1536245144LGPD Webinar 05092018 Brasiliano

LGPD – LEI 13.
709 DE 14 DE AGOSTO DE 2018

1. O QUE MUDA NAS EMPRESAS E NOS CONSUMIDORES?
2. GARANTE MAIS CONTROLE, PARA NÓS CIDADÃOS, SOBRE NOSSAS
INFORMAÇÕES PESSOAIS?
3. DE FATO AS EMPRESAS TERÃO QUE POSSUIR AUTORIZAÇÃO EXPLÍCITA, DOS
PROPRIETÁRIOS, PARA COLETA E USO DOS DADOS?
São Paulo, 05 de setembro de 2018

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES,DEA, DSE, MBS
Presidente da Brasiliano INTERISK
®Brasiliano INTERISK – O valor da Inteligência
1. Objetivos do Webinar Riscos Cibernéticos
Os objetivos deste webinar são:
a) Apresentar a LGPD e seus principais tópicos;
b) Apresentar as principais mudanças estruturais para o mercado: empresas e

cidadãos;
c) Apresentar as consequências do não cumprimento da LGPD.

2. Prof. Dr. Antonio Celso Ribeiro Brasiliano, CIGR, CRMA, CES, DEA, DSE, MBS
Doutor em Science et Ingénierie de L’Information et de L’Intelligence Stratégique (Ciência e Engenharia da Informação e Inteligência
Estratégica) pela UNIVERSITÉ EAST PARIS - MARNE LA VALLÉE – Paris – França; Master Degree - Diplome D´Etudes Approfondies (DEA) en
Information Scientifique et Technique Veille Technologique (Inteligência Competitiva) pela UNIVERSITE TOULON – Toulon - França; Especializado
em: Inteligência Competitiva pela Universidade Federal do Rio de Janeiro - UFRJ; Gestión da Seguridad Empresarial Internacional – Universidad
Pontifícia Comillas de Madrid – Espanha; Curso de Gestión da Seguridad Empresarial - Universidad Pontifícia Comillas de Madrid – Espanha;
Planejamento Empresarial, pela Fundação Getúlio Vargas - SP; Elaboração de Currículos pelo Centro de Estudos de Pessoal do Exército - CEP,
Bacharel em Ciências Militares, graduado pela Academia Militar das Agulhas Negras; Bacharel em Administração de Empresas – Universidade
Mackenzie; Certificado em Gestão de Riscos: Certificácion Internacional de Gestión de Riesgos – CIGR pela CEAS Espanha - Certification in Risk
Management Assurance – CRMA, pelo IIA Global – Institute of Internal Auditors, Certificado como Especialista em Segurança Empresarial – CES
pela ABSO. Autor dos livros: Inteligência em Riscos: gestão Integrada em Riscos, com a inclusão do COSO ERM 2017 e ISO 31000: 2018
“Mundo VICA – Volátil, Incerto, Complexo, Ambíguo. Estamos Preparados?”; “Inteligência em Riscos: Gestão Integrada em Riscos Corporativos”;
“Gestão de Risco de Fraudes, Fraud Risk Assessment – FRA”; “Gestão de Continuidade de Negócios – GCN”; “Guia Prático para a Gestão de
Continuidade de Negócios”; “Cenários Prospectivos em Gestão de Riscos Corporativos: um estudo de caso brasileiro”; “Gestão e Análise de
Riscos Corporativos: Método Brasiliano Avançado” – Alinhado com a ISO 31000; "Análise de Risco Corporativo – Método Brasiliano"; “Manual de
Análise de Risco Para a Segurança Empresarial”; “Manual de Planejamento: Gestão de Riscos Corporativos”; “A (IN)Segurança nas Redes
Empresarias: A Inteligência Competitiva e a Fuga Involuntária das Informações”; “Planejamento da Segurança Empresarial: Metodologia e Implantação”; Coautor dos
Livros: “Dicionário de Crime, Justiça e Sociedade” - lançamento em Portugal onde colaborou com especialistas portugueses e demais países da Europa, sendo o único
brasileiro a participar com textos sobre Fraudes Corporativas; “Manual de Planejamento Tático e Técnico em Segurança Empresarial”; “Segurança de Executivos" -
Noções Antissequestro e Sequestro: Como se Defender; Idealizador da Solução em Inteligência em Riscos Corporativos INTERISK; Professor Convidado do IPT da
USP do Programa de Mestrado, para aulas de Análise de Riscos, da Fundação Dom Cabral e da Faculdade Trevisan para Cursos de Gestão de Riscos; Atual Coordenador
Técnico e Professor do MBA - Gestão de Riscos Corporativos – EAD da FBT e do MBA GRC Presencial e Cursos de Extensão nos temas de Riscos, Compliance, Gestão de
Continuidade de Negócios, Auditoria Baseada em Riscos, Controles Internos, Segurança Corporativa, todos em convênio com a Faculdade de Engenharia de São Paulo –
FESP; Membro do Institute of Internal Auditors IIA; do Instituto dos Auditores Internos do Brasil – IIA Brasil; Membro da Associação Brasileira de Profissionais de
Segurança Orgânica – ABSO, Coordenou a 1ª Pesquisa de Vitimização Empresarial 2003 – Contrato pela PENUD/ONU/SENASP; Profissional com mais de 30 anos de
experiência em Gestão de Riscos; Palestrante nacional em inúmeros eventos da área de riscos, compliance, auditoria, controles internos e segurança corporativa.
Palestrante Internacional em eventos na Argentina, Paraguai, África e Japão (convidado pela Organização Pan-Americana de Saúde-OPAS, como expert em Planos de
Contingência, na Conferência Mundial de Redução de Desastres, Yokohama). Experiência internacional em consultoria GRC em Portugal, Cabo Verde, Angola,
Moçambique, Uruguai, Argentina, Paraguai, Colômbia, México. Membro da Comissão de Estudo Especial de Gestão de Riscos da ABNT/CEE-63 – ISO 31000/31010/31004
– Gestão de Riscos e ISO 22301/22313 Gestão de Continuidade de Negócio – Segurança da Sociedade. É Presidente da BRASILIANO INTERISK.
3. Contexto do Ambiente – 4ª Revolução Industrial
Contexto do Mercado Corporativo
V Volatidade
Visão
Velocidade
u Incerteza Entendimento
Não ortodoxia – Não Dogmatizar
C Complexidade Colaboração
Co-Criação
Entender a conectividade
Interdependência
A Ambiguidade Agilidade
Abundância

O mundo vive neste século XXI, turbulências

extremas, através da Revolução 4.0, que
fornece aos governos, empresas e indivíduos,
a CONECTIVIDADE.
Além de integrar as tecnologias físicas, lógicas e

biológicas, resultando na Inteligência Artificial, Robótica,
Computação Cognitiva, Analytics, a Internet das Coisas
(IoT).

A IoT mudou a maneira como interagimos uns com os outros:

• revolucionou os processos de negócios;
• alterou a maneira pela qual os países e as infraestruturas críticas são operados.
Os Riscos Inerentes Cibernéticos precisam

ser gerenciados, pois este é o DESAFIO!
A 4ª Revolução Industrial, com toda sua tecnologia e benefícios, trazem quatro

riscos:
1. Interconectividade
2. Fluxo de Informações Sem Fronteiras
3. Mudanças no Ambiente de Trabalho
4. Ampliação das Desigualdades Sociais e Riquezas

4. Espaço Cibernético
Ambiente virtual, o qual não existe em
qualquer forma física, mas sim, um espaço
complexo resultante:
• Internet
• Pessoas
• Organizações
• Dispositivos de tecnologia – atividades
• Redes que conectam.
A Segurança Cibernética é a Segurança deste mundo virtual!

A Segurança Cibernética se baseia:

1. Segurança da Informação
2. Segurança de Aplicativos
3. Segurança de Rede
4. Segurança na Internet
A Segurança Cibernética é
fundamental, estratégica para a
Proteção de Infraestrutura
Crítica de Informação – CIIP.

Infraestruturas Críticas
1. Segurança da Informação
Proteção da confidencialidade, integridade, disponibilidade da
informação
2. Segurança de Aplicativos
Processo para aplicar controles e medições em aplicações de uma
organização a fim de gerir o RISCO de usar.
3. Segurança de Rede
Concepção, implementação e operação de redes, visando alcançar
os objetivos de segurança da informação em redes dentro da
empresa, entre empresas e entre empresas e usuários.

4. Segurança da Internet
Proteger serviços relacionados à Internet e sistemas
relacionados a TIC e redes como uma extensão de
segurança de rede em organizações e nas residências.
5. Proteção de Infraestrutura Crítica - CIIP

Proteger sistemas que são fornecidos ou operados
por provedores de infraestruturas críticas, como
energia, telecomunicações e estações de água. O
CIIP garante que esses sistemas e redes são
protegidos e resilientes contra riscos de segurança
da informação, redes, internet, bem como Riscos de
Segurança de Cibernética.
Relação entre Segurança Cibernética e outros domínios de Segurança
Crime Segurança
Cibernético Cibernética
Segurança da Informação
Segurança de Aplicativo
Segurança
Cibernética
Segurança
Segurança
da
de Rede
Internet
Proteção da Infraestrutura
Crítica de Informação
Fonte: ABNT NBR ISO/IEC 27032 ®Brasiliano INTERISK – O valor da Inteligência

5. Nível de Fragilidade
Valor
Partes
interessadas Deseja minimizar
Impõe
Para reduzir
Controles
Pode ser
reduzido por
Pode possuir Relações de Segurança
Vulnerabilidades
Fragilidades - Causas
Podem estar cientes de Probabilidades
Levam a E
Impactos
Agentes de
ameaça Risco
Origina Que explora
Para
Que aumenta
Ameaças
Para
Ativos
Deseja abusar e/ou danificar

Fonte: ABNT NBR ISO/IEC 27032 ®Brasiliano INTERISK – O valor da Inteligência
CONTEXTO
ROUBO DE DADOS E OU INFORMAÇÕES
SEQUESTRO DE DADOS E OU INFORMAÇÕES
DSTRUIÇÃO DE DADOS E OU INFORMAÇÕES
CONSUMIDORES E OU CLIENTES DAS EMPRESAS
AMEAÇAS CIBERNÉTICAS
• Hackers invadiram o sistema de compra, bloqueio e
extrato do "Cartão Presente" da C&A.
• Entre os dados de clientes vazados, estão: número do

cartão, CPF, email, valor adquirido como presente,
email do funcionário que fez a transação, número do
pedido e data da compra.
• O hacker afirmou que estão expostos os dados de

quatro milhões de pedidos — dentre eles, afirma que
“provavelmente” existem dados de dois milhões de
clientes diferentes
• Um hacker chamado @j0shua, do grupo Fatal Error

Crew, publicou no Pastebin os dados de clientes da
C&A que adquiriram os presentes.
• “Já que vocês gostam de brincar com os dados dos

outros, decidimos brincar um pouco com os seus
sistemas”, escreveu o hacker Joshua ao publicar os
dados.
• Nosso sistema de Monitoramento Avançado Persistente
detectou em 01/09, vazamento de dados de informações de
crédito do seu banco de dados, que reúne informações comerciais
e cadastrais de mais de 130 milhões de empresas e consumidores
com abrangência nacional.
• A invasão foi publicada pelo grupo Fatal Error Crew. Nela, o
grupo faz uma reflexão sobre o fato de uma empresa de proteção
ao crédito possuir dados pessoais de mais de 130 milhões de
pessoas físicas e jurídicas brasileiras:
• BoaVista SCPC me tira uma dúvida quem autoriza vcs a
possuirem os dados pessoais de todos brasileiros mesmo que eles
não possuam dívidas?
• Vcs não acham errado isso? lucrarem com os dados pessoais de
todos brasileiros.
• Não postamos nenhuma informação de nenhum brasileiro pois
prezamos pela privacidade dos mesmos porém sugiro mudarem
todas suas senhas logo, não se enganem estamos de olhos em
todos seus bancos de dados faz alguns anos...
6. Lei Geral de Proteção de Dados Pessoais - LGPD
Lei Número 13.709 de 14 de agosto de 2018
Embora o Brasil já tivesse mais de 30 legislações setoriais, estas só permeavam o

assunto:
• Código Defesa do Consumidor;

• Código Civil;
• Lei do Cadastro Positivo;
• Marco Civil da Internet, entre outras
A LGPD trará maior investimentos para o Brasil, no âmbito da economia

digital e maior proteção jurídica a titulares de dados e empresas.
O Brasil entra para um seleto grupo de países que possuem legislação

pertinente. A Europa, a GDPR entrou em vigor em maio deste ano!
A LGPD também se aplica a empresas que não está estabelecida no Brasil, mas
possuem operação e tratamento de dados em território nacional!
A LGPD visa:
• Fomentar o desenvolvimento econômico e tecnológico, em uma sociedade movida

a dados;
• Garantir a livre iniciativa;
• A livre concorrência;
• A Defesa do Consumidor;
• Aumentar a confiança da sociedade na coleta e uso de seus dados pessoais;
• Aumentar a segurança jurídica.
Selecionei 10 princípios da nova legislação:
1.Finalidade
Os dados coletados só podem ser tratados para fins legítimos e especificados aos
titulares. Ou seja: as empresas não podem coletar informações e, depois, usá-las
para outros fins.
2.Adequação
O tratamento dos dados deve estar adequado com a finalidade que foi informada
para o usuário.
3.Necessidade
Os dados devem ter seu uso limitado ao necessário para realização das suas
finalidades. Isso inclui ter apenas dados pertinentes, proporcionais e que não
excedam as finalidades do tratamento. Isto é, as empresas devem coletar apenas
aquelas informações estritamente necessárias para prestação dos seus serviços.
4.Livre acesso
Os titulares dos dados devem sempre ter acesso fácil e gratuito às suas
informações, serem informados sobre como esses dados estão sendo usados e por
quanto tempo eles serão tratados.
5.Qualidade dos dados

Este é um princípio que garante aos titulares que seus dados serão exatos, terão
informações claras, relevantes e atualizadas para tratamento.
6.Transparência
O objetivo desse princípio é garantir aos usuários informações claras e de fácil
acesso sobre o tratamento dos seus dados e sobre quem são os responsáveis por
tratá-los.
7.Segurança
Define que as empresas que tratam de dados devem adotar medidas para proteger essas informações
de acessos não autorizados, de eventos acidentais ou ilícitos de destruição, alteração, perda,
comunicação ou difusão.
8.Prevenção
As empresas que tratam de dados devem adotar medidas para prevenir a ocorrência de danos no
tratamento dessas informações.
9.Não discriminação
De acordo com esse princípio, os dados não podem ser utilizados para fins discriminatórios, ilícitos ou
abusivos.
10. Responsabilização
Este princípio fala que as empresas têm que se responsabilizar pelos dados e, para isso, têm o dever
de mostrar quem são os parceiros responsáveis pelo tratamento dessas informações, bem como
devem determinar um encarregado pela tarefa, informando o usuário sobre quem é esta pessoa
responsável.
As empresas implantarão Inteligência Artificial, pois exigirá mudança de

todos os portes e segmentos:
- Conduta de coleta
- Armazenamento
- Segurança
As empresas deverão contar com programas estruturados de Análise de

Riscos e Classificação de Dados.
As tecnologias de hoje suportam as exigências da lei, desde que estejam

aliadas a processos eficazes.
Tecnologia
Processos Pessoas
Para ser eficaz a segurança dos dados precisará da integração deste três componentes.
Haverá necessidade da sensibilização do usuário, estabelecimento de processo

estruturado e um programa de classificação de dados, integrados com tecnologia, tais
como DLP e CASB.
Programa de segurança cibernética bem-sucedida requer engajamento da equipe de

gerenciamento sênior e todos os empregados.
Cultura apropriada e “tom no topo” são chave, mas a consciência precisa ser conduzida ao
longo de toda a organização, já que as violações podem ocorrer em qualquer nível e
qualquer parte das operações da organização.
As organizações podem avaliar os funcionários para identificar os indivíduos e grupos

expostos para ajudar na identificação de riscos e esforços de gerenciamento de risco.
Como não há "tamanho único" de solução, a função responsável por esta avaliação pode
variam entre as organizações.
O programa de conscientização para os funcionários pode incluir:
• exercícios de treinamento, vídeos

• testes de phishing falsos
• E-learning com avaliação contínua e mensurável
• Práticas de conscientização e comunicação dentro das subsidiárias e cadeias de
suprimento.
O Presidente Michel Temer vetou, pelo menos por enquanto, a criação do órgão
regulador:
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD
Segundo especialistas é fundamental possuir este órgão para que a lei funcione
efetivamente, criando novas oportunidades econômicas.
Com a LGPD, as principais mudanças serão referentes à coleta e uso de dados das pessoas, assim
como a segurança destes.
A Lei é clara ao afirmar que as empresas só poderão coletar e utilizar informações pessoais com o
consentimento do titular.
Além de informações como nome, sobrenome, e-mail, endereço e dados bancários, a nova prática
também exigirá autorização para dados como número de IP, localização e registros de navegação
coletados via cookies.
O texto também proíbe o tratamento dos dados pessoais para a prática de discriminação ilícita ou
abusiva.
Esse tratamento é o cruzamento de informações de uma pessoa específica ou de um grupo para

subsidiar decisões comerciais (perfil de consumo para divulgação de ofertas de bens ou serviços,
por exemplo), políticas públicas ou atuação de órgão público.
VETOS
Além do veto à criação da ANPD, o governo também vetou na lei a criação do Conselho Nacional
de Proteção de Dados Pessoais e da Privacidade, que seria encarregado por “propor diretrizes
estratégicas e fornecer subsídios para a elaboração da Política Nacional de Proteção de Dados
Pessoais e da Privacidade e para a atuação da ANPD.
Ainda na lista de vetos, o governo eliminou do texto possibilidade de suspensão parcial ou total do
funcionamento de banco de dados que violar os termos da lei por até seis meses prorrogáveis por
igual período.
Também foi vetada a possibilidade de “suspensão parcial ou total do exercício de atividades

relacionadas a tratamento de dados”.
A LGPD também conceitua os dados em:
Dados pessoais: informação relacionada a pessoa natural identificada ou identificável;
Dados Sensíveis: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política,
filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à
saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;
Dado Anonimizado: dado relativo a titular que não possa ser identificado, considerando a
utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento;
Encarregado pelo Tratamento de Dados Pessoais

Art. 41. O controlador deverá indicar encarregado pelo tratamento de dados pessoais.
§ 1º A identidade e as informações de contato do encarregado deverão ser divulgadas
publicamente, de forma clara e objetiva, preferencialmente no sítio eletrônico do
controlador.
§ 2º As atividades do encarregado consistem em:
I aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
II receber comunicações da autoridade nacional e adotar providências;
III orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas
em relação à proteção de dados pessoais; e
IV executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas
complementares.
SURGE O DATA PROTECCION OFFICER – DPO – GERENTE DE PROTEÇÃO DE DADOS
A LGPD prevê sanções como multas de até 2% do faturamento da empresa envolvida até um
limite de R$50 milhões.
Dependendo do setor em que atua, a adequação a esta nova realidade pode ser um importante
diferencial competitivo no mercado.
PREVENÇÃO
Após essa etapa, é possível definir as políticas necessárias como o uso, a divulgação, a retenção e a destruição
das informações, capazes de garantir que a segurança seja preservada em todo o ciclo de vida dos dados.
Após essa definição, outro benefício que podemos destacar é a forma como os colaboradores interagem com
essas informações – eles passam a ter acesso somente aos dados específicos e necessários para realizar seus
trabalhos.
Dados obsoletos e não utilizados podem ser arquivados ou removidos, o que torna sua equipe mais produtiva e
garante que as informações dos seus clientes fiquem seguras.
PREVENÇÃO
Grande parte das fraudes surgem a partir de um pequeno erro humano, seja ele
acidental ou deliberado.
Encontramos na tecnologia um aliado para essas tarefas: avanços na inteligência e

automação de ameaças cibernéticas ajudam a proteger os dados e a análise permite
entender como os usuários gerenciam, compartilham e usam os dados.
Esse é um excelente momento para começarmos a aproveitar ao máximo os dados e a

partir deles, obter insights, aumentar a agilidade e viabilizar a aproximação com os
clientes, que, no final, são o centro da operação.
PREVENÇÃO
No final, o segredo está em saber alinhar pessoas, processos e tecnologias

para que tudo se encaixe de maneira adequada.
Devemos trabalhar ao lado dos nossos clientes para encontrar novas

maneiras de aproveitar ao máximo os dados, bem como descobrir maneiras
de protegê-los e alcançar a conformidade com as leis regulamentares.
7. Três Linhas de Defesa no Risco Cibernético
7. Três Linhas de Defesa no Risco Cibernético
8. Framework de Gestão de Riscos CIBERNÉTICOS

2. Contexto Estratégico
Apetite ao Risco

Apetite ao Risco

2.5 Classificação de Dados e Informações:
Esta sub fase é estratégica, pois classifica as informações e dados para que a
organização possa priorizar em quais informações e dados deve propor maior nível de segurança.
Classificamos a Relevância das Informações sob 2 critérios:
- RELEVÂNCIA DO IMPACTO: Quanto a informação ou dado é importante e estratégico para a

empresa sob o ponto de vista de imagem, financeiro, operacional e legal, em caso haver
sequestro, violação, manipulação, divulgação, destruição, entre outros cenários de riscos. Com estes
critérios, o gestor consegue priorizar quanto que a informação é relevante para a organização em
termos de impacto e sugere tratamento de segurança e sigilo, como também impõe níveis de acesso e
manipulação. É o primeiro passo para prevenir ataques cibernéticos de qualquer natureza.

2.5 Classificação de Dados e Informações:
- RELEVÂNCIA DO CONTEÚDO: Tem haver com níveis de acesso para divulgação e manipulação.
A classificação dos dados e informações é focado em seus objetivos estratégicos e na
estratégia, tendo três níveis de classificação: estratégico, tático e operacional.

Relevância do Impacto

Relevância do Conteúdo

Matriz de Relevância das Informações

Matriz de Relevância das Informações - Exemplo
Temos três informações e queremos classificá-las quanto ao seu conteúdo e impacto na

empresa. As informações são:
• A instituição possui como um de seus Objetivos Estratégicos o lançamento de um novo

serviço, integrado a um produto digital, que criará uma disrupção no seu segmento;
• A reestruturação do Modelo de Negócio em função deste novo serviço/produto;
• Insumos operacionais para a fabricação do novo produto.

Matriz de Relevância das Informações – Exemplo
Classificação do Conteúdo

Classificação do Impacto


3. Identificação dos Riscos DIAGRAMA DE CAUSA E EFEITO
Causas
Controles Lógicos nos Dados e Recursos Humanos:
Acessos e Penetração: Informações:
Sensibilização
Sistemas Preventivos Atratividade
Conscientização
Sistemas Detectivos Relevância
Classificação
Maturidade Efeito
Controle
Risco
Cibernético
Controles Físicos nas Redes: Ambiente Externo:

Infraestruturas e
Acessos: Arquitetura Motivação do
Agente Agressor
Sistemas Preventivos Conexões Externas
Aposta do Agente
Sistemas Detectivos Linhas de Agressor
Comunicação
Lógica de Agressão
Tráfego

3. Identificação dos Riscos - SWOT – RELEVÂNCIA DOS FATORES DE
RISCOS

4. Análise e Avaliação dos Riscos Cibernéticos – Inerentes
Probabilidade Impacto
Avaliação de riscos
Média Ponderada – Notas 1 a 5 por macro critério

4. Análise e Avaliação dos Riscos Cibernéticos – Inerentes
FR da Segurança/Controle = RH + DI + CL+ CF + R + A
6
Nota dada por Macro Fator a Macro Fator, levando-se em consideração
a motricidade dos fatores de riscos – nota da SWOT
4. Avaliação dos Riscos Cibernéticos – Inerentes
Riscos
Cibernéticos
Relevantes

5. Cenários de “Riscos” Cibernéticos - Inerentes
O que são cenários eventos cibernéticos?
É a prospectiva de integração dos riscos

cibernéticos, criando determinadas
situações com a contextualização dos
acontecimentos.
Exemplo: Riscos 7 + 18 +30 + 31
Intrusão nos sistemas da empresa de software malicioso, que ficou retirando e monitorando
informações por mais de 20 dias, sem ser detectado. Após o vigésimo dia sequestrou parte dos
dados de clientes da empresa dos servidores, incluindo backup, destruiu o restante e desfigurou o
site com pichação politica partidária. No vigésimo quinto dia solicitou resgate na ordem de R$ 30,5
milhões de reais para devolver as informações dos clientes e não divulga-las nas mídias sociais.
6. Análise e Avaliação dos Cenários de “Riscos” Cibernéticos - Residuais
AVALIAÇÃO DOS CONTROLES DOS CENÁRIOS - Riscos 7 + 18 +30 + 31
Intrusão nos sistemas da empresa de software malicioso, que ficou retirando e monitorando
informações por mais de 20 dias, sem ser detectado. Após o vigésimo dia sequestrou parte dos
dados de clientes da empresa dos servidores, incluindo backup, destruiu o restante e desfigurou o
site com pichação politica partidária. No vigésimo quinto dia solicitou resgate na ordem de R$ 30,5
milhões de reais para devolver as informações dos clientes e não divulga-las nas mídias sociais.
- Quais Controles a empresa possui? Sistemas? Treinamento?

- Qual a eficácia destes controles? – Nível de Aplicativos, Proteção de Servidores, Controles
de Usuário Final, Controles contra Engenharia Social.

6. Análise e Avaliação dos Cenários de “Riscos” Cibernéticos -
Residuais
Probabilidade Impacto
Avaliação de riscos
Média Ponderada – Notas 1 a 5 por macro critério
Leva-se em conta os controles/sistemas

Avaliação dos Cenários de Riscos Cibernéticos – Residuais
Matriz e Nível de Risco

7. Plano de Resposta
5 W2H
2) Mede o desempenho dos objetivos, para ver se foram atingidos
3) Realiza teste de stress – simulação
4) Plano de teste dos controles
5) Registro e relato
8. Monitoramento e
Indicadores – Ambiente
Externo

Prof. Dr. Antonio Celso Ribeiro Brasiliano, CRMA,CES,DEA,DSE,MBS
Presidente Brasiliano INTERISK
email: abrasiliano@brasiliano.com.br
Telefone: 11 983507758
11 55316171

1536245144LGPD Webinar 05092018 Brasiliano

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

1536245144LGPD Webinar 05092018 Brasiliano

Caricato da

Copyright:

Formati disponibili

LGPD – LEI 13.

709 DE 14 DE AGOSTO DE 2018

São Paulo, 05 de setembro de 2018

Os objetivos deste webinar são:

a) Apresentar a LGPD e seus principais tópicos;

b) Apresentar as principais mudanças estruturais para o mercado: empresas e

c) Apresentar as consequências do não cumprimento da LGPD.

®Brasiliano INTERISK – O valor da Inteligência

Contexto do Mercado Corporativo

®Brasiliano INTERISK – O valor da Inteligência

O mundo vive neste século XXI, turbulências

Além de integrar as tecnologias físicas, lógicas e

®Brasiliano INTERISK – O valor da Inteligência

A IoT mudou a maneira como interagimos uns com os outros:

Os Riscos Inerentes Cibernéticos precisam

A 4ª Revolução Industrial, com toda sua tecnologia e benefícios, trazem quatro

®Brasiliano INTERISK – O valor da Inteligência

A Segurança Cibernética é a Segurança deste mundo virtual!

®Brasiliano INTERISK – O valor da Inteligência

A Segurança Cibernética se baseia:

®Brasiliano INTERISK – O valor da Inteligência

®Brasiliano INTERISK – O valor da Inteligência

5. Proteção de Infraestrutura Crítica - CIIP

Relação entre Segurança Cibernética e outros domínios de Segurança

Fonte: ABNT NBR ISO/IEC 27032 ®Brasiliano INTERISK – O valor da Inteligência

Origina Que explora

Deseja abusar e/ou danificar

ROUBO DE DADOS E OU INFORMAÇÕES

SEQUESTRO DE DADOS E OU INFORMAÇÕES

DSTRUIÇÃO DE DADOS E OU INFORMAÇÕES

CONSUMIDORES E OU CLIENTES DAS EMPRESAS

• Entre os dados de clientes vazados, estão: número do

• O hacker afirmou que estão expostos os dados de

• Um hacker chamado @j0shua, do grupo Fatal Error

• “Já que vocês gostam de brincar com os dados dos

Embora o Brasil já tivesse mais de 30 legislações setoriais, estas só permeavam o

• Código Defesa do Consumidor;

A LGPD trará maior investimentos para o Brasil, no âmbito da economia

O Brasil entra para um seleto grupo de países que possuem legislação

• Fomentar o desenvolvimento econômico e tecnológico, em uma sociedade movida

Selecionei 10 princípios da nova legislação:

Selecionei 10 princípios da nova legislação:

5.Qualidade dos dados

Selecionei 10 princípios da nova legislação:

As empresas implantarão Inteligência Artificial, pois exigirá mudança de

As empresas deverão contar com programas estruturados de Análise de

As tecnologias de hoje suportam as exigências da lei, desde que estejam

Haverá necessidade da sensibilização do usuário, estabelecimento de processo

Programa de segurança cibernética bem-sucedida requer engajamento da equipe de

As organizações podem avaliar os funcionários para identificar os indivíduos e grupos

O programa de conscientização para os funcionários pode incluir:

• exercícios de treinamento, vídeos

AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS – ANPD

Esse tratamento é o cruzamento de informações de uma pessoa específica ou de um grupo para

Também foi vetada a possibilidade de “suspensão parcial ou total do exercício de atividades

A LGPD também conceitua os dados em:

Dados pessoais: informação relacionada a pessoa natural identificada ou identificável;

Encarregado pelo Tratamento de Dados Pessoais

Encontramos na tecnologia um aliado para essas tarefas: avanços na inteligência e

Esse é um excelente momento para começarmos a aproveitar ao máximo os dados e a

No final, o segredo está em saber alinhar pessoas, processos e tecnologias

Devemos trabalhar ao lado dos nossos clientes para encontrar novas

®Brasiliano INTERISK – O valor da Inteligência