir 
a continuidade de negócios - operacional da empresa.Organizada em onze 
capítulos, com um número de seções variável, totaliza 69 artigos (seções). 
A SOx aperfeiçoou mecanismos ligados à governança, a fim de 
garantir – de fato – o compliance (cumprimento de normas, regulamentos, 
etc de funcionamento de um negócio) da empresa. Ela não criou um 
conjunto de práticas, mas sim definiu quais registros passariam a ser 
arquivados e analisados, além da geração de relatórios financeiros 
periódicos, realização de auditorias externas periódicas, etc. Contou com a 
participação e auxílio da COSO, para aprimorar os controles internos. 
Neste contexto, foi criado, COSO Report para controles nas 
operações de negócios e relatórios financeiros, cuja aplicabilidade no 
contexto da TI prevê a segurança da infraestrutura para proteger toda a rede 
corporativa, (e também bem de parceiros de negócio) – com foco em 
registros (logs) e relatórios de equipamentos e sistemas, permitindo a 
compreensão do funcionamento dos sistemas, visibilidade dos seus níveis 
de acesso, exceções tratadas e respaldadas por documentos; controles de 
acesso com permissão mínima no tocante a informações financeiras e, por 
fim, a existência de um plano de contingência que garanta a continuidade e 
a integridade de informações financeiras e processos por meio da 
infraestrutura de TI, englobando inclusive as áreas funcionais. 
 
 
67 
 
 
Os Planos de Contingência são processos, procedimentos, 
documentos e protocolos que definem as responsabilidades na organização 
caso ocorram emergências, são essenciais à manutenção dos dados 
(principalmente financeiros, neste caso) em uma infraestrutura de TI. 
Espera-se a disponibilidade de backups, sites alternativos - 
preferencialmente via recursos de Facilities sob demanda - para manter as 
operações e processos organizacionais em pleno funcionamento, em caso 
de desastres. Obviamente que neste cenário espera-se a total integridade 
das informações ao longo do tempo necessário para a readequação e 
reestruturação do ambiente pós evento, trazendo como benefício direto a 
redução - ao máximo - do impacto de incidentes que porventura possam 
paralisar a empresa. 
Sua abrangência transcende empresas americanas, sendo vigente 
para todas as empresas listadas em bolsa, por exemplo, independentemente 
da sua nacionalidade. Além disso, influencia e atua não só nas áreas 
financeiras, contábeis e fiscais, mas também reverbera na área de TI, devido 
à sua responsabilidade no registro das finançaseletronicamente, bem como 
a retenção dos dados e informações pelo período definido. 
ISAE3402 
O ISAE3402 (International Standards for Assurance Engagements) 
é um padrão internacional - que veio substituir a SAS 70 – de auditoria sobre 
controles de empresas prestadoras de serviço. 
Foi criado em 2011, sendo desenvolvido pela AICPA (American 
Institute of Certified Public Accountants ) e recomendada pela IAASB 
(International Auditing and Assurance Standards Board) e IFAC 
(Internacional Federation of Accountants) e desde então vem sendo usada 
como padrão de garantia de qualidade no controle de segurança da 
informação. 
 
 
68 
 
 
No contexto brasileiro, acabou originando a NBC TO 3402, aprovado 
pelo Conselho Federal de Contabilidade (CFC). Consiste em relatórios que 
asseguram controles em empresas prestadoras de serviço, e também 
norteiam as ações de auditores independentes, que têm a responsabilidade 
de auditar tais controles e atestar que estes estão sendo efetivamente 
adotados. 
Por meio destes relatórios gerados, há maiores garantias para as 
empresas que optam por terceirizar seus serviços, no que diz respeito à 
qualidade e confiabilidade de seus prestadores de serviços. Algumas das 
empresas prestadoras de serviços são: 
• Provedores de serviços de aplicativos; 
• Provedores de segurança gerenciada; 
• Centros de hospedagem de dados (ex.: Datacenters). 
O ISAE3402 traz alguns benefícios para os envolvidos, tais como: 
• Criação de mecanismos para identificação de ilicitudes; 
• Otimização de auditorias múltiplas; 
• Melhoria da imagem perante a concorrência; 
• Habilitação à prestação de serviços para grandes empresas (que 
exigem o relatório); 
• Monitoramento de riscos inerente aos negócios; 
• Facilita na obtenção de ISO e SOx; 
• Reconhece as instituições, em âmbito mundial, como empresas de 
alto padrão de segurança e confiabilidade; 
 
 
69 
 
 
• Atuação como potencializador na cultura organizacional; 
• Redução de custos (devido à ausência de necessidade de diversas 
auditorias em paralelo). 
Dois modelos de documentos / relatórios são normalmente usados 
como declaração de garantia, já que a despeito de ser mencionada como 
uma certificação, não há um certificado ISO de fato: 
• TIPO I: valida a existência de atividades de controles e processos; 
• TIPO II: valida e garante a existência de processos e controles, e 
assegura a efetividade e eficácia dos mesmos por meio de testes, 
estendendo à verificação de disponibilidade, confidencialidade, 
integridade do processamento, privacidade e níveis de segurança. 
SOC 1, SOC 2, SOC 3 
SOC1 (Service Organization Control) 1, 2 3 são novos relatórios 
criados como uma estrutura de exame de controles em organizações de 
serviço, com algumas diferenças entre si. 
O relatório SOC 1 se preocupa com o exame de controles sobre 
relatórios financeiros, ao passo que os relatórios SOC 2 e SOC 3 se 
preocupam mais com os benchmarks padronizados - e predefinidos - para 
controles ligados à segurança, confidencialidade, privacidade do sistema do 
data center e integridade de processamento. 
O SOC 2 examina os detalhes dos testes do data center e a eficácia 
operacional, incluindo os testes e resultados do auditor. Já o SOC 3 é para 
uso público, oferecendo o mais alto nível de garantia de excelência 
operacional e certificação que um data center pode receber, fornecendo uma 
descrição daquele sistema, bem como trazendo a opinião do auditor 
responsável. 
 
 
70 
 
 
Estes relatórios, minuciosos e detalhados, são úteis para o programa 
de gerenciamento de fornecedores, processos de gerenciamento de riscos, 
governança corporativa, supervisão da organização e supervisão regulatória. 
NIST CSF (Cybersecurity Framework) 
O NIST (National Institute of Standards and Technology) é uma 
agência governamental - não regulatória - da administração de tecnologia 
do Departamento de Comércio dos Estados Unidos, que tem como missão a 
promoção da inovação e a competitividade industrial, promovendo a 
metrologia, padrões e tecnologia para viabilizar a ampliação da segurança 
econômica e melhoria da qualidade de vida. 
O NIST publicou em 2014 o NIST Cybersecurity Framework, que é 
um conjunto de boas práticas que fornece uma estrutura de política de 
orientação sobre segurança de computadores. Por meio dele, organizações 
do setor privado podem avaliar e melhorar sua estrutura de prevenção, 
detecção e resposta a ataques cibernéticos, sendo usado atualmente por 
diversas empresas e governos ao redor do mundo. Com isso, fornece uma 
taxonomia de alto nível de resultados de segurança cibernética, e uma 
metodologia para avaliação e gerenciamento desses resultados. 
A versão 1.1 foi liberada em 2018, quando foram inclusas 
orientações sobre autoavaliações, orientações sobre como interagir com as 
partes interessadas da cadeia de suprimentos, detalhes adicionais sobre o 
gerenciamento de riscos desta mesma cadeia, dentre outros aspectos. 
O framework é dividido em três partes (Core, Tiers e Profile): 
• “Framework Core” (núcleo da estrutura): contém atividades, 
resultados e referências sobre abordagens da segurança cibernética. 
 
 
71 
 
 
• “Framework Implementation Tiers” (níveis de implementação da 
estrutura): usado para esclarecer para si mesma e para seus 
parceiros como ela vê o risco de segurança cibernética e o grau de 
sofisticação de sua abordagem de gerenciamento. 
• “Framework Profile” (perfil de estrutura): lista de resultados que 
uma organização escolheu entre as categorias e subcategorias, com 
base em suas necessidades e suas avaliações de risco. 
O NIST Cybersecurity Framework organiza seu material em cinco 
funções, subdivididas em 23 categorias, que por sua vez são subdivididos 
em uma série de subcategorias de resultados de segurança cibernética e 
controles de segurança, totalizando 108 subcategorias. 
Figura 12: NIST CSF 
 
Fonte: https://guilhermeteles.com.br/o-que-e-o-nist-cybersecurity-framework/ 
 
https://guilhermeteles.com.br/o-que-e-o-nist-cybersecurity-framework/
 
 
72 
 
 
Desta forma o NIST CSF divide as ações de segurança em Identificar, 
Proteger, Detectar, Responder e Recuperar, conforme figura abaixo: 
Figura 13: NIST Cybersecurity Framework 
 
Fonte: https://www.gat.digital/blog/implementacao-do-nist-cybersecurity-
framework/ 
• IDENTIFICAR: Saber o que se tem e o que está sendo enfrentado; 
• PROTEGER – Adotar medidas de proteção ; 
• DETECTAR – Monitorar, monitorar e monitorar; 
• RESPONDER – Tem um plano; 
• RECUPERAR – Recuperar e viabilizar melhorias. 
O NIST CSF é baseado em padrões e práticas existentes, sendo que 
os mais frequentemente referidos são as “Referências informativas” 
encontradas no Framework Core. Esses padrões são: 
• CCS CSC – o “Council on CyberSecurity Top 20 Critical Security 
Controls”; agora conhecido como “CIS Critical Security Controls ou, 
simplesmente, CIS Controls”. 
• COBIT – Objetivos de Controle para Tecnologia da Informação e 
Relacionadas (COBIT) é uma estrutura criada pela Associação de 
https://www.gat.digital/blog/implementacao-do-nist-cybersecurity-framework/
https://www.gat.digital/blog/implementacao-do-nist-cybersecurity-framework/
 
 
73 
 
 
Auditoria e Controle de Sistemas de Informação (“ISACA”) para 
gestão e governança de tecnologia da informação. 
• ISA / IEC-62443 – uma série de padrões desenvolvidos pela 
Sociedade Internacional de Automação para automação industrial e 
segurança de sistemas de controle. 
• ISO / IEC 27001: 2013 – um padrão popular de segurança da 
informação mantido pela International Organization for 
Standardization e a International Electrotechnical Commission. 
• NIST SP 800-53 Rev.4 – também um padrão popular fornecido pelo 
NIST intitulado “Security and Privacy Controls for Federal 
Information Systems and Organizations. 
 
 
74 
 
 
Glossário 
• Compliance: derivado de “to comply”,significa cumprimento de 
regra. Assim, a abordagem de compliance empresarial remete à 
demonstração de atuação em conformidade com as regras, normas, 
leis regulamentares da atividade envolvida. Está correlacionada às 
temáticas tributárias, trabalhistas, regulatórias, éticas, dentre 
outros. 
• Riscos de TI: risco do negócio associado à propriedade, uso, 
influência e adoção da TI, considerando eventos e condições 
relacionados com a TI, que podem gerar impacto ao negócio. 
• BPM: Gerenciamento de processos de negócios, contemplando um 
foco na otimização e transformação de processos, podendo ser 
considerado uma tratativa criada em decorrência da evolução das 
tratativas anteriores (qualidade total, etc). Não se trata de uma 
ferramenta ou metodologia, pois é um conjunto de boas práticas 
para aplicação das metodologias e ferramentas de gestão de 
processos de negócio. 
• BCMS: Sistema de gestão da continuidade de negócios– parte do 
sistema de gestão global que cuida de como a continuidade de 
negócios é planejada, implementada, mantida e aprimorada de 
forma contínua. 
• MBCO: Objetivo de continuidade de negócios mínimo– nível mínimo 
de serviços ou produtos que uma organização precisa produzir após 
retomar as suas operações de negócios. 
 
 
75 
 
 
• RTO: Objetivo de tempo de recuperação– tempo pré-determinado 
em que uma atividade deve ser retomada, ou recursos devem ser 
recuperados. 
• MAO: Máxima interrupção aceitável – quantidade de tempo máxima 
em que uma atividade pode ser interrompida sem incorrer em danos 
inaceitáveis. 
• MTPD: Período de disrupção máximo tolerado. 
• POR: Objetivo de ponto de recuperação – perda de dados máxima, 
por exemplo, a quantidade mínima de dados que precisa ser 
restaurada. 
 
 
76 
 
 
Referências 
COUGO, Paulo. ITIL – Guia de Implantação. Rio de Janeiro: Editora 
Campus, 2012. 
FONTES, Edison. Políticas e Normas para a Segurança da Informação. Rio 
de Janeiro: Ed. Brasport, 2012. 
FONTES, Edison. Segurança da Informação: Orientações Práticas. Ed. 
Profissional, 2016. 
FREITAS, Marcos André dos Santos. Fundamentos do Gerenciamento de 
Serviços de TI: Preparatório para a certificação ITIL Foundation. 2. ed. 
Editora Rio de Janeiro: Brasport, 2011. 
GALVÃO, Michele da Costa. Fundamentos em segurança da informação. 
São Paulo: Pearson Education do Brasil, 2015 
HINTZBERGEN, Jule et al. Fundamentos de Segurança da Informação: 
com base na ISO 27001 e na ISO 27002. Rio de Janeiro: Brasport, 2018. 
KOLBE JUNIOR, Armando. Sistemas de segurança da informação na era do 
conhecimento. Curitiba: Intersaberes, 2017 
MANOEL, Sergio da Silva. Governança de Segurança da Informação: como 
criar oportunidades para o seu negócio. Rio de Janeiro: Brasport, 2014. 
MOLINARO, Luís Fernando Ramos; RAMOS, Karoll Haussler Carneiro. Gestão 
De Tecnologia Da Informação | Governança De TI: Arquitetura E 
Alinhamento Entre Sistemas De Informação E O Negócio. São Paulo: Ed 
LTC, 2010. 
 
 
77 
 
 
MORAIS, Izabelly Soares de; GONÇALVES, Glauber Rogerio Barbieri. 
Governança de Tecnologia da Informação. Porto Alegre: Editora Grupo A. 
Norma ISO/IEC 20000 - Gerenciamento de Serviços de TI. Rio de Janeiro. 
ABNT, 2018. 
Norma ISO/IEC 27002 - Tecnologia da Informação: código de práticas para 
a gestão de segurança da informação. Rio de Janeiro. ABNT, 2005. 
Norma NBR ISO/IEC 27001 - Sistemas de gestão de segurança da 
Informação. Requisitos. ABNT, 2006 - Rio de Janeiro. ABNT, 2005. 
Norma NBR ISO/IEC 38500 - Governança corporativa de tecnologia da 
informação. ABNT, 2009 - Rio de Janeiro. ABNT, 2009. 
OLIVEIRA, Fátima de Baya. Tecnologia da Informação e da Comunicação: 
a busca de uma visão ampla e estrutura. São Paulo: Pearson Prentice Hall. 
Fundação Getúlio Vargas, 2007. 
REZENDE, Denis Alcides. Planejamento de sistemas de informação e 
informática: guia prático para planejar a tecnologia da informação integrada 
ao planejamento estratégico das organizações. 5. ed. São Paulo: Atlas, 2016. 
ROCCO, Marcus. Governança de TIC – Guia Prático de Apoio à 
Implantação. São Paulo: Self Publishing, 2016. 
SÊMOLA, Marcos Gestão da segurança da informação. 2. ed. São Paulo: Ed 
GEN LTC, 2013