Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique (Ciência e Engenharia da Informação e Inteligência
Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) en
Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializado
em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – Universidad
Pontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha;
Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP,
Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – Universidade
Mackenzie; Certificado em Gestão de Riscos: Certificácion Internacional de Gestión de Riesgos – CIGR pela CEAS Espanha - Certification in Risk
Management Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial – CES
pela ABSO. Autor dos livros: Inteligência em Riscos: gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018
“Mundo VICA – Volátil, Incerto, Complexo, Ambíguo. Estamos Preparados?”; “Inteligência em Riscos: Gestão Integrada em Riscos Corporativos”;
“Gestão de Risco de Fraudes, Fraud Risk Assessment – FRA”; “Gestão de Continuidade de Negócios – GCN”; “Guia Prático para a Gestão de
Continuidade de Negócios”; “Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro”; “Gestão e Análise de
Riscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; "Análise de Risco Corporativo – Método Brasiliano"; “Manual de
Análise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes
Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Coautor dos
Livros: “Dicionário de Crime, Justiça e Sociedade” - lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único
brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos" -
Noções Antissequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da
USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos; Atual Coordenador
Técnico e Professor do MBA - Gestão de Riscos Corporativos – EAD da FBT e do MBA GRC Presencial e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de
Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo –
FESP; Membro do Institute of Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de
Segurança Orgânica – ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 30 anos de
experiência em Gestão de Riscos; Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa.
Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão (convidado pela Organização Pan-Americana de Saúde-OPAS, como expert em Planos de
Contingência, na Conferência Mundial de Redução de Desastres, Yokohama). Experiência internacional em consultoria GRC em Portugal, Cabo Verde, Angola,
Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004
– Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.
3. Contexto do Ambiente – 4ª Revolução Industrial
V Volatidade
Visão
Velocidade
u Incerteza Entendimento
Não ortodoxia – Não Dogmatizar
C Complexidade Colaboração
Co-Criação
Entender a conectividade
Interdependência
A Ambiguidade Agilidade
Abundância
• Internet
• Pessoas
• Organizações
• Dispositivos de tecnologia – atividades
• Redes que conectam.
A Segurança Cibernética é
fundamental, estratégica para a
Proteção de Infraestrutura
Crítica de Informação – CIIP.
Infraestruturas Críticas
4. Espaço Cibernético
1. Segurança da Informação
Proteção da confidencialidade, integridade, disponibilidade da
informação
2. Segurança de Aplicativos
Processo para aplicar controles e medições em aplicações de uma
organização a fim de gerir o RISCO de usar.
3. Segurança de Rede
Concepção, implementação e operação de redes, visando alcançar
os objetivos de segurança da informação em redes dentro da
empresa, entre empresas e entre empresas e usuários.
4. Segurança da Internet
Proteger serviços relacionados à Internet e sistemas
relacionados a TIC e redes como uma extensão de
segurança de rede em organizações e nas residências.
Crime Segurança
Cibernético Cibernética
Segurança da Informação
Segurança de Aplicativo
Segurança
Cibernética
Segurança
Segurança
da
de Rede
Internet
Proteção da Infraestrutura
Crítica de Informação
Impõe
Para reduzir
Controles
Pode ser
reduzido por
Pode possuir Relações de Segurança
Vulnerabilidades
Fragilidades - Causas
Podem estar cientes de Probabilidades
Levam a E
Impactos
Agentes de
ameaça Risco
Para
Que aumenta
Ameaças
Para
Ativos
CONTEXTO
AMEAÇAS CIBERNÉTICAS
®Brasiliano INTERISK – O valor da Inteligência
5. Nível de Fragilidade
• Hackers invadiram o sistema de compra, bloqueio e
extrato do "Cartão Presente" da C&A.
A LGPD também se aplica a empresas que não está estabelecida no Brasil, mas
possuem operação e tratamento de dados em território nacional!
A LGPD visa:
1.Finalidade
Os dados coletados só podem ser tratados para fins legítimos e especificados aos
titulares. Ou seja: as empresas não podem coletar informações e, depois, usá-las
para outros fins.
2.Adequação
O tratamento dos dados deve estar adequado com a finalidade que foi informada
para o usuário.
3.Necessidade
Os dados devem ter seu uso limitado ao necessário para realização das suas
finalidades. Isso inclui ter apenas dados pertinentes, proporcionais e que não
excedam as finalidades do tratamento. Isto é, as empresas devem coletar apenas
aquelas informações estritamente necessárias para prestação dos seus serviços.
6. Lei Geral de Proteção de Dados Pessoais - LGPD
Lei Número 13.709 de 14 de agosto de 2018
4.Livre acesso
Os titulares dos dados devem sempre ter acesso fácil e gratuito às suas
informações, serem informados sobre como esses dados estão sendo usados e por
quanto tempo eles serão tratados.
6.Transparência
O objetivo desse princípio é garantir aos usuários informações claras e de fácil
acesso sobre o tratamento dos seus dados e sobre quem são os responsáveis por
tratá-los.
6. Lei Geral de Proteção de Dados Pessoais - LGPD
Lei Número 13.709 de 14 de agosto de 2018
7.Segurança
Define que as empresas que tratam de dados devem adotar medidas para proteger essas informações
de acessos não autorizados, de eventos acidentais ou ilícitos de destruição, alteração, perda,
comunicação ou difusão.
8.Prevenção
As empresas que tratam de dados devem adotar medidas para prevenir a ocorrência de danos no
tratamento dessas informações.
9.Não discriminação
De acordo com esse princípio, os dados não podem ser utilizados para fins discriminatórios, ilícitos ou
abusivos.
10. Responsabilização
Este princípio fala que as empresas têm que se responsabilizar pelos dados e, para isso, têm o dever
de mostrar quem são os parceiros responsáveis pelo tratamento dessas informações, bem como
devem determinar um encarregado pela tarefa, informando o usuário sobre quem é esta pessoa
responsável.
6. Lei Geral de Proteção de Dados Pessoais - LGPD
Lei Número 13.709 de 14 de agosto de 2018
- Conduta de coleta
- Armazenamento
- Segurança
Tecnologia
Processos Pessoas
Para ser eficaz a segurança dos dados precisará da integração deste três componentes.
Cultura apropriada e “tom no topo” são chave, mas a consciência precisa ser conduzida ao
longo de toda a organização, já que as violações podem ocorrer em qualquer nível e
qualquer parte das operações da organização.
Como não há "tamanho único" de solução, a função responsável por esta avaliação pode
variam entre as organizações.
O Presidente Michel Temer vetou, pelo menos por enquanto, a criação do órgão
regulador:
Segundo especialistas é fundamental possuir este órgão para que a lei funcione
efetivamente, criando novas oportunidades econômicas.
Com a LGPD, as principais mudanças serão referentes à coleta e uso de dados das pessoas, assim
como a segurança destes.
A Lei é clara ao afirmar que as empresas só poderão coletar e utilizar informações pessoais com o
consentimento do titular.
Além de informações como nome, sobrenome, e-mail, endereço e dados bancários, a nova prática
também exigirá autorização para dados como número de IP, localização e registros de navegação
coletados via cookies.
6. Lei Geral de Proteção de Dados Pessoais - LGPD
Lei Número 13.709 de 14 de agosto de 2018
O texto também proíbe o tratamento dos dados pessoais para a prática de discriminação ilícita ou
abusiva.
VETOS
Além do veto à criação da ANPD, o governo também vetou na lei a criação do Conselho Nacional
de Proteção de Dados Pessoais e da Privacidade, que seria encarregado por “propor diretrizes
estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados
Pessoais e da Privacidade e para a atuação da ANPD.
Ainda na lista de vetos, o governo eliminou do texto possibilidade de suspensão parcial ou total do
funcionamento de banco de dados que violar os termos da lei por até seis meses prorrogáveis por
igual período.
Dados Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
6. Lei Geral de Proteção de Dados Pessoais - LGPD
Lei Número 13.709 de 14 de agosto de 2018
A LGPD prevê sanções como multas de até 2% do faturamento da empresa envolvida até um
limite de R$50 milhões.
Dependendo do setor em que atua, a adequação a esta nova realidade pode ser um importante
diferencial competitivo no mercado.
6. Lei Geral de Proteção de Dados Pessoais - LGPD
Lei Número 13.709 de 14 de agosto de 2018
PREVENÇÃO
Após essa etapa, é possível definir as políticas necessárias como o uso, a divulgação, a retenção e a destruição
das informações, capazes de garantir que a segurança seja preservada em todo o ciclo de vida dos dados.
Após essa definição, outro benefício que podemos destacar é a forma como os colaboradores interagem com
essas informações – eles passam a ter acesso somente aos dados específicos e necessários para realizar seus
trabalhos.
Dados obsoletos e não utilizados podem ser arquivados ou removidos, o que torna sua equipe mais produtiva e
garante que as informações dos seus clientes fiquem seguras.
6. Lei Geral de Proteção de Dados Pessoais - LGPD
Lei Número 13.709 de 14 de agosto de 2018
PREVENÇÃO
Grande parte das fraudes surgem a partir de um pequeno erro humano, seja ele
acidental ou deliberado.
PREVENÇÃO
Apetite ao Risco
Apetite ao Risco
Esta sub fase é estratégica, pois classifica as informações e dados para que a
organização possa priorizar em quais informações e dados deve propor maior nível de segurança.
- RELEVÂNCIA DO CONTEÚDO: Tem haver com níveis de acesso para divulgação e manipulação.
A classificação dos dados e informações é focado em seus objetivos estratégicos e na
estratégia, tendo três níveis de classificação: estratégico, tático e operacional.
Relevância do Impacto
Relevância do Conteúdo
Classificação do Conteúdo
Classificação do Impacto
Causas
Controles Lógicos nos Dados e Recursos Humanos:
Acessos e Penetração: Informações:
Sensibilização
Sistemas Preventivos Atratividade
Conscientização
Sistemas Detectivos Relevância
Classificação
Maturidade Efeito
Controle
Risco
Cibernético
Probabilidade Impacto
Avaliação de riscos
FR da Segurança/Controle = RH + DI + CL+ CF + R + A
6
Nota dada por Macro Fator a Macro Fator, levando-se em consideração
a motricidade dos fatores de riscos – nota da SWOT
®Brasiliano INTERISK – O valor da Inteligência
4. Avaliação dos Riscos Cibernéticos – Inerentes
Riscos
Cibernéticos
Relevantes
Intrusão nos sistemas da empresa de software malicioso, que ficou retirando e monitorando
informações por mais de 20 dias, sem ser detectado. Após o vigésimo dia sequestrou parte dos
dados de clientes da empresa dos servidores, incluindo backup, destruiu o restante e desfigurou o
site com pichação politica partidária. No vigésimo quinto dia solicitou resgate na ordem de R$ 30,5
milhões de reais para devolver as informações dos clientes e não divulga-las nas mídias sociais.
®Brasiliano INTERISK – O valor da Inteligência
6. Análise e Avaliação dos Cenários de “Riscos” Cibernéticos - Residuais
Intrusão nos sistemas da empresa de software malicioso, que ficou retirando e monitorando
informações por mais de 20 dias, sem ser detectado. Após o vigésimo dia sequestrou parte dos
dados de clientes da empresa dos servidores, incluindo backup, destruiu o restante e desfigurou o
site com pichação politica partidária. No vigésimo quinto dia solicitou resgate na ordem de R$ 30,5
milhões de reais para devolver as informações dos clientes e não divulga-las nas mídias sociais.
Probabilidade Impacto
Avaliação de riscos
5 W2H
5) Registro e relato
®Brasiliano INTERISK – O valor da Inteligência
8. Monitoramento e
Indicadores – Ambiente
Externo
email: abrasiliano@brasiliano.com.br
Telefone: 11 983507758
11 55316171