Compreender os principais elementos relacionados a Governança, Risco e Compliance 1 e 2

Prévia do material em texto

Compreender os principais elementos 
relacionados a governança, risco e compliance
Aula 1 – Confidencialidade, Integridade e Disponibilidade
Aula 2 – Principais Frameworks
Aula 3 – Controle de Segurança
Aula 4 – Políticas
Aula 5 – LGPD
Aula 6 – Ética
Aula 01
Confidencialidade, Integridade 
e Disponibilidade
Governança, risco e compliance
É o conjunto de medidas práticas que uma empresa
pode utilizar através da criação de processos para
reduzir ameaças que possam impactar na
continuidade dos seus negócios, gerar prejuízos
financeiros, ou produzir riscos de perdas e de
conformidade legal.
GRC: Governança, Risco e Compliance
Fonte: Adobe Stock
Governança em T.I é o conjunto de processos,
práticas, políticas, leis e regulamentos que
determinam as diretrizes de uma empresa no ramo
da Tecnologia da Informação.
Riscos são todos os eventos que afetam de alguma
forma o cumprimento dos objetivos de uma empresa.
Compliance é o ato pelo qual a empresa cumpre
(está conforme), com todas as leis Federais,
Estaduais, Municipais e os respectivos
regulamentos, políticas e diretrizes organizacionais.
GRC: Governança, Risco e Compliance
Fonte: Adobe Stock
Processos e procedimentos bem estruturados
garantem:
• Funcionamento correto do negócio;
• Correções de falhas de forma eficaz;
• Conformidade com as normas.
Estruturação e disciplina
Fonte: Adobe Stock
A Governança em T.I:
• Alinha as expectativas de mercado e suas
políticas de implantações e manutenções de
ativos de T.I e Segurança da Informação;
• Adota medidas focadas na qualidade da
operação, produzindo-se melhores performances
de sistemas, aumentando sua competitividade.
Por dentro da Governança
Fonte: Adobe Stock
O Risco
• Independente do planejamento prévio, toda e
qualquer empresa está sujeita a imprevistos
internos ou externos;
• Também podem ser vistos como oportunidades
para se estabelecer planos de melhoria;
• A Gestão dos Riscos ameniza as ameaças que
podem surgir, tornando o negócio mais seguro.
Por dentro do Risco
Fonte: Adobe Stock
O Compliance
• Aumenta a credibilidade perante os investidores e
mercado, agregando valor ao negócio;
• Reconhece práticas ilícitas em outras
organizações;
• Reduz custo, aumenta a conscientização dos
colaboradores e sua respectiva satisfação.
Por dentro do Compliance
Fonte: Adobe Stock
A seguir...
No próximo tópico
ogeryrfsrrhrtrytyrsg
Segurança da informação
A Segurança da Informação tem por objetivo
principal prover os meios necessários para que os
repositórios de dados, bem como suas plataformas
de gestão, sejam acessados somente por pessoas
autorizadas/credenciadas, garantindo os pilares
Confidencialidade, Integridade e Disponibilidade
da informação.
Segurança da Informação
Fonte: Adobe Stock
O Pilar da Confidencialidade protege as
informações de acessos não autorizados,
estabelecendo privacidade para os dados da
empresa, evitando situações de ataques cibernéticos
ou espionagem. A base desse pilar é o controle do
acesso por meio de autenticação de senha, que
também pode ocorrer por meio de varredura
biométrica e criptografia, o que vem gerando
resultados favoráveis ​​nesse sentido.
Confidencialidade
Fonte: Adobe Stock
O Pilar da Integridade é responsável por manter as 
características originais dos dados, tal como foram 
configuradas na sua criação. Desta forma, as 
informações não podem ser alteradas sem 
autorização. 
Integridade
Fonte: Adobe Stock
O Pilar da disponibilidade determina que o ideal
em um sistema de informação é que os dados
estejam disponíveis para o que for necessário,
garantindo o acesso do usuário em tempo integral.
Isso requer estabilidade e acesso permanente aos
dados do sistema por meio de manutenção rápida,
atualizações constantes e depuração.
Disponibilidade
Fonte: Adobe Stock
Os pilares da Segurança da Informação são como
bússolas que devemos seguir para não cometer
nenhum equívoco quando falamos sobre o assunto.
Sempre começaremos por eles.
No próximo tópico daremos continuidade a essa
jornada, falando sobre como fortalecer esses pilares
para se criar a base de uma estrutura segura.
A seguir...
Fonte: Adobe Stock
Fortalecendo os Pilares
Toda a estrutura da Segurança da Informação deve
estar alinhada com o três pilares básicos
(Confidencialidade, Integridade e Disponibilidade),
para garantir que as práticas e políticas sejam
eficazes.
Os pilares da Segurança da Informação ajudam a
preservar um bom nível de proteção dos dados e nas
atividades de tratamento realizadas pela empresa.
Por isso, é fundamental reforçá-los nos processos e
operações.
Fortalecendo os Pilares
Fonte: Adobe Stock
• Política de Gestão de Acesso bem estruturada;
• Política de Classificação da Informação;
• Reforçar a Criptografia
• Autenticação em dois fatores.
Reforçando a Confidencialidade
Fonte: Adobe Stock
• Sistemas licenciados e constantemente
atualizados;
• Processos gerenciais bem definidos e seguros,
visando a preservação das informações;
• Assinaturas digitais.
Reforçando a Integridade
Fonte: Adobe Stock
• Conscientização e treinamento;
• Elaboração de políticas e normas;
• Mantendo os patches de segurança em dia;
• Mantendo backups e cópias de seguranças.
Reforçando a Disponibilidade
Fonte: Adobe Stock
Fortalecendo os pilares cria-se uma estrutura básica
segura para o desenvolvimento de toda Segurança
da Informação.
No próximo tópico daremos continuidade a essa
jornada, explorando pilares secundários, mas não
menos importantes, dos que já falados até aqui.
A seguir...
Fonte: Adobe Stock
Pilares Secundários na Segurança 
da Informação
No âmbito da Segurança da Informação, além dos
três pilares iniciais que orientam as ações para
garantir a proteção de dados, temos mais três que
reforçam essas orientações. Estamos falando dos
pilares:
• Autenticidade;
• Irretratabilidade;
• Legalidade.
Pilares Secundários na Segurança da Informação
Fonte: Adobe Stock
O Pilar da Autenticidade
Confirmação de que os dados possuem legitimidade,
ou seja, não haja manipulação ou intervenções
externas de terceiros passando-se por
colaboradores. Dessa forma, é necessário
documentar as ações feitas pelos usuários na rede e
nos sistemas..
Autenticidade
Fonte: Adobe Stock
O Pilar da Irretratabilidade
O pilar da irretratabilidade ou não repúdio atua para
que um indivíduo ou entidade não negue a autoria de
uma ação específica (criar ou assinar um
arquivo/documento, por exemplo).
Irretratabilidade (não repúdio)
Fonte: Adobe Stock
O Pilar da Legalidade
Está diretamente ligado ao valor legal da
comunicação em relação à legislação. Trata-se de
princípio do Direito intrínseco a todo Ordenamento
Jurídico.
Legalidade
Fonte: Adobe Stock
A importância dos Pilares
Diante das diversas formas e formatos que o mundo
digital tem ganhado e o aumento do tráfego de dados
o valor da informação tem se tornado cada vez mais
alto.
Os Pilares, de uma forma geral, são como princípios
mínimos a serem seguidos para garantir a
Segurança da Informação e manter o seu valor
econômico.
Valor econômico da informação
Fonte: Adobe Stock
Entender os pilares e sua importância é o primeiro
passo para se construir uma cultura cibernética mais
segura e eficaz.
Conclusão
Fonte: Adobe Stock
Aula 02
Principais Frameworks
Framework
É qualquer referência normativa que estabeleça um
conjunto de técnicas, ferramentas ou conceitos pré-
definidos que possam ser utilizados como base para
o estabelecimento de um programa corporativo de
segurança da informação.
O que é framework
Fonte: Adobe Stock
Finalidade
Oferecer o melhor processo para a organização
implementar salvaguardas de segurança de acordo
com o tamanho e estratégia de negócios da
empresa, agilizando em tempo e otimizando os
recursos disponíveis.
O que é framework
Fonte: Adobe Stock
Importância
• Criam modelos de construção de programas de
segurançada informação, gerenciando riscos e
combatendo fragilidades.
• Estabelece a criação de políticas, que serão
repassadas aos times de colaboradores por meio
de instruções e acerca de condutas e punições
por descumprimento.
O que é framework
Fonte: Adobe Stock
Importância
• Gerenciam riscos que tende a trabalhar em cima
das políticas e manter uma proteção contínua das
informações empresariais.
• Avaliam todas as portas de entrada, transferência
e saída de dados, identificando potenciais
vulnerabilidades e aumentando o nível de
segurança onde for preciso.
O que é framework
Fonte: Adobe Stock
Entender o conceito de framework e sua
aplicabilidade é o primeiro passo para se estabelecer
qual será o melhor ou mais adequado processo para
a empresa.
Importante
Fonte: Adobe Stock
Variedades de frameworks
Existem diversos frameworks no mercado e cada
uma tem sua qualidade e especificidade. Dentre os
mais utilizados temos a ISO 27.001, o CIS Controls e
o NIST CSF.
Tipos
Fonte: Adobe Stock
Estabelece diretrizes e princípios gerais para iniciar,
implementar, manter e melhorar a gestão de
segurança da informação de uma organização.
Trata-se de um padrão para se estabelecer um SGSI
(Sistema de Gestão de Segurança da Informação).
ISO 27.001
Fonte: Adobe Stock
A escolha por esse framework deve ser de forma
estratégica pela organização, considerando suas
necessidades, objetivos, exigências de padrões de
segurança, tamanho e sua estrutura.
É extremamente útil para definir responsabilidades e
deveres dentro da organização.
ISO 27.001
Fonte: Adobe Stock
Conjunto de práticas recomendadas de segurança
cibernética e ações defensivas que ajudam a evitar
os principais ataques da atualidade.
Sua implementação envolve práticas
recomendadas ​​para uma boa política de segurança
da informação, formuladas por um grupo de
especialistas em Tecnologia da Informação e
Segurança da Informação.
CIS Controls
Fonte: Adobe Stock
Utiliza informações coletadas em ataques reais e
defesas eficazes.
Fornecem orientação específica e um caminho para
as organizações atingirem as metas e objetivos
descritos por várias estruturas legais,
regulamentares e políticas.
CIS Controls
Fonte: Adobe Stock
Conjunto de diretrizes e padrões adotados que tem
por finalidade gerenciar e reduzir o risco de
segurança cibernética, além de ajudar as
organizações a prevenir, detectar e responder a
ameaças e ataques cibernéticos.
Foi projetado para melhorar as comunicações de
segurança cibernética e gerenciamento de riscos
entre as partes interessadas internas e externas.
NIST Cyber Security Framework
Fonte: Adobe Stock
Ajuda as organizações a melhorarem suas defesas
contra ataques cibernéticos conhecidos,
transformando os principais conceitos de segurança
em controles acionáveis, com o objetivo de obter um
maior nível de capacidade geral para defesa em
segurança cibernética.
NIST Cyber Security Framework
Fonte: Adobe Stock
Neste tópico, abordamos os principais, mas não
únicos, frameworks utilizados no mercado.
No próximo tópico daremos continuidade a essa
jornada, explicando as particularidades de cada
framework .
A seguir...
Fonte: Adobe Stock
ISO 27.001
A família das normas ISO 27.000 constituí uma série
de padrões internacionais direcionados à Segurança
da Informação que vale a pena ser conhecido.
Para fins de estudo de frameworks focaremos na
ISO 27.001.
Introdução a ISO 27001
Fonte: Adobe Stock
Lançada em 2005, foi criada com a finalidade de
fazer o gerenciamento e proteção da informação das
empresas utilizando um sistema e Gestão de Risco.
Hoje é considerado o principal padrão internacional
focado em segurança da informação, usando uma
abordagem de melhoria contínua.
Histórico
Fonte: Adobe Stock
• Proteger os pilares da Segurança da Informação:
Confidencialidade, Integridade e Disponibilidade.
• As organizações adotarem um modelo adequado
de estabelecimento, implementação, operação,
monitorização, revisão e gestão de um Sistema de
Gestão de Segurança da Informação.
Objetivos
Fonte: Adobe Stock
• Conformidade;
• Vantagem de mercado;
• Redução de despesas;
• Organização da empresa.
Benefícios
Fonte: Adobe Stock
O conteúdo da ISO é dividido em duas partes:
• O Sistema de gestão de segurança da
informação, ou SGSI;
• Conjunto de controles usados para reduzir seu
risco. (Anexo A da norma).
Conteúdo
Fonte: Adobe Stock
• Ter definido um plano de tratamento e gestão de
riscos;
• Ter definida uma métrica de eficácia dos
controles;
• Implementar um programa para formar e
sensibilizar as pessoas;
• Implementar controles e procedimentos capazes
de detectarem potenciais incidentes.
SGSI - Implementação
Fonte: Adobe Stock
O Anexo A traz 93 controles de referência, cujo
objetivo é criar ideias e boas práticas para tornar a
organização mais segura.
Dentre essas boas práticas estão:
• Políticas de segurança da informação
• Organização da segurança da informação
• Segurança em recursos humanos
• Gestão de ativos
• Controle de acesso
• Criptografia
Controles – Anexo A
Fonte: Adobe Stock
• Segurança física e do ambiente
• Segurança nas operações
• Segurança nas comunicações
• Aquisição, desenvolvimento e manutenção de
sistemas
• Relacionamento na cadeia de suprimento
• Gestão de incidentes de segurança da informação
• Aspectos da segurança da informação na gestão
da continuidade do negócio
• Conformidade
Áreas – Anexo A
Fonte: Adobe Stock
Neste tópico abordamos a estrutura da norma ISO
27.001 como framework de segurança.
No próximo tópico daremos continuidade a essa
jornada, adentrando ao framework CIS Controls.
A seguir...
Fonte: Adobe Stock
CIS Controls
Diretrizes e práticas recomendadas para a
Segurança da Informação, constantemente
atualizada e revisada.
Práticas recomendadas e mundialmente
reconhecidas para proteger aplicações e dados nos
ambientes de tecnologia.
Introdução ao CIS Controls
Fonte: Adobe Stock
Projeto iniciado no começo de 2008 em resposta a
perdas extremas de dados ocorridas em
organizações na base industrial de defesa dos EUA.
Inicialmente desenvolvida pelo SANS Institute e a
propriedade foi, então, transferida para o Conselho
de Segurança Cibernética (CCS) em 2013 e, em
seguida, para o Centro de Segurança da Internet
(CIS) em 2015.
Histórico
Fonte: Adobe Stock
• Prevenir os tipos de ataques mais generalizados e
perigosos, dando ainda suporte à conformidade
em um ecossistema de múltiplas estruturas.
• Orientar e especificar um caminho claro para que
as organizações atinjam os objetivos e metas
descritos por várias estruturas legais,
regulamentares e políticas.
Objetivos
Fonte: Adobe Stock
• Os controles priorizam e concentram o menor
número de ações necessárias para se ter o
melhor custo-benefício.
• Contêm recomendações atuais e concretas para
ajudar as empresas a melhorar a postura de
segurança da informação.
Benefícios
Fonte: Adobe Stock
• Os controles do CIS foram criados por
especialistas com o objetivo de serem
universalmente aplicáveis.
• Os controles são separados em três categorias:
básica, fundamental e organizacional,
independentemente do tipo de indústria,
adequando-se a cada realidade.
Benefícios
Fonte: Adobe Stock
Os Grupos de Implementação (IGs) são a orientação
recomendada para priorizar a implementação dos
Controles Críticos de Segurança do CIS.
Os IGs são divididos em três grupos. Eles se
baseiam no perfil de risco e nos recursos que uma
empresa tem à sua disposição para implementar os
controles CIS.
Conteúdo
Fonte: Adobe Stock
• Inventário e controle de ativos de hardware;
• Inventário e controle de ativos de Software;
• Gerenciamento contínuo de vulnerabilidades;
• Uso controlado de privilégios administrativos;
• Configuração segura para hardware e software
em dispositivos móveis, notebooks, estações de
trabalho e servidores;
• Manutenção, monitoramento e análisede registros
de auditoria.
Controles básicos
Fonte: Adobe Stock
A implementação do CIS é feita em 03 grupos:
IG1 - Implementation Group 1
• Conjunto básico de 56 salvaguardas de defesa
cibernética, estabelecendo padrão mínimo
emergente de segurança da informação para
todas as empresas. As salvaguardas incluídas no
IG1 são o que toda empresa deve aplicar para se
defender contra os ataques mais comuns.
CIS - Implementação
Fonte: Adobe Stock
IG2 - Implementation Group 2
• Compreende 74 salvaguardas adicionais e se
baseia nas 56 salvaguardas identificadas no IG1.
• Uma empresa que usa o IG2 normalmente
emprega indivíduos responsáveis por gerenciar e
proteger a infraestrutura de TI.
CIS - Implementação
Fonte: Adobe Stock
IG3 - Implementation Group 3
• Inclui 23 salvaguardas adicionais. Baseia-se nas
salvaguardas identificadas em IG1 (56) e IG2 (74),
totalizando as 153 salvaguardas no CIS Controls
V8.
• Ativos e dados do IG3 contêm informações ou
funções confidenciais que estão sujeitas à
supervisão regulatória e de conformidade.
CIS - Implementação
Fonte: Adobe Stock
Neste tópico, abordamos a estrutura do framework
de segurança CIS Controls.
No próximo tópico daremos continuidade a essa
jornada, adentrando ao framework NIST CSF.
A seguir...
Fonte: Adobe Stock
NIST
Estabelece padrões, diretrizes e práticas
recomendadas que ajudam as organizações a
melhorar seu gerenciamento de riscos de segurança
cibernética.
Projetado para ser flexível o suficiente para se
integrar aos processos de segurança existentes em
qualquer organização, em qualquer setor.
Introdução ao NIST CSF
Fonte: Adobe Stock
O National Institute of Standards and Technology
(NIST) é uma agência não reguladora que promove a
inovação por meio do avanço da ciência, padrões e
tecnologia de medição.
Em 12 de fevereiro de 2013 iniciou o trabalho do
NIST com o setor privado dos EUA para identificar
padrões de consenso voluntários existentes e
melhores práticas da indústria para incorporá-los em
uma estrutura de segurança cibernética.
Histórico
Fonte: Adobe Stock
• Fornecer um excelente ponto de partida para
implementar segurança da informação e
gerenciamento de riscos de segurança cibernética
em praticamente qualquer organização do setor
privado nos Estados Unidos.
• Escolher as ferramentas que melhor atendem às
necessidades do gerenciamento de riscos de
segurança cibernética de uma organização.
Objetivos
Fonte: Adobe Stock
• O tipo de metodologia permite que as
organizações entendam como seus esforços de
segurança cibernética se comparam às
orientações e fontes autorizadas do NIST csf.
• A linguagem comum age como facilitadora da
comunicação, pois, facilita o entendimento dos
requisitos e do progresso entre todas as partes
interessadas, incluindo a equipe de segurança de
TI, gerenciamento, parceiros, contratados,
fornecedores e outros.
Benefícios
Fonte: Adobe Stock
• Sua aplicação melhora a segurança cibernética e
a resiliência da infraestrutura crítica,
independentemente do tamanho da organização
ou do nível de sofisticação da segurança
cibernética.
Benefícios
Fonte: Adobe Stock
O NIST CSF inclui funções, categorias,
subcategorias e referências informativas.
Suas funções devem ser executadas de forma
contínua para formar uma cultura operacional que
aborde o risco dinâmico de segurança cibernética.
Suas categorias e subcategorias fornecem planos de
ação mais concretos para departamentos ou
processos específicos dentro de uma organização.
Conteúdo
Fonte: Adobe Stock
Neste tópico abordamos a estrutura do framework de
segurança NIST CSF.
No próximo tópico daremos continuidade a essa
jornada, adentrando à implantação do NIST CSF.
A seguir...
Fonte: Adobe Stock
Estrutura e implantação 
do NIST CSF
São 5 funções para fornecer uma visão estratégica
de alto nível do ciclo de vida do gerenciamento do
risco de segurança de uma organização.
Funções
Fonte: Adobe Stock
Fonte: Adobe Stock
As funções são divididas em 23 categorias, que se
subdividem em 108 subcategorias, levando o
framework a um nível alto de especificação.
Categorias
Fonte: Adobe Stock
As subcategorias contêm os controles reais e, para
cada uma, o CSF inclui uma lista de referências
cruzadas para padrões e estruturas bem conhecidos,
como ISO 27001, CIS, dentre outros.
Subcategorias
Fonte: Adobe Stock
Em linhas gerais, a implantação do Framework pode
ser dividida em 7 etapas:
• Priorizar e definir o escopo: objetivos
organizacionais;
• Orientar: estratégias de gerenciamento de riscos;
• Criar o perfil atual: avaliar sistemas e ativos
dentro do escopo, requisitos regulatórios;
NIST - Implementação
Fonte: Adobe Stock
• Realizar uma avaliação de riscos: padrões,
ferramentas, métodos e diretrizes de segurança
cibernética e gerenciamento de risco no escopo;
• Criar um perfil ativo: identificar metas que
mitigarão o risco de acordo com seus objetivos;
NIST - Implementação
Fonte: Adobe Stock
• Determinar, analisar e priorizar as lacunas:
analisar as lacunas entre o Perfil Atual e o Perfil
Alvo no contexto de organização;
• Executar o plano de ação: implementar ações
por prioridade, acompanhar o progresso em
relação ao plano, monitorar e avaliar os principais
riscos.
NIST - Implementação
Fonte: Adobe Stock
Neste tópico, finalizamos o conteúdo do NIST CSF,
bem como os principais frameworks utilizados.
Na próxima aula, iniciaremos o conteúdo sobre
controles de segurança.
Conclusão
Fonte: Adobe Stock
Aula 03
Controle de Segurança
Segurança Cibernética protege o ciberespaço
contra ameaças, enquanto a Segurança da
Informação é a proteção de dados globais contra
ameaças.
A Segurança da Informação é um conceito mais
amplo que abrange a Segurança Cibernética.
Para falar sobre os controles usaremos bastante o
conceito de Segurança Cibernética.
Segurança Informação x Segurança Cibernética
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Autoria Própria
Segurança da 
Informação
Segurança 
Cibernética
A palavra controle é empregada para descrever a
autoridade e gestão sobre algo específico,
envolvendo a supervisão e administração.
Controles de Segurança Cibernética são medidas
que ajudam a evitar, impedir, detectar, neutralizar ou
minimizar os riscos de Segurança da Informação,
cujo objetivo principal é proteger o CID –
Confidencialidade, Integridade e Disponibilidade das
informações.
Controles de segurança
Fonte: Adobe Stock
Podemos estabelecer 3 tipos de categorias de
controles:
• Operacional
• Técnica
• Física
Categorias de Controles
Fonte: Adobe Stock
São controles organizacionais que complementam e
suportam os controles técnicos. Exemplos: Política
de Segurança da Informação, programa de
conscientização e capacitação, controle de acesso
lógico, etc.
Categoria Operacional
Fonte: Adobe Stock
Tratam riscos a confidencialidade, integridade ou
disponibilidade de informações em formato
eletrônico. Exemplos: Firewall, IDS/IPS, DMZ,
antivírus, criptografia, atualização de patches, etc.
Categoria Técnica
Fonte: Adobe Stock
Previnem o acesso físico, não autorizado, danos e
interferências com as instalações e informações da
empresa. Exemplos: Controle de Acesso físico,
extintores de incêndio adequados para cada
ambiente, etc.
Categoria Física
Fonte: Adobe Stock
Os controles podem ter funções diferentes e
complementares dentro de um sistema integrado de
segurança cibernética, que podem ter funções de:
Dissuadir: refere-se à ideia de que a possibilidade
de ser descoberto, detido e sofrer eventual punição
dissuadirá as pessoas a cometer infrações e crimes
cibernéticos.
Funções dos Controles de Segurança Cibernética
Fonte: Adobe Stock
Dificultar: refere-se à ideia de tornar o acesso
cibernético tão difícil, a ponto do invasor desistir de
atacar o sistemaprotegido.
Detectar: refere-se à ideia de identificar e dar alarme
sobre uma tentativa de violação de segurança
cibernética.
Funções dos Controles de Segurança Cibernética
Fonte: Adobe Stock
Responder: refere-se aos procedimentos, meios e
condições de responder e conter a uma violação de
segurança cibernética, no menor tempo possível,
reduzindo seu impacto à organização.
Recuperar: envolve ações para recuperação da
normalidade na organização após a violação de
segurança cibernética e sua contenção.
Funções dos Controles de Segurança Cibernética
Fonte: Adobe Stock
Para as empresas que buscam destaque e confiança
em uma era digital, adotar controles de segurança
cibernética torna-se pré-requisito.
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais esses conceitos.
A seguir...
Fonte: Adobe Stock
5 controles primordiais
O Tribunal de Contas da União, com o intuito de
contribuir para a transformação digital do país,
conscientizando os gestores públicos de Segurança
Cibernética acerca dos riscos aos quais as
organizações estão sujeitas, criou uma cartilha
apontando 5 Controles de Segurança Cibernética,
com base no framework CIS Controls, que são
considerados fundamentais e de implantação
imediata nas organizações. Esta cartilha pode ser
consultada no site do TCU.
Controles Básicos
Fonte: Adobe Stock
https://portal.tcu.gov.br/data/files/4D/E3/DF/81/8C0848102DFE0FF7F18818A8/__5%20Controles%20de%20seguranAa%20cibernAtica%20para%20ontem_final_web.pdf
Cada organização deve moldar sua abordagem à
segurança, levando em consideração sua estrutura.
Os controles indicam caminhos que devem ser
seguidos, facilitando sua implantação e posterior
implementação.
Controles Básicos
Fonte: Adobe Stock
Os 5 controles destacados pelo TCU são:
• Inventário e controle de ativos corporativos
• Inventário e controle de ativos de software
• Gestão contínua de vulnerabilidades
• Conscientização sobre segurança e treinamento
• Gestão de Respostas a incidentes
Controles Básicos
Fonte: Adobe Stock
Inventário e controle de ativos corporativos:
identificar e impedir a utilização de ativos de TI não
autorizados como condutores de ataques
cibernéticos.
Inventário e controle de ativos de software:
identificar e impedir a utilização de softwares não
autorizados como condutores de ataques
cibernéticos.
Função dos Controles Básicos
Fonte: Adobe Stock
Gestão contínua de vulnerabilidades: evitar a
exploração de vulnerabilidades conhecidas nos
ativos corporativos de TI.
Conscientização sobre segurança e treinamento
de competências: reduzir a possibilidade de
incidentes e ataques derivados do comportamento
humano – engenharia social.
Função dos Controles Básicos
Fonte: Adobe Stock
Gestão de respostas a incidentes: melhorar a
capacidade de identificar potenciais ameaças e
ataques, evitando que se espalhem, colaborando
para a recuperação rápida de dados e sistemas
eventualmente corrompidos.
Função dos Controles Básicos
Fonte: Adobe Stock
As medidas de segurança são ações específicas que
as empresas devem realizar para implementar um
controle.
Conforme conversamos quando estudamos os
frameworks, O CIS prioriza as medidas de segurança
em três grupos de implementação: básicas (IG1),
intermediárias (IG2) e avançadas (IG3).
Medidas de Segurança Cibernética
Fonte: Adobe Stock
Esses 5 controles dizem respeito ao IG1, que são
aquelas medidas que todas as empresas devem
implementar para se proteger dos ataques mais
comuns.
Medidas de Segurança
Fonte: Adobe Stock
Para as empresas que buscam destaque e confiança
em uma era digital, adotar controles de segurança
cibernética torna-se pré-requisito.
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais sobre esses 5
controles básicos e fundamentais.
A seguir...
Fonte: Adobe Stock
Controle 1 – Inventário e Controle 
de Ativos Corporativos
Definição: Gerenciar todos os ativos corporativos de
TI (computadores portáteis e dispositivos móveis,
dispositivos de rede, servidores), conectados
fisicamente, virtualmente ou remotamente à
infraestrutura corporativa de TI, incluindo aqueles em
ambientes de nuvem (cloud computing).
Objetivo: Conhecer com precisão todos os ativos de
hardware da organização que precisam ser
monitorados e protegidos.
Controle 1 – Inventário e Controle de Ativos Corporativos
Fonte: Adobe Stock
Quando se conhece a estrutura dos ativos
corporativos fica mais fácil estabelecer as defesas.
Dessa forma, o controle dos ativos corporativos é
fundamental quando se trata de gestão de
vulnerabilidades, monitoramento de segurança,
processos de recuperação de incidentes e backups.
Por que esse controle é crítico?
Fonte: Adobe Stock
Uma organização também deve ter ciência de todos
os dados que são considerados essenciais ao seu
negócio, para se identificar os ativos corporativos
que mantêm ou gerenciam tais dados, aplicando-lhes
controles de segurança adequados.
Por que esse controle é crítico?
Fonte: Adobe Stock
• Estabelecer e manter inventário detalhado,
preciso e atualizado de ativos corporativos que
armazenam, transmitem ou processam dados.
• Escolher entre remover o ativo, impedí-lo de se
conectar à rede ou colocá-lo em quarentena
quando se identificar que se trata de um ativo não
autorizado ou mapeado.
Medidas de Segurança
Fonte: Adobe Stock
• No mínimo semanalmente deve-se atualizar o
inventário de ativos corporativos, para identificar
equipamentos não autorizados, evitando-se o uso
indevido desses equipamentos.
Boas práticas adicionais
Fonte: Adobe Stock
Controle 2 – Inventário e Controle 
de Ativos de Software
Definição: Acompanhar todo software, sistemas
operacionais e aplicativos utilizados, não permitindo
a instalação e execução nas máquinas de softwares
não autorizados.
Objetivo: Proteger todo sistema de segurança de
vulnerabilidades causadas por softwares não
homologados.
Controle 2 – Inventário e Controle de Ativos de Software
Fonte: Adobe Stock
Um inventário de software completo previne ataques
que, por muitas vezes, tem início a partir de
varreduras de rede que buscam vulnerabilidades de
softwares.
Essa vulnerabilidade, quando localizado num
servidor web, por exemplo, permite que o atacante
instale programa que possibilita o controle remoto da
máquina, o que caracteriza um ataque de phishing.
Por que esse controle é crítico?
Fonte: Adobe Stock
• Manter inventários dos softwares, com
informações precisas, detalhadas e atualizadas,
são necessários para realização das tarefas e
rotinas corporativas diárias.
• Assegurar que apenas software homologado e
avaliado pelo setor de T.I seja autorizado no
inventário de software.
Medidas de Segurança
Fonte: Adobe Stock
• Evitar exceções ao uso de software não
autorizado, porém, caso seja necessário,
documentar e testá-lo para que o setor de T.I
avalie a possibilidade de utilizá-lo.
• Implementar controles técnicos que permitam que
apenas aplicações específicas possam ser
executadas, acessadas ou carregadas em
processos do sistema.
Boas práticas adicionais
Fonte: Adobe Stock
Para as empresas que buscam destaque e confiança
em uma era digital, adotar controles de segurança
cibernética torna-se pré-requisito.
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais sobre esses 5
controles básicos e fundamentais.
A seguir...
Fonte: Adobe Stock
Controle 3 – Gestão Contínua de 
Vulnerabilidades
Definição: Desenvolver plano para avaliar,
acompanhar e corrigir continuamente
vulnerabilidades em todos os ativos na infraestrutura
de TI da organização, minimizando as oportunidades
para eventuais atacantes.
Controle 3 – Gestão Contínua de Vulnerabilidades
Fonte: Adobe Stock
Atacantes cibernéticos procuram constantemente por
vulnerabilidades que possam ser exploradas. Dessa
forma, os que trabalham com a defesa cibernética
devem ter acesso constanteàs informações sobre
ameaças corriqueiras e suas respectivas medidas de
mitigação, para que possam avaliar os ambientes de
suas organizações antes dos potenciais ataques.
Por que esse controle é crítico?
Fonte: Adobe Stock
No entanto, como também têm acesso às mesmas
informações que os defensores, os atacantes
conseguem, frequentemente, aproveitar essas
vulnerabilidades mais rapidamente do que as
organizações conseguem corrigi-las.
Por que esse controle é crítico?
Fonte: Adobe Stock
Dessa forma, a gestão de vulnerabilidades é
fundamental para manter uma organização segura
continuamente, pois ela corrige preventivamente as
falhas encontradas que podem desencadear
ataques.
Por que esse controle é crítico?
Fonte: Adobe Stock
• Estabelecer processos contínuos de avaliação e
monitoramento dos ativos de hardware e software,
par eliminar, mitigar ou corrigir vulnerabilidades e
aprimorar configurações, controles e técnicas de
defesa.
• Estabelecer processos contínuos de avaliação das
vulnerabilidades identificadas e dos riscos a elas
associados, priorizando a aplicação de medidas
mitigatórias, de modo a aumentar a efetividade
dos esforços de proteção.
Medidas de Segurança
Fonte: Adobe Stock
• Executar a gestão automatizada da aplicação de
programas criados para atualizar ou corrigir um
software, sanando erros de comportamento,
diminuindo as vulnerabilidades de segurança,
melhorando sua performance nos sistemas
operacionais dos seus ativos.
Medidas de Segurança
Fonte: Adobe Stock
• Necessário utilizar constantemente ferramentas
que permitam automatizar a realização de
varreduras completas de vulnerabilidades,
autenticadas e não autenticadas, realizando as
respectivas correções.
• Em algumas situações, pode ser inviável
desinstalar uma correção após sua instalação,
ocasionando um prejuízo ainda maior do que o
problema inicial e impactando a continuidade do
negócio.
Boas práticas adicionais
Fonte: Adobe Stock
Para as empresas que buscam destaque e confiança
em uma era digital, adotar controles de segurança
cibernética torna-se pré-requisito.
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais sobre esses 5
controles básicos e fundamentais.
A seguir...
Fonte: Adobe Stock
Controle 4 – Conscientização 
sobre Segurança e Treinamento
Definição: Estabelecer e manter programa contínuo
e permanente de conscientização e treinamento,
para que os colaboradores tenham conhecimentos
adequados em segurança (da informação e
cibernética) e, consequentemente, adotem
comportamentos e procedimentos que reduzam os
riscos para a organização, com o objetivo de se
estabelecer uma nova cultura cibernética na
organização.
Controle 4 – Conscientização sobre Segurança e Treinamento
Fonte: Adobe Stock
No tripé da Segurança da Informação, formado por
tecnologia, processos e pessoas, estas representam
o principal ponto de fragilidade, pois o atacate
consegue induzir facilmente um usuário a clicar num
link indevido, dando margem à invasões.
Por que esse controle é crítico?
Fonte: Adobe Stock
Ademais, os colaboradores, intencionalmente ou
não, podem causar incidentes de segurança por
meio de diversas outras ações, tais como o envio de
e-mail com dados sensíveis para destinatário errado,
a perda de equipamento portátil, a utilização de
senha fraca ou reutilização da mesma senha usada
para autenticação em outros sites e aplicativos.
Por que esse controle é crítico?
Fonte: Adobe Stock
Dessa forma, todos os programas corporativos de
segurança (da informação e cibernética), têm seu
desempenho determinado pelo fator humano, devido
a grau de conscientização e treinamento.
Mesmo fortalecendo ao máximo essa
conscientização é muito difícil estabelecer uma nova
cultura, portanto nenhum programa consegue reduzir
os riscos a níveis aceitáveis.
Por que esse controle é crítico?
Fonte: Adobe Stock
• Estabelecer um programa contínuo e permanente
de treinamento, mostrando aos colaboradores os
riscos e as ameaças aos quais os ativos e dados
da organização estão sujeitos e como agir para
evitá-los.
• Investir em treinamentos aos colaboradores para
reconhecer ataques de engenharia social.
Medidas de Segurança
Fonte: Adobe Stock
• Treinar os colaboradores em melhores práticas de
tratamento de dados, o que envolve identificar
dados sensíveis no contexto da organização e
saber como armazená-los, transferi-los, arquivá-
los e destruí-los adequadamente, de modo a
minimizar os riscos de vazamento.
• Treinar os colaboradores para evitar exposição
não intencional de dados, como, por exemplo, a
perda ou o extravio de dispositivos portáteis.
Medidas de Segurança
Fonte: Adobe Stock
• Treinar os colaboradores para reconhecer e
notificar incidentes de segurança de forma eficaz.
• Treinar os colaboradores sobre os perigos de se
conectar a redes inseguras e transmitir dados
corporativos por meio delas.
Medidas de Segurança
Fonte: Adobe Stock
• Os programas de conscientização e treinamento
devem explicar aos colaboradores as razões por
trás de cada questão de segurança abordada,
monstrando-lhes os objetivos da Segurança da
Informação e Cibernética e os potenciais impactos
dos diferentes comportamentos sobre a
organização.
Boas práticas adicionais
Fonte: Adobe Stock
• Testar os conhecimentos adquiridos pelos
colaboradores ao final da realização de qualquer
treinamento em segurança (da informação e
cibernética), que pode fazer parte de atividade
educacional de TI.
Boas práticas adicionais
Fonte: Adobe Stock
Para as empresas que buscam destaque e confiança
em uma era digital, adotar controles de segurança
cibernética torna-se pré-requisito.
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais sobre esses 5
controles básicos e fundamentais.
A seguir...
Fonte: Adobe Stock
Controle 5 – Gestão de Respostas 
a Incidentes
Definição: Estabelecer um programa para resposta
a incidentes e verificar sua eficácia através de testes
constantes, com o objetivo de melhorar e adequar
cada vez mais seu tempo de resposta, definindo
políticas, planos, procedimentos, definindo papéis e
treinamento.
Controle 5 – Gestão de Respostas a Incidentes
Fonte: Adobe Stock
Elaborar e manter plano de resposta é essencial
para que a organização esteja preparada caso
ocorra um incidente, identificando ameaças e
respondendo a elas antes que se espalhem e
causem maiores danos.
Por que esse controle é crítico?
Fonte: Adobe Stock
• Definir os papéis para que ocorra o gerenciamento
do processo de tratamento de incidentes de forma
eficiente, estabelecendo informações de contato
para reportar os incidentes, bem como relação
com as informações de contato de todas as partes
interessadas que precisam ser informadas sobre a
ocorrência.
Medidas de Segurança
Fonte: Adobe Stock
• Estabelecer processo para recebimento de
notificação de incidentes, definindo requisitos
mínimos para os procedimentos, os prazos e o
conteúdo das notificações de incidentes.
Medidas de Segurança
Fonte: Adobe Stock
• A equipe de resposta a incidentes deve ser
periodicamente treinada, com base em cenários
de ataque, ajustando para as ameaças e os
impactos potenciais enfrentados pela organização,
garantindo que toda a equipe esteja sempre
preparada para desempenhar suas funções no
processo de resposta.
Boas práticas adicionais
Fonte: Adobe Stock
• Identificando lacunas nos planos e processos de
resposta e dependências inesperadas, ajudando a
promover, assim, sua atualização constante.
• Incluir inteligência sobre ameaças no processo de
resposta a incidentes, tornando a equipe mais
proativa.
Boas práticas adicionais
Fonte: Adobe Stock
Apresentamos nos tópicos anteriores os 5 principais
controles que devem ser implementados, de acordo
com os estudos elaborados pelo Tribunal de Contas
da União.
São boas práticas que podem ser facilmente
adotadas na iniciativaprivada.
Na próxima aula iremos abordar as Políticas
adotadas em um Sistema de Gestão de Segurança
da Informação e Cibernética.
Conclusão
Fonte: Adobe Stock
Aula 04
Políticas
A palavra política está a nossa volta em todo
momento e em todos os lugares. Muitas vezes ela é
associada a protestos, manifestações, além de
atribuírem diversos significados pejorativos, para
dizer que algo é complicado para ser resolvido
porque tem muitas etapas, dentre inúmeros outros
significados.
O que é política?
Fonte: Adobe Stock
O termo política vem do grego polis (cidade-Estado)
servindo para designar, desde a antiguidade, o
campo a atividade humana que se refere à cidade,
ao Estado e às coisas de interesse público.
Definição do dicionário Oxford Languages:
1. arte ou ciência de governar.
2. arte ou ciência da organização, direção e
administração de nações ou Estados; ciência
política.
O que é política?
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Em uma empresa a palavra política tem relação com
padronização de regras, as chamadas políticas
corporativas que precisam ser seguidas em uma
empresa. Exemplo: Código de Conduta.
Determinam os propósitos e os objetivos de uma
organização, trilhando o caminho para que se
alcance esses objetivos.
O que é política?
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Políticas em Segurança
As políticas de segurança são regras corporativas
que determinam os limites da segurança física ou
lógica.
Para nossa área e estudo nos interessa tudo que se
refere à política de segurança lógica.
Políticas de segurança
Fonte: Adobe Stock
A segurança lógica é um conjunto de soluções de
hardwares e softwares especializados, com foco em
detecção, tratamento e mitigação de ameaças
digitais.
Ou seja, é um trabalho técnico e estratégico, com
foco em tornar o acesso aos dados organização mais
seguros, por meio do controle de tentativas de
entrada indevidas, para evitar o sequestro e perdas
de dados.
Conceito
Fonte: Adobe Stock
Reputação das empresas: Uma reputação
construída ao longo de muitos anos pode se perder
facilmente e em pouco tempo quando uma empresa
perde os dados de um cliente, por exemplo. Além
dela enfrentar outros problemas relacionados ao
compliance.
Importância da Segurança Lógica
Fonte: Adobe Stock
Sequestro de dados: Outro fator importante a ser
analisado é o fato de que os atacantes não
sequestram os dados simplesmente por fazê-lo. Eles
solicitam um resgate muito alto em moedas virtuais.
Mesmo que você pague, não há como ter certeza de
que eles irão devolvê-los.
Importância da Segurança Lógica
Fonte: Adobe Stock
A segurança lógica é fundamental para que a
estrutura organizacional da empresa se mantenha.
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais o assunto.
A seguir...
Fonte: Adobe Stock
PSI – Política de Segurança da 
Informação
Uma política de segurança da informação (PSI) ou
política de segurança das informações e
comunicações (PoSIC) tem por objetivo possibilitar o
gerenciamento da segurança de informação em uma
organização, estabelecendo regras e padrões para
proteção da informação.
PSI
Fonte: Adobe Stock
Também é um documento que estabelece e orienta
hierarquia no acesso aos dados, determina boas
práticas, informando o que deve ser evitado a fim de
garantir a segurança de informações sensíveis e
estratégicas.
A PSI também serve como um guia para que todos
saibam como atuar em caso de incidentes de
segurança, definindo procedimentos a serem
adotados.
PSI
Fonte: Adobe Stock
Alguns assuntos importantes que deve estar inserido
em uma Política de Segurança da Informação:
• Autenticação multifatorial e leitura biométrica
• Encriptação de dados
• IAM: Identity and Access Management
• Resposta a incidentes
• Análise comportamental
• Cuidado com a computação na nuvem
• Prevenção contra o ransomware
Conteúdo
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Este conteúdo em uma política é importante porque
trabalha com as fragilidades de senhas habituais e
apresenta outra forma de autenticação que pode ser
uma alternativa mais segura.
A leitura biométrica é o reconhecimento de
características físicas que somente um usuário pode
ter, como impressão digital ou íris dos olhos.
Autenticação multifatorial e leitura biométrica
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
É o processo de codificação de mensagem ou
arquivos. Esse processo gera um código que permite
que apenas aqueles que possuem as chaves
corretas tenham acesso àquelas informações.
A encriptação tem por objetivo proteger os dados
digitais durante o seu envio.
Encriptação de dados
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
IAM (Identity and Access Management) ou
Gerenciamento de Identidade de Acesso, é a prática
de garantir que pessoas e entidades com identidades
digitais tenham o nível certo de acesso aos recursos
da empresa, como redes e bancos de dados.
As funções do usuário e os privilégios de acesso são
definidos e gerenciados por meio de um sistema de
IAM.
IAM: Identity and Access Management
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Nesse tópico, iniciamos a abordagem de alguns
conteúdos importantes que fazem parte de uma PSI,
de acordo com a ISO 27.001.
No próximo tópico, vamos dar continuidade a esse
conteúdo.
A seguir...
Fonte: Adobe Stock
Resposta a Incidentes
O termo “resposta a incidentes” se refere ao
procedimento adotado por uma empresa para
responder a ameaças de TI, como ataques
cibernéticos, violações de segurança e períodos de
inatividade de servidores. De acordo com o
framework NIST CSF ela pode ser dividida num ciclo
de vida de 4 etapas:
• Preparação
• Identificação e Análise
• Contenção, erradicação e recuperação
• Atividade pós evento
Resposta a Incidentes
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Através desse monitoramento, qualquer
comportamento incomum do usuário é facilmente
identificado, podendo ser interrompido de forma
imediata qualquer tipo de ameaça.
Ainda, quando o usuário sabe que existe um
monitoramento de suas atividades já evita o acesso
indevido a determinadas páginas que podem trazer
falhas na segurança.
Análise comportamental
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
É o fornecimento de serviços de computação,
incluindo servidores, armazenamento, bancos de
dados, rede, software, análise e inteligência, pela
Internet (a nuvem) oferecendo inovações mais
rápidas, recursos flexíveis e economias.
A Computação em Nuvem traz excelentes benefícios
para as organizações, contudo também traza
necessidade de se tomar cuidados com a
segurança, utilizando ferramentas extras de
proteção.
Cuidados com a computação na nuvem
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Todos os dias vemos notícias sobre sequestro de
dados e a dificuldade que as empresas enfrentam
para tratar esse incidente quando acontece.
Nesse tipo de ataque os dados da empresa são
sequestrados e criptografados, impedindo a empresa
de visualizá-los.
Então, e é exigido um pagamento para liberação
desses dados.
Prevenção contra o ransomware
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Não há qualquer garantia de que esses dados serão
devolvidos após o pagamento.
Caso a empresa não tenha uma boa infraestrutura
de backup para garantir a recuperação desses dados
ela fica totalmente nas mãos desses atacantes.
Considerando a quantidade de ataques realizados
nos últimos tempos, é fundamental que uma
organização aborde em sua política estratégias de
prevenção.
Prevenção contra o ransomware
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
A PSI tem por objetivo principal estabelecer formas
de garantir os Pilares da Segurança da Informação,
Confidencialidade, Integridade e Disponibilidade.
Para tanto, deve estabelecer todas as regras tendo a
proteção dos pilares como objetivo final.
Garantir o CID
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
A plataforma .gov (www.gov.br) oferece diversos
modelos de políticas. Entre no site e busque por
Guias e Modelos.
Garantir o CID
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
https://www.gov.br/governodigital/pt-br/privacidade_e_seguranca/guias-e-modelos-antigo
Nesse tópico, abordamos algumas informações
básicas que devem estar presentes em uma PSI
No próximo tópico, verificaremos como se faz uma
Política de Segurança da Informação.
A seguir...
Fonte: Adobe Stock
Como elaborar uma PSI – parte 1
Uma PSI (Política de Segurança da Informação)
pode ser estabelecida em 8 passos:
• Definir quem serão os principais responsáveis
pela PSI.
• Fazer um diagnóstico de segurança da
informação.
• Categorizar os tipos de informações.
• Estabelecer os níveis de acesso às informações.
• Detalhar os recursos tecnológicos utilizados na
proteção de dados.
Elaboração de PSI
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
• Apontar as consequências para quem violar as
diretrizes da PSI.
• Comunicar a política de segurança da informação
para toda a empresa.
• Monitorar e atualizar a PSI.
Veremos separadamente cada um deles.
Elaboração de PSI
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Para a elaboração de uma política eficaz, é
importante organizar um comitê multidisciplinar
responsável pela criação de diretrizes,
implementação e acompanhamento da PSI.
Deverá ser definido um grupo de responsáveis por
definir essas diretrizes e garantir que elas estejam
sendo seguidas.
Definição dos Responsáveis
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Nessa etapa é importante levantar os ativos de
informação da empresa e avaliar a maturidade da
segurança desses ativos.
A partir desse diagnóstico, será mais fácil para os
seus profissionais de TI identificarem os pontos que
precisam ser melhorados, trazendo principalmente
uma ordem de prioridade.
Fazer um diagnóstico de segurança da informação
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Nesta etapa de elaboração da PSI, é necessário
categorizar os tipos de informações que a
organização deve buscar proteger e classificá-las
como:
• Públicas
• Internas
• Confidenciais
• Restritas
Categorizar os tipos de informações
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Dessa forma, fica mais fácil definir medidas eficazes,
considerando as especificidades de cada tipo de
informação e os riscos inerentes a elas.
Categorizar os tipos de informações
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Depois de categorizar as informações da empresa,
deve-se definir quem poderá acessá-las, levando em
consideração os tipos e a natureza dessas
informações.
Ao estabelecer os níveis de acesso, deve-se deixar
claro quem, como e quando determinados dados
podem ser acessados. Pode ter casos em que o
colaborador terá acesso único para uma informação,
enquanto outros terão acessos a todos os níveis.
Estabelecer os níveis de acesso às informações
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Nesse tópico, abordamos alguns pontos para se
elaborar uma PSI.
No próximo tópico continuaremos a conhecer esse
processo.
A seguir...
Fonte: Adobe Stock
Como elaborar uma PSI – parte 2
É importante detalhar as ferramentas que serão
utilizadas para que os colaboradores possam fazer o
uso correto delas.
E para cada ferramenta determinar as regras de uso
e acesso, informando que será mantido um registro
de logs de todo e qualquer uso que for feito em cada
ferramenta.
Esta prática tem se mostrado bastante eficaz no
controle do uso dos recursos.
Detalhe os recursos tecnológicos utilizados na proteção de dados
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Aponte as consequências para quem violar as
diretrizes da PSI.
Nesse caso, além de iniciar o treinamento com todos
os colaboradores, é importante apresentar a eles as
consequências que erros humanos e tecnológicos
causam para a empresa quando os dados são
trabalhados de maneira pouco segura.
Consequências para quem violar as diretrizes da PSI
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Após as revisões e análises da PSI, é essencial
obter a aprovação do corpo gestor da organização e
da equipe de segurança envolvida no processo.
Importante destacar,também que, para que uma PSI
seja útil, ela deve atender os objetivos da segurança
da informação e ser aplicável.
Aprove a Política
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Além da comunicação, é importante ter um
treinamento cíclico na empresa e que esse
treinamento seja repetido a cada alteração de
política.
Comunique a PSI
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Mantendo-se um treinamento sempre atualizado
garante-se que todo colaborador que entre na
empresa tenha o treinamento adequado para
desempenhar sua função.
Treine a PSI
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Acompanhe a implementação da política de
segurança da informação de modo a garantir que os
colaboradores sigam as diretrizes estabelecidas.
O documento deve ser revisado periodicamente a fim
de fazer as atualizações necessárias, conforme
novas necessidades forem surgindo.
Monitore e atualize a PSI
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Para monitorar esse e outros processos, o ideal é
contar com a ajuda da tecnologia, por meio de um
software especializado, desenvolvido para a gestão
de performance de procedimentos operacionais.
Monitore e atualize a PSI
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Nos tópicos anteriores, abordamos alguns pontos
relevantes para se elaborar uma PSI.
No próximo tópico continuaremos esse assunto.
A seguir...
Fonte: Adobe Stock
Políticas de Segurança Cibernética
A Política de Segurança Cibernética visa prover a
metodologia necessária para instituir processos e
controles para prevenir e reduzir as vulnerabilidades
e atender aos demais objetivos relacionados à
Segurança Cibernética.
Na prática, sua função não é muito diferente daquilo
que já foi explicado sobre PSI, contudo, para
algumas empresas que precisam seguir a Resolução
4893/21 do Bacen, existe diferença.
Política de Segurança Cibernética
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Art. 1º Esta Resolução dispõe sobre a política de
segurança cibernética e sobre os requisitos para a
contratação de serviços de processamento e
armazenamento de dados e de computação em
nuvem a serem observados pelas instituições
autorizadas a funcionar pelo Banco Central do Brasil.
Resolução 4893/21 Bacen
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Para as organizações que seguem a Resolução
4893/21 não basta ter somente a Política de
Segurança da Informação, é necessário também ter
uma Política de Segurança Cibernética, abordando
as principais diretrizes de Segurança Cibernética
determinadas no Capítulo II da Resolução.
Para verificar uma PSC pública, verifique no site do
Banco Central do Brasil.
Resolução 4893/21 Bacen
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=Resolu%C3%A7%C3%A3o%20CMN&numero=4893
https://www.bcb.gov.br/estabilidadefinanceira/exibenormativo?tipo=RESOLU%C3%87%C3%83O&numero=4658
Normalmente as organizações possuem uma PSI
abordando os assuntos principais e, quando
entendem ser necessário, políticas individuais como:
• Política de Gestão de Acesso.
• Política de Uso da Internet.
• Política de Backup.
• Política de Uso de Dispositivos Móveis.
• Política de Gestão de Terceiros, etc.
Demais políticas que envolvem segurança
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
As políticas corporativas gerais documentam ações,
comportamentos e procedimentos que precisam ser
seguidos dentro de uma empresa como um todo.
Refletem propósitos e objetivos de uma organização,
estabelecendo o que deve ser feito para alcança-los.
Políticas corporativas gerais
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
As políticas orientam as ações que ocorrem dentro
da empresa e impactam os colaboradores e gestores
(políticas internas).
Também se aplicam à forma como a organização se
porta em relação ao público externo (políticas
externas).
Políticas corporativas gerais
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Além de políticas corporativas abrangerem o aspecto
macro de uma empresa, também existe uma
variedade de recomendações e normas que norteiam
o trabalho diário e o funcionamento de uma
organização.
Entre as políticas que servem para unificar os
procedimentos dentro de uma empresa, estão:
Políticas corporativas gerais
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
• Políticas de Recursos Humanos, que envolvem
processos de seleção, remuneração, saúde,
previdência e treinamento de colaboradores.
• Políticas de Vendas, que tratam do processo
comercial e do relacionamento com o cliente.
• Políticas de Produção, que regulam o processo
produtivo e de qualidade.
• Políticas Ambientais, que abordam o impacto da
empresa no ambiente e questões de
sustentabilidade.
Políticas corporativas gerais
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Nos tópicos anteriores, abordamos as políticas que
regem uma organização, focando especificamente
na PSI.
Na próxima aula, iniciaremos um novo assunto,
abordando a Lei Geral de Proteção de Dados.
Conclusão
Fonte: Adobe Stock
Aula 05
LGPD
Vivemos um mundo virtual, isso é um fato.
Conversamos com pessoas, trabalhamos, fazemos
consultas médicas, jogamos, fazemos compras,
abrimos contas em bancos, tudo de forma virtual,
dentre inúmeras outras atividades.
Tudo que fazemos na internet deixa rastros que
interessam a terceiros. Seja um carrinho de compra
virtual que não finalizamos ao tipo de pesquisas que
realizamos livremente.
O mundo virtual
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Todos nossos interesses são numericamente
catalogadose utilizados por Machine Learning.
A quantidade de informações que produzimos
diariamente geram valores imensuráveis para muitas
instituições.
Vocês já pararam para pensar na quantidade de
contratos que vocês assinam diariamente?
Relações contratuais
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Quando baixamos apps clicamos em ícones dando
permissões de acesso a nossos dados.
Também é fato que, na grande maioria das vezes,
não paramos para ler o que estamos consentindo.
Já imaginaram ter suas atividades diárias divulgadas
para todas as pessoas, considerando os lugares que
vocês frequentam, a comida que pedem, a bebida
que tomam, aquilo que se comenta nos bastidores?
Consentimento
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Já imaginaram ter sua imagem vinculada a uma rede
social criminosa?
Tudo isso e muito mais pode acontecer quando não
se protege a privacidade e os dados pessoais.
Toda vez que concordamos com termos e políticas
damos o nosso consentimento para que aquele
aplicativo ou site faça o que quiser com nossos
dados, não só o que livremente fornecemos, mas ao
histórico que é gerado por nós.
Consentimento
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Quanto vale sua privacidade? Quanto vale seu
histórico de navegação? Quanto vale os endereços
dos locais que vocês frequentam? Quanto vale seus
dados pessoais?
Esses são valores intrínsecos e extrínsecos que toda
legislação de proteção de dados mundial tenta
preservar.
Valor da informação
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Dados processados geram valor econômico e hoje
esse valor tem sido bem alto.
A internet nos da a falsa sensação de privacidade,
mas, a partir do momento que estamos em rede não
estamos sozinhos.
Trancamos a porta de casa para impedir que
pessoas indesejáveis tenham acesso a nossas
casas, mas postamos fotos íntimas nas redes sociais
e a deixamos abertas para qualquer pessoa ver.
Privacidade
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Damos autorização para sites e aplicativos
escanearem nossas imagens para verificarmos como
ficaremos quando estivermos mais velhos.
E se nessa autorização estiver disposto que nossa
imagem poderá ser utilizada para criação da
inteligência artificial?
Hoje temos aplicativos de inteligência artificial que
manipula nossas fotos e as colocam em contextos
diversos do que imaginamos.
Contextualização dos dados
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Autorizamos e aceitamos tudo que aparece para
podermos utilizar um aplicativo ou um site.
Todos esses aceites são contratos. Quem protege
nossos dados nessas relações contratuais virtuais?
Quem nos protege da exposição indevida de nossos
dados pessoais quando nós mesmos não damos a
devida importância para sua proteção?
Quem protege nossos dados nas relações virtuais?
Fonte: Adobe Stock
Em cenários caóticos e perigosos o Direito precisa
intervir.
Essa intervenção acontece por meio de promulgação
de leis e regulamentos que ajudam a estabelecer a
ordem das coisas.
Assim surgiram as legislações mundiais sobre
proteção de dados. Para garantir a inviolabilidade de
nossa privacidade, não só no mundo físico, mas
também no digital.
A lei e a ordem
Fonte: Adobe Stock
Quando a ordem escapa do controle é o Direito que
a traz de volta.
É com essa força que recepcionamos a Lei Geral de
Proteção de Dados.
Assunto que estudaremos a partir da próxima aula.
A seguir...
Fonte: Adobe Stock
Fundamentos da Lei Geral de 
Proteção de Dados
O Direito à Privacidade, que faz parte do rol de
direitos fundamentais sociais, ganhou novas
perspectivas na Era Digital.
Para não perder negócios, os países que ainda não
tinham essa legislação específica, se viram
obrigados a legislar, adaptando-se, principalmente,
mas não só, à Legislação Europeia (GDPR).
Introdução
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Iniciou com a Convenção 108/1980, que viabilizou a
harmonia da legislação de proteção de dados,
através da Diretiva 95/46/CE, que concedeu ao
cidadão o direito de controlar suas informações
pessoais e obrigou sites de pesquisa a remover
dados pessoais impróprios.
Posteriormente surgiu a Diretiva 2002/58/CE, que
regulamentou proteção de dados nos serviços de
comunicação eletrônica.
Proteção de dados na Europa
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
O General Data Protection Regulation (GDPR),
publicado em 14 de abril de 2016 e implementado
em 25 de maio de 2018, revogou a Diretiva
95/46/CE.
O objetivo do GDPR foi harmonizar as leis de
proteção de dados pessoais por toda a Europa, com
o intuito de proteger a privacidade de todos os
cidadãos, reorganizando a maneira como
organizações lidam com dados privado.
Proteção de dados na Europa
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Em agosto de 2018 foi aprovada a Lei nº 13.709/18
que entrou em vigor em setembro de 2020.
Posteriormente, em julho de 2019, foi instituída a
Autoridade Nacional de Proteção de Dados.
Em fevereiro de 2023 foi criada a dosimetria das
penalidades e em agosto aplicada a primeira multa.
Lei Geral de Proteção de Dados
Fonte: Adobe Stock
Trata-se de uma Legislação jovem que ainda
passará por bastante mudanças.
Seu contexto histórico vem da necessidade do Brasil
se adequar às legislações internacionais que
passaram a cuidar dos dados pessoais no âmbito
dos Direitos Humanos.
Lei Geral de Proteção de Dados
Fonte: Adobe Stock
A LGPD é uma norma que regulamenta a utilização
da dados pessoais, não a proíbe.
Com a lei, toda atividade que envolve dados
pessoais tem regras e diretrizes claras e objetivas,
devendo estar alinhada com os tratamentos
determinados pela lei, o que traz segurança para os
titulares dos dados.
Importante destacar que a LGPD protege os dados
das pessoas físicas e não jurídicas.
Lei Geral de Proteção de Dados
Fonte: Adobe Stock
A LGPD trouxe uma nova perspectiva de negócio
para o mercado internacional ao se adequar aos
padrões necessários.
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais o assunto.
A seguir...
Fonte: Adobe Stock
Conteúdo e Definições da LGPD
Antes de adentrarmos aos pormenores da Lei é
importante destacar a diferença entre dados
pessoais simples e dados sensíveis, nos termos do
art. 5º, I e II:
I - dado pessoal: informação relacionada a pessoa
natural identificada ou identificável;
Dado pessoal e sensível
Segurança daInformação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
II - dado pessoal sensível: dado pessoal sobre
origem racial ou étnica, convicção religiosa, opinião
política, filiação a sindicato ou a organização de
caráter religioso, filosófico ou político, dado referente
à saúde ou à vida sexual, dado genético ou
biométrico, quando vinculado a uma pessoa natural;
Essa definição é fundamental porque a LGPD dará
cuidado especial ao dado pessoal de natureza
sensível.
Dado pessoal e sensível
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
O art. 6º da norma traz em seus incisos os princípios
que devem ser observados no tratamento de dados
pessoais. São eles:
Princípios que norteiam as atividades de tratamento
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
I. Finalidade VI. Transparência 
II. Adequação VII. Segurança 
III. Necessidade VIII. Prevenção
IV. Livre acesso IX. Não discriminação
V. Qualidade dos dados X. Responsabilização e 
prestação de contas
Fonte: Adobe Stock
Conforme dissemos anteriormente a LGPD não
proíbe o tratamento de dados pessoais, ela somente
determina como eles devem ser tratados.
Ela traz nos incisos do art. 7º as hipóteses de
tratamento de dados num rol taxativo, ou seja, fora
dessas hipóteses, os dados pessoais não poderão
ser tratados.
Bases legais de tratamento de dados pessoais
Fonte: Adobe Stock
As 10 bases legais da LGPD são:
Bases legais de tratamento de dados pessoais
Fonte: Adobe Stock
I. Consentimento do titular VI. Execução ou preparação 
contratual
II. Legítimo interesse VII. Exercício regular de 
direitos
III. Cumprimento de 
obrigação legal ou 
regulatória
VIII. Proteção da vida e da 
incolumidade física
IV. Tratamento pela 
administração pública
IX. Tutela de saúde do 
titular
V. Realização de estudos e 
de pesquisa
X. Proteção de crédito
A forma de tratamento de dados determinada pela
LGPD não pode ser distinta das bases legais que
mencionamos.
Esses incisos é o que chamamos no Direito de rol
taxativo.
Lei Geral de Proteção de Dados
Fonte: Adobe Stock
Nesse tópico, iniciamos a abordagem dos artigos da
LGPD.
No próximo tópico, falaremos sobre os Direito dos
Titulares.
A seguir...
Fonte: Adobe Stock
Direito do Titulares
Um dos capítulos mais importantes que a LGPD traz
é o terceiro que trata dos Direitos dos Titulares.
Assim dispõem o art. 18:
Art. 18. O titular dos dados pessoais tem direito a
obter do controlador, em relação aos dados do titular
por ele tratados, a qualquer momento e mediante
requisição:
I - confirmação da existência de tratamento
Direito dos Titulares
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
II - acesso aos dados
III - correção de dados incompletos, inexatos ou
desatualizados
IV - anonimização, bloqueio ou eliminação de dados
desnecessários, excessivos ou tratados em
desconformidade com o disposto na LGPD
Direito dos Titulares
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
V - portabilidade dos dados a outro fornecedor de
serviço ou produto, mediante requisição expressa, de
acordo com a regulamentação da autoridade
nacional, observados os segredos comercial e
industrial
VI - eliminação dos dados pessoais tratados com o
consentimento do titular, exceto nas hipóteses
previstas no art. 16 da LGPD
Direito dos Titulares
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
VII - informação das entidades públicas e privadas
com as quais o controlador realizou uso
compartilhado de dados
VIII - informação sobre a possibilidade de não
fornecer consentimento e sobre as consequências da
negativa
IX - revogação do consentimento, nos termos do § 5º
do art. 8º da LGPD
Direito dos Titulares
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Os direitos dos titulares deverão ser atendidos
mediante requisição.
Na plataforma gov.br é possível preencher uma
requisição de acesso aos dados pessoais tratados.
Direito dos Titulares
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
https://www.gov.br/
https://www.gov.br/mds/pt-br/acesso-a-informacao/lgpd/direitos-do-titular
Apesar dos direitos dos titulares de dados estarem
bem discriminados na LGPD, há inúmeros pontos da
lei que precisam ser regulamentados pela ANPD, o
que dificulta um plano de resposta das empresas às
solicitações dos titulares de dados.
Enquanto a regulamentação desses pontos não
ocorre, as empresas devem seguir o caminho mais
seguro de adequação à lei, contando,
preferencialmente, com a ajuda de uma equipe
especializada em proteção de dados.
Adequações à LGPD
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
O dever do titular é o de manter seus dados
atualizados e informar qualquer modificação
No próximo tópico daremos continuidade a esse
tema, explorando um pouco mais o assunto.
Conclusão
Fonte: Adobe Stock
LGPD e Vazamento de Dados
Um ponto importante para destacarmos é sobre o
vazamento de dados e como a LGPD trabalha com
esse tipo de incidente.
Então, inicialmente, o que se entende por Vazamento
de Dados?
É o ato pelo qual os dados confidenciais de uma
pessoa ou de uma organização são indevidamente
acessados, coletados e divulgados na internet ou
repassados a terceiros.
Vazamento de Dados
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Normalmente o vazamento ocorre por:
• Códigos maliciosos que exploram vulnerabilidades
em sistemas
• Acesso às contas dos usuários por meio de
senhas fracas ou vazadas
• Ação de funcionários ou ex-funcionários que
furtam informações dos sistemas da empresa e
repassam para terceiros
• Roubo de equipamentos que contenham dados
sigilosos
Como ocorre o vazamento de dados? 
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Segurança da 
Informação
Segurança 
Cibernética
Fonte: Adobe Stock
Considerando as definições da LGPD, um incidente
de segurança é um acontecimento indesejado ou
inesperado, hábil a comprometer a segurança dos
dados pessoais, de modo a expô-los a acessos não
autorizados e a situações acidentais ou ilícitas de
destruição, perda, alteração, comunicação ou
qualquer forma de tratamento inadequado ou ilícito.
Qual é a diferença entre vazamento de dados e incidente de 
segurança?
Segurança da 
Informação
Segurança
Cibernética
Segurança da 
Informação