Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
CUSTOM_PARSER LGPD_09
CUSTOM_PARSER LGPD_10
CUSTOM_PARSER LGPD_01
CUSTOM_PARSER LGPD_21
CUSTOM_PARSER LGPD_22
CUSTOM_PARSER LGPD_11
CUSTOM_PARSER LGPD_12
CUSTOM_PARSER LGPD_13
CUSTOM_PARSER LGPD_14
CUSTOM_PARSER LGPD_15
CUSTOM_PARSER LGPD_02
CUSTOM_PARSER LGPD_03
CUSTOM_PARSER LGPD_04
CUSTOM_PARSER LGPD_05
CUSTOM_PARSER LGPD_06
CUSTOM_PARSER LGPD_07
CUSTOM_PARSER LGPD_08
CUSTOM_PARSER LGPD_23
CUSTOM_PARSER LGPD_24
CUSTOM_PARSER LGPD_25
CUSTOM_PARSER LGPD_26
CUSTOM_PARSER LGPD_27
CUSTOM_PARSER LGPD_40
CUSTOM_PARSER LGPD_41
CUSTOM_PARSER LGPD_42
CUSTOM_PARSER LGPD_43
CUSTOM_PARSER LGPD_44
CUSTOM_PARSER LGPD_45
CUSTOM_PARSER LGPD_46
CUSTOM_PARSER LGPD_47
CUSTOM_PARSER LGPD_16
CUSTOM_PARSER LGPD_17
CUSTOM_PARSER LGPD_18
CUSTOM_PARSER LGPD_19
CUSTOM_PARSER LGPD_20
CUSTOM_PARSER LGPD_48
CUSTOM_PARSER LGPD_49
CUSTOM_PARSER LGPD_50
CUSTOM_PARSER LGPD_51
CUSTOM_PARSER LGPD_52
CUSTOM_PARSER LGPD_53
CUSTOM_PARSER LGPD_54
CUSTOM_PARSER LGPD_28
CUSTOM_PARSER LGPD_29
CUSTOM_PARSER LGPD_30
CUSTOM_PARSER LGPD_31
CUSTOM_PARSER LGPD_32
CUSTOM_PARSER LGPD_66
CUSTOM_PARSER LGPD_67
CUSTOM_PARSER LGPD_68
CUSTOM_PARSER LGPD_69
CUSTOM_PARSER LGPD_70
CUSTOM_PARSER LGPD_71
CUSTOM_PARSER LGPD_72
CUSTOM_PARSER LGPD_33
CUSTOM_PARSER LGPD_34
CUSTOM_PARSER LGPD_35
CUSTOM_PARSER LGPD_36
CUSTOM_PARSER LGPD_37
CUSTOM_PARSER LGPD_38
CUSTOM_PARSER LGPD_39
CUSTOM_PARSER LGPD_55
CUSTOM_PARSER LGPD_56
CUSTOM_PARSER LGPD_57
CUSTOM_PARSER LGPD_58
CUSTOM_PARSER LGPD_59
CUSTOM_PARSER LGPD_60
CUSTOM_PARSER LGPD_61
CUSTOM_PARSER LGPD_62
CUSTOM_PARSER LGPD_63
CUSTOM_PARSER LGPD_64
CUSTOM_PARSER LGPD_65
Controle
Classificação da informação
Controlar Identidades
Definir a Gestão de Identidades
Definir Identidades
Corrigir inconsistências
Analisar Riscos
Identificar Riscos
Analisar Vulnerabilidades
Identificar Vulnerabilidades
Testes de invasão
Definição do papel de Responsável pela área de Proteção de Dados (DPO, RPD, etc)
Proteção no Database
Acessos restritos
Auditorias internas devem ser realizadas com o objetivo de validar:
Descrição
- Cumprimento da conformidade da lei
- Impacto da privacidade e princípios de privacy by design nos projetos
- Verificação dos requisitos de Proteção de Dados
Todos os colaboradores da organização e, quando relevante, os prestadores de serviço devem ser destinatários de ações de
Criptografar disco do(s) Desktop(s) e dispositivos corporativos externos (Notebooks, Pen drive, HDs externos, etc)
Controles para garantir a Segurança da Informação no ambiente corporativo devem ser implementados
A aplicação de configurações pode criar impactar o funcionamento dos ativos, o baseline deve ser testado em um ambiente c
Os ativos da organização devem ser identificados, priorizados, documentados e inventariados. O processo de Gestão de Con
Cada ativo opera de uma forma diferente e as particularidades devem ser documentadas em baselines de forma que as confi
Para que o processo de Gestão de Configuração seja mantido atualizado e controlado, deve haver uma devida manutenção d
Para manter um maior controle sobre as configurações de segurança deve-se determinar e identificar os ativos de informação
A geração de métricas permite identificar pontos de mudança no processo de Gestão de Configuração de Segurança. As mud
A Gestão de Continuidade requer planejamento e execução, estabelecendo como a organização vai abordar a continuidade d
Os Planos de Continuidade de Negócio podem ser implementados em resposta a uma ameaça identificada ou conhecida, com
Os serviços críticos da organização devem ser identificados como uma linha de base para identificar a extensão e os tipos de
Os Planos de Continuidade de Negócio são documentos estabelecidos com as ações que uma organização irá realizar caso e
Como as alterações nos planos podem ocorrer com frequência, a organização deve estabelecer critérios para alterações e ge
Ter um programa de teste ajuda a garantir um teste regular e consistente dos planos de continuidade de serviço para garantir
O teste é conduzido em um ambiente controlado e medido e é a única oportunidade para a organização saber se os planos q
Antes que os planos sejam executados, a organização deve validar os planos para garantir que eles atendam aos padrões e d
A informação deve ser classificada com base nos requisitos legais, valor, importância e sensibilidade em caso de divulgação o
Definir políticas / procedimentos para proceder a uma destruição segura dos dados em meios físicos e digitais (HDs, pen drive
Os dados pessoais podem ser tratados dentro dos limites definidos pela lei, quando esses dados são transferidos para um loc
Em alguns casos, informações pessoais como telefone, endereço, documentos de identificação são inclusas nos perfis de ace
Uma identidade documenta a existência de uma pessoa, objeto ou entidade que requer acesso a ativos organizacionais, com
Para se tornar parte da “comunidade” organizacional, identidades devem ser registradas e criado o seu respectivo perfil. Em e
Contas genéricas normalmente são contas de administradores de sistemas ou contas de teste e normalmente são compartilha
Um processo de gestão de mudanças efetiva de acessos e identidades requer um processo de monitoramento do ambiente e
Os papéis definem uma função em particular que é associada a uma identidade. Os usuários, particularmente, podem ter mai
Uma identidade tipicamente pode ter mais de um papel atrelado, baseado nas tarefas de trabalho e nos comportamentos da i
A falta de gerenciamento de acessos é uma grande fonte de riscos e vulnerabilidades para a Organização. A revisão periódic
Mudanças no ambiente da Organização devem ser refletidas com precisão no inventário de perfis de acesso e identidade em
Declaração de Incidente de Segurança e Proteção de Dados define o ponto em que a organização estabeleceu que um Incide
A organização deve estabelecer processos para identificar, analisar, responder e aprendendo com os Incidentes para evitar a
Incidentes se originam como eventos organizacionais. A organização poder monitorar e identificar eventos à medida que eles
A natureza de um Incidente declarado é que a organização já incorreu algum efeito, embora limitado, requer que a organizaçã
Um dos aspectos mais importantes da Gestão de Incidentes de Segurança e Proteção de Dados é a capacidade de entender
A análise de risco é realizada pela organização para determinar a importância relativa de cada risco identificado e é usada pa
A Gestão de Riscos de Cyber Segurança é crítico para o negócio da Organização, por entender seu ambiente e controlar os r
O processo de Gestão de Riscos de Cyber Segurança é composto por políticas, procedimentos, metodologia e equipe especi
A definição da tolerância (limite) de risco traça uma linha sob os riscos identificados e define quais os riscos devem ser tratado
O nível e a extensão dos riscos aos quais a organização está sujeita afetam diretamente a resiliência operacional da organiza
Quando as consequências do risco excedem a tolerância de risco da organização, classificado como risco inaceitável, a organ
Avaliações de riscos devem considerar ameaças, vulnerabilidades e eventos que os ativos da Organização estão sujeitos e d
A Organização possui diversos ativos e instalações críticas para o funcionamento dos negócios que devem ser listados e prio
Os ativos das instalações são um dos ativos mais tangíveis e visíveis da organização. Eles fornecem uma presença física à o
Os relatórios de risco geram insumos para a melhoria contínua do projeto e devem documentar as saídas das análises de form
Recomenda-se a avaliação anual dos fornecedores, com relação a requisitos de segurança da informação e proteção dos dad
Através da análise de vulnerabilidade, a organização procura entender a ameaça potencial que pode explorar a vulnerabilidad
Um processo para analisar vulnerabilidades deve ser definido, através de soluções automatizadas e análises manuais. As info
O planejamento é conduzido estabelecendo e mantendo uma estratégia para identificar, analisar e gerenciar as vulnerabilidad
A estratégia de Gestão de Vulnerabilidades aborda as ações específicas e o processo de gerenciamento usados para aplicar
A organização deve desenvolver e implementar uma estratégia de resolução apropriada das vulnerabilidades para as quais a
A identificação e análise de vulnerabilidades são elementos essenciais da Gestão de Vulnerabilidades antes que elas sejam e
Realizar análise da causa raiz das vulnerabilidades identificadas e gerar métricas para melhorar o processo de Gestão de Vul
Definir a responsabilidade pela área da proteção de dados a um indivíduo (por exemplo, DPO, RPD e consultor externo)
Definição do processo do Direito ao Esquecimento, que deve ser respeitado por toda a organização
Deve ser definida uma política de privacidade e/ou de proteção de dados pessoais na organização
Um conjunto de políticas para a segurança da informação deve ser definido, aprovado pela gestão, publicado e comunicado a
Definir controle para obter o consentimento de recolha e utilização de dados pessoais
De acordo com a definição da palavra consentimento, sendo a manifestação de vontade livre, específica, informada e explícit
Requisitos de Proteção de Dados devem ser implementados no desenho, desenvolvimento de novos produtos, assim como o
De acordo com a lei em relação aos serviços da sociedade da informação, todo cadastro de menor de idade, deve ser solicita
Dados pessoais como o user e a password devem ser armazenados de forma segura e utilizando algoritmos de hash forte. Ev
Dados pessoais dos titulares podem ser capturados por terceiros, sem uma devida implementação de protocolo de criptografi
Bases de dados, contendo dados pessoais, deve estar de acordo com referenciais normativos/melhores práticas de seguranç
Sistemas precisam estar preparados para solicitações de direito ao esquecimento, porém o mesmo não pode apagar 100% d
O ambiente de testes e de produção devem ser segmentados e dados reais não podem ser utilizados no ambiente de testes,
Implementar controle no portal como um pop-up com a explicação sucinta e clara sobre o propósito da utilização do(s) cookie
Em alguns casos, dados pessoais como nome, telefone, documentos de identificação estão sujeitas à acessos não autorizado
Recomendação - Título
Classificação da informação
Controlar Identidades
Definir a Gestão de Identidades
Definir Identidades
Corrigir inconsistências
Analisar Riscos
Identificar Riscos
Analisar Vulnerabilidades
Identificar Vulnerabilidades
Testes de invasão
Definição do papel de Responsável pela área de Proteção de Dados (DPO, RPD, etc)
Proteção no Database
Acessos restritos
Recomenda-se que um programa de sensibilização em Segurança da Informação e Proteção de Dados seja definido baseado
b) Alinhado com as políticas e procedimentos relevantes de segurança da informação da organização, levando em consideraç
d) Atividades do programa de sensibilização sejam planejadas ao longo do tempo, preferencialmente de forma regular, de tal
e) Atualizado regularmente.
Treinamento e educação em Segurança da Informação e Proteção de Dados também contemple aspectos gerais, como:
a) declaração do comprometimento da direção com a segurança da informação em toda a organização;
b) a necessidade de tornar conhecido e estar em conformidade com as obrigações e regras de segurança da informação aplic
c) responsabilidade pessoal por seus próprios atos e omissões, e compromissos gerais para manter seguro ou para proteger
d) procedimentos de segurança da informação básicos (tais como, notificação de incidente de segurança da informação) e co
e) pontos de contato e recursos para informações adicionais e orientações sobre questões de segurança da informação, inclu
f)
Auditorias abordando o temadevem
internas da Proteção de Dados.
ser realizadas com o objetivo de validar:
Recomendação
g) direcionado a
- Cumprimento da conformidade da lei colaboradores com responsabilidades ao nível Proteção de Dados (incluindo áreas operacionais ex: call cent
Exemplos
- Impacto da de privacidade
atividades do programa de
e princípios de privacy
sensibilização:
by design nos projetos
a)
- Verificação dos requisitos de Proteção dedemonstrar,
Auditoria de senhas, com o objetivo de Dados de forma prática, o uso de senhas fracas dentro da Organização.
b) Cartilha de Segurança e Proteção de Dados.
c) Simulações de phishing.
Auditorias/assessments
Recomenda-se
d) Tela de fundoque sejamporimplementados
do computador. entidades externas devem
controles sergarantir
para realizadas, com o objetivo
a Segurança de validarnoa ambiente
da Informação conformidade com a lei
corporativo, tais co
Segmentação
e) Pílulas
Definir processo da
de Segurançarede
de mudançae Proteção de Dados. contemplando:
de configuração,
Restringir
-f)Processo ode
acesso
Workshops/Treinamentos.
mudançado utilizador as configurações do Desktop
e aprovação
Bloqueio
- Lista de de dispositivos
mudanças USB em Desktops
pré aprovadas
Uso
-Criptografar de software
Processo de de
análise identificação
impactode
deDesktop(s) em códigos maliciosos (Endpoint Protection)
segurança
Restrição
- Requisitos dedisco
acesso
de
do(s) e dispositivos corporativos externos (Notebooks, Pen drive, HDs externos, etc)
teste administrativo no Desktop pelo utilizador
Criptografia
- Restrições de disco do(s) Desktop(s)
Bloqueio
-Definir Mudanças de emergenciais
acesso de dispositivos indevidos via porta UTP (ex: port security)
Definir estratégia
Baselines de configuração
de monitoramento, paracontemplando:
cada ativo, contemplando:
-- Revisões Ferramentase atualizações
e métodos de avaliação;
-- Identificação
Processo de do ativo
Rollback
-- Tipo Tolerância
do ativoa riscos;
-Identificar
Cronograma
- Versão do baselinecomponentes/recursos
de testes periódicos; necessários para realizar a Gestão de Configuração de Cyber Segurança
-Identificar
Revisão pontos
de de
resultados; melhorias
- Identificação do criador da documentação nos skills dos colaboradores e quais treinamentos são necessários para a realização do proce
-- Retestes e acompanhamento
Controles edeclassificar
segurança a seremde correções;
aplicados
Inventariar
-Realizar
Revisãomanutenção ativos
de baseline periódica
ou de forma
documentação que estes possam ser mantidos e atualizados conforme necessidade, contemplando:
de exceções.
-Definir
Lista de ativos da Organização dos baselines
métricas, como estes exemplos:
-- Responsáveis
Porcentagem de e custodiantes de cada ativo inventariado
ativos inventariados
-- Classificação dos ativos
Porcentagem de ativos com baselines implementados X não implementados
-Definir
Porcentagem
escopo do de GCN
ativos(Gestão
que foi de
realizado rollbackde Negócio) dentro da organização;
Continuidade
-Desenvolver
Porcentagem de baselines atualizados
uma Política de Continuidade de negócios que descreva os objetivos da GCN (Gestão de Continuidade de Negó
Identificar componentes/recursos necessários para realizar a Gestão de Continuidade de Negócios
Identificar pontos de melhorias nos skills dos colaboradores e quais treinamentos são necessários para a realização do proce
Executar o plano de Continuidade de Negócios
Medir a eficácia
Identificar do plano
e priorizar na Organização
os serviços que garantem a continuidade do negócio
Identificar
Identificar, e analisar
desenvolver as dependências
e documentar internasdee Continuidade
Planos externas de Negócios para os serviços da Organização
Definir
Mapear métricas,
registros como
e banco estes exemplos:
de atuarão
dados críticos
Designar colaboradores que na GCN
- Número de recursos (Internos e Externos) dependentes (Gestão de ou
Continuidade de Negócios)
independentes necessários para assegurar o serviço de Continu
Armazenar e proteger os Planos de Continuidade
- Número de informações de contatos que necessitam atualizações de Negócios, restringindo acesso ao mesmo
Desenvolver
Inventário
- Porcentagem de edados
aplicar treinamentos
pessoais,
de planos sem com odoobjetivo
Plano de
um responsável de Continuidade de Negócio
identificar questões como:
Finalidade
- Porcentagem de planos sem stakeholders
Descrição
-Desenvolver
Porcentagem do tratamento
Departamento/áreaumdeprograma
planos executados/não
de testes
responsável pelado
executados
serviço de Continuidade de Negócios
recolha/tratamento
Planejar,
Base legalexecutar e documentar exercícios de Continuidade de Negócios
Recomenda-se
Avaliar resultados que a informação
dos seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para e
Proveniência/meios
Promover conscientização detestes realizados
obtenção
sobre ados dados
área pessoais da informação e promover acordos entre as áreas da Organização na a
de segurança
Revisar
Categoriase avaliar
de periodicamente
dados pessoais os Planos
Um exemplo de critérios para classificação da informaçãode Continuidade de ser:
pode Negócios
Identificar
Modo de e resolver
conservação conflitos
dos entre
dados os planos
pessoais de continuidade
(sistemas da
informáticos
- Pública ou Externa: Pode ser utilizado por todos sem restrição. Geralmente GCN
e/ou arquivo em papel)
possui uma formatação, linguagem e conteúdo c
Decisões automatizadas
- Interna: Acesso à os funcionários, colaboradores, acionistas. Normas, procedimentos, formulários que a Organização não po
Subcontratantes com acesso
- Restrita/Confidencial: Acessoaos dados em que apenas pessoas autorizadas devem ter acesso. Contratos, plano estratégic
controlado
Grupo dentro da organização que possuem acesso aos dados pessoais
Terceiros localizados dentro dos limites definidos com acesso aos dados
Definir
Terceirospolíticas / procedimentos
localizados para definidos
fora dos limites proceder coma uma destruição
acesso segura dos dados em meios físicos e digitais (HDs, pen drive
aos dados
Prazo de conservação dos dados
Para garantir
Medidas a proteção
técnicas de dadosadotadas
e organizativas na transferência recomendamos
para proteger os dados os seguintes pontos:
- Celebrar um acordo entre as empresas
Definir práticascontroles
- Implementar para retenção de no
técnicos registos
ambiente terceiro, para garantir a proteção dos dados;
(Nota: a conservação dos dados
- Definir regras corporativas (BCR); deve ser efetuada apenas durante o período em que os mesmos são necessários relativame
- Solicitar consentimento, como forma de legitimar a transferência de dados;
- Solicitar aprovações da autoridade supervisora, como forma de legitimar a transferência de dados, caso seja necessário.
Definir procedimento de controle de acesso às informações contidas nos perfis de identidades de forma a garantir a Seguranç
Definir políticas e procedimentos para requisição, aprovação, concessão e revogação de acesso a pessoas, objetos e entidad
Identificar
Criar componentes/recursos
um processo de criação e organizaçãonecessáriosdepara realizar ade
identidades Gestão
forma de Identidades
a definir os limites de "comunidade" de pessoas, objetos
Identificar
Identificar componentes/recursos
pontos de melhorias nos necessários para
skills dos colaboradoresrealizar aeGestão
quais de Incidentes
treinamentos de necessários
são Segurança epara
Proteção de Dados.
a realização do proce
-Identificar Uma fonte de informação
pontoscomo de melhorias sobre identidades e seus acessos que seja única e consistente;
nos skills dos colaboradores e quais treinamentos são necessários para a realização do proce
Definir
-Definir métricas,
Uma baseline para queestes exemplos:
mudanças à identidades possam ser monitoradas,
-- Porcentagem Política de de Gestão
identidades de Incidente
solicitadas de que
Segurança
foram e Proteção
recusadas de Dados; identificadas e gerenciadas; - O escopo para o m
As A agregação
seguintes normasde identidades
recomenda-sede pessoas,
serque objetos
definidas: ou entidades onde são necessárias múltiplas identidades.
- Porcentagem de identidades criadas, após análise detalhada foram bloqueadas, devidos a algum erro humano
-Definir
- Classificação controlesda
Porcentagem depara o corretoque
Informação;
identidades manuseio
estão de deférias
contas ougenéricas.
inválidas Tipicamente, o owner do sistema ou do ativo deve ser o respo
-Registrar, Uso do armazenar
Correio e
Eletrônico;controlar
- Porcentagem de identidades pertencentes a contas de serviços todas as contas vinculadas a uma só identidade, seja ela conta de sistema, genérica ou pess
Definir
-- Integração procedimento
Porcentagem com de:
deTerceiros;
identidades pertencentes a entidades externas
-- Uso Revisão
Porcentagemperiódica
correto dade das identidades;
Internet;
identidades que tiveram suas senhas divulgados de forma lícita ou ilícita.
- Acesso Corrigir as inconsistências Planos de ações que podem ser gerados:
Remoto;
- Retenção Criar novos deperfis
Logs.de identidade (No caso onde uma ou mais colaboradores compartilham o mesmo perfil de identidade, dev
Definir
-Monitorar e associar
Realizar as identidades
perfis deaos usuários,existentes
objetos e entidades dainconsistências
Organização, bem como provém a aprovação para a cr
Mapear: e identificarnos
mudanças inconsistências identidade
entre identidades epara corrigir
pessoas, objetos ou entidades em informações
relacionadas,cadastradas;
por exemplo:
-- Eliminar Canais de
Quando ou bloquear
háentrada
adição de
de perfis de
Incidentes
novosquando identidade duplicados;
de Segurança e Proteção de Dados internos e externos;
funcionários;
Definir critérios
Bloquear perfis para declarar
de identidade um Evento
que não representam de Segurança
uma pessoa, se torna um Incidente
-- Criar
Elaborar Quandocanais
há de entrada
mudanças
procedimento de
para
nas comunicações
responsabilidades
revisão periódica
de Incidentes(E-mail,
da dos
baseusuários, devidoobjeto
de conhecimentos
SMS, ou entidade
tickets,
a mudança etc.);
de na Organização.
departamento,
para correlacionamento depromoção/demoção
Incidentes em análise ou mu
-- Interações
Mudanças com
na entidades
estrutura da externas
Organização (ex: Cert);
ou dos serviços;
Manter
-- Leis, atualizado o histórico
regulamentações dos Incidentes
e parcerias
políticas referentes durante
relevantestodoao o ciclo de vida
negócio da Organização, suportando o processo de resposta ao I
Definir Adição ou finalização
critérios para de
análise de de negócio.
Incidentes
Definir:
Tratar Eventos de Segurança e Proteção de Dados encaminhados pelosinternas
canais de entrada interno/externos;
Elaborar
-Elaborar
Avaliar Campanhasprocedimento
causa de conscientização
raiz análise
de escalonamento
dos Incidentes doSegurança
dos
de Incidente
dos
usuários Incidentes
devem
ede
Proteçãoserentre equipes
realizadas;
dedeDados reportados e externas
Definir procedimento
ferramentas,
critérios de de identificação
técnicas
escalonamento e atividades
dos e reporte
relevantes
Incidentes Eventos
para
entre analisar
equipes Segurança
os
internas e Proteção de Dados;
Incidentes
e externas
-Registrar
Definir Categorias de Incidentes;
integração entre as áreas
Eventos/Incidentes de Gestão edeProteção
de Segurança Problemas e Gestão
deNegócio)
Dados devede ser
Incidentes
realizado deemSegurança e Proteção
uma ferramenta deeDados
única de forma seg
Integrar
-Registrar
Serviços
Analisar com
eeque a serão
área Eventos
controlar de GCN de
prestados (Gestão
pela
Segurança de Continuidade
equipe ede Gestão
Proteção de
de Incidentes
Dados de
anormais Segurança e
(Incidentes, Proteção
problemasde Dados;
e erros) Definir métricas, co
Definir atualizar
procedimento todo o histórico
de resposta parados Eventos
cada Incidentede Segurança
mapeado, e Proteção
baseado de Dados;
no ciclo de criticidade
vida
Contratos
-Definir
Porcentagem com
procedimento terceiros
de de envolvidos
indisponibilidade
registro na
(tempo
e atualizaçãoresposta ao
operacional) Incidente.
dos Eventos que deserviços e ativos de alta ficaram fora de operação dev
Mapear
-Elaborar stakeholders
Porcentagem de e seus
Incidentes respectivos
de Segurança protocolos
e Proteção e canais
de deSegurança
Dados comunicação
que
e Proteção de Dados;
exploraram vulnerabilidades existentes com soluções c
Definir procedimento
procedimento dede coleta, documentação
Incidentes deeviolação deede preservação
dados pessoaisdas evidências dos Eventos de Segurança e Proteção de Dad
-Definir
Número e porcentagem
critérios de
deresponsabilidade Eventos
priorização de cada Incidentes
evento de Segurança
Segurança e por e Proteção
Proteção de Dados, de Dados tratados em um
divididos por categoria. período específico e q
Definir
- Aumento matrizemde porcentagem no volume dos grupos solucionadores,
de Eventos e Incidentes decategoria
Segurança doeIncidente
Proteção de Dados em um período específic
Criar
- Porcentagem de Incidentes de Segurança e Proteção de Dados que requereram envolvimentoDefinir
matriz RACI com o devido SLA (Service Level Agreement) para cada grupo solucionador procedimento
da aplicação da lei; de comun
Definir critérios
Identificar de finalização
componentes/recursos dos Incidentes
necessários para realizar a Gestão de
- Número de Eventos e Incidentes de Segurança e Proteção de Dados que foram registrados, mas não fechados; Riscos de Cyber Segurança
Identificar
Númerooepontos
-Atualizar de melhorias
porcentagem nos skills dos
de recorrências colaboradores
deidentificado
específicos e quais
Eventos treinamentos
e Incidentes são necessários para aderealização
Dados. do proce
Endereçar impacto
ações para causado
a Gestãopor decada risco
Riscos de Cyber na
Segurançaparametrização
como: dosde Segurança
riscos; e Proteção
-Listar
Reclamações/incidentes
todos os riscos de no contexto dasuas
identificados, Proteção de categorizações
Dados
- Definir metodologia Análise de com Riscos de devidas
Cyber Segurança, contendo: e priorização previamente definidas;
Listar os riscos
- Lista de ativos; identificados com a respectiva disposição;
Listar os riscos das
- Mapeamento queameaças
terão prioridade
(Ambientes na mitigação.
externos e internos a Organização);
-Definir Identificação
a tolerância das vulnerabilidades;
de risco operacional aceitados pelo negócio da Organização;
-Definir Definirostaxonomia
requisitos dos riscos, depara
necessários forma realização
a facilitar ado mitigação dos
de mesmos.
Definir todas as ferramentas e técnicasa que deverão ser processo
utilizadas Gestão
na de Riscos
contenção de Cyber
dos ricos Segurança;
organizacionais;
Categorizar
Procedimento
Criar uma lista ospara
riscos
dos incluindo
a realização
riscos as
operacionaisdoáreas de impacto
PIAbaseados
(Privacy decategorias
Impact
nas cada tipo dos
Assessment) de risco;
deve ser definido, verificando a necessidade de contemp
ativos;
Criar
Um
Atualizar critérios
PIA deve paraaplicado
ser
os parâmetros um melhor
desempre entendimento
risco quando houver:
periodicamente; dos riscos e os impactos, de forma que possam ser medidos corretamente.
-Elaborar
Listar os uma Um novo programa,
riscoslista sistema
operacionais
dos controles ou processo,
divididos
da gestão que
por serviço.
de riscoestiverem no âmbitode
que necessitam darevisão;
lei
-Elaborar
Definir Alteração
programade programas,
listadedo sistemas ou processos, que estiverem no âmbito deda deleiproteção
Elaborar
Planos de
uma
um plano
ações deatividades
devem
plano
mitigação
ser
identificadas,
de continuidade
de riscos
definidos com que
base
noleve
dos âmbito
serviços
nos em doque
novo
consideração
problemas
regulamento
necessitam revisão;
a classificação
identificados no
de dados,
PIA e o impacto
com risco
de cada o objetivo claro de a
identificado.
Criar
Criar um plano
uma listaosdos de revisão dos
responsáveis planos de
definidos continuidade
por endereçar de serviço,
e tratar contendo
os riscos os responsáveis
identificados. e a periodicidade de revisão;
Se
Definir, aplicável,
implantar resultados
e medir asobtidos
métricas node PIACyber
(incluindo issues),
Segurança devem ser comunicados às entidades reguladoras e trazer
a entidades
Manter
-Definir Efetuar a listaDPIA
um de riscos
aquando sempre da atualizada
introdução com
de o status
novos de para
programas, cada a elaboração
risco
sistemas
dos resultados
identificado.
ou
da gestão de risco e
processos, se os mesmos representaram risco p
poss
métricas, como estes exemplos:
-- Definir um procedimento
Porcentagem de ativos e para serviçosa realização de um DPIA
que foi impactado ou (Data
custo Privacy Impact Assessment)
de comprometimento para as atividades identificadas c
foi identificado;
-- Definir um
Porcentagem procedimento
de Gestão para
riscos identificados identificar e
queFísicatratar
possuem os problemas
um plano encontrados aquando da realização do DPIA
Elaborar plano de de Segurança contendo todasdeasmitigação,
atividadescom status definido;
necessárias, bem como as ferramentas e técnic
-Definir Quantidade
lista dosdeambientes
riscos queda não foram tratados;
Organização e categorização da criticidade;
Realizar
-Estabelecer, avaliações
Porcentagem de de risco
riscos que periódicas
ultrapassaram levando ade em consideração
tolerância de riscos o ambiente físico da Organização e sua localização.
Tipos todos de ameaças registrar e criar documentações
e vulnerabilidades incluem mas segurança física
não se limitam para
a: queos ambientes da Organização;
Listar
Identificar os ativos e
componentes/recursos instalações críticas
necessários da Organização
para realizar de forma
a Gestão de controles de
Segurança segurança possam ser criados para ge
Física.
-São Eventos, não
considerados criminoso,
alguns realizado
exemplos por
de pessoas
ambientes ou naturais;
críticos para a Organização: - Prédios da Organização
Identificar
-- Eventos pontos de melhorias
criminosos como roubos, nos skills
acesso dosnãocolaboradores
autorizado ou e quais treinamentos são necessários
sabotagem; para a erealização
seus ambientes in
do proce
Implementar Fábricas; controlessociaisde segurança física, como
-- Mudanças Data centers; políticas, ou demográficas na por exemplo:
localização da Organização;
-Listar
-- Pessoas, Implantar um
resultados processo
incluindoda as
análisede
que controle
possam
de risco de
ter
para acesso
conhecimento
cada na
tipo entrada
de sobre
ativo dooedifício;
edifício.
-Identificar Outros
Posicionarlocais onde exista trânsitoàs decatracas
funcionários paraemonitorar
equipamentos.
Identificar asseguranças
categorias
ativos que fazemepróximos
prioridades
parte do dos riscos
processo de Continuidade
a entrada e saída de funcionários;
de Negócios ;
-Definir Instalar câmeras
planos de segurança
depolíticas
ação para mitigar emos todos
riscos osidentificados
andares da Organização, de forma que todo o complexo seja monitorado;
Documentar
-Definir Instalar em
controles de e
acesso procedimentos
a todos os todos
andares os
do controles
prédio de de segurança
forma a protegerrelacionados
os ativos aos ativos da Organização,
e informações da Organização;de forma
métricas, como estes exemplos:
-Identificar
- Conscientizar
Porcentagem os ativos
de funcionários
componentes/recursos a sempre
organizacionais
necessários utilizarem
inventariados o cracháa àGestão
para realizar mostrade enquanto estiverem na Organização;
Vulnerabilidades.
-Identificar
Implementar
- Porcentagem pontoscontrole
dede ativos de acesso
com/sem
melhorias biométrico
nosresponsáveis em ambientes críticos;
definidos e quais treinamentos são necessários para a realização do proce
skills dos colaboradores
Definir
- Porcentagem
Endereçar um procedimento
ações depara
ativos de análise
críticos
a Gestão para
de deovulnerabilidades
negócio
Vulnerabilidades como:que faça com que a Organização entenda as ameaças que elas repre
-ADefiniranáliseescopo
Porcentagem de vulnerabilidades
de ativos
para que não
realizar adeve incluir
atentem
Gestão dasatividades
os requisitos como:
Vulnerabilidades de resiliência
(TI, Processos e Pessoas)
-- Entender
Identificarrelação
pontos de entre ameaças
melhorias nose exposição por conta das e
skills dos colaboradores vulnerabilidades
quais treinamentos identificadas;
são necessários para a realização da anál
-- Revisar
Identificar documentações
pontos de para
melhorias identificar
nas a existência
ferramentas/soluções da mesma
para vulnerabilidade
realizar a no passado,
identificação, análise bem como quais
e Gestão das ações foram to
Vulnerabilidades
Recomenda-se
-- Identificar e a avaliação
entender as anual dos das
causas-raiz fornecedores, com relação a requisitos de segurança
vulnerabilidades; da informação e proteção dos dad
Definir política de Gestão de Vulnerabilidades e procedimentos necessários;
-- Priorizar,
Identificarcategorizar
a relação de astécnicas
vulnerabilidades
e ferramentas e definir responsável
necessárias para para que ações análise,
identificação, apropriadas sejam monitoramento
mitigação, tomadas para reduzir ou e
e comunica
-- Definir
Comunicar comde
critérios a área de gestão da
categorização de vulnerabilidade;
riscos quando há necessidade de implantar uma estratégia diferenciada para mitigação
- Identificar custos associados ao processo;
- Mapear stakeholders do processo.
Elaborar a estratégia levando em consideração os seguintes pontos:
- Aplicar patches em softwares, sistemas e firmwares;
-Definir Desenvolver
um processoe implementar novos controles
de identificação de proteçãono
de vulnerabilidades ouambiente
atualizarda controles existentes;
Organização, que pode incluir diferentes técnicas, co
-- Desenvolver e implementar novos panos de continuidade de serviços
Avaliações internas por vulnerabilidades utilizando ferramentas automatizadas e análises ou atualizar os existentes;
manuais;
-- Garantir Realizaçãoquedetodos os stakeholders
avaliações externas do vulnerabilidades
de processo tenhamutilizandociências das vulnerabilidades;
ferramentas automatizadas e análises manuais;
Realizar
-- Atualizar análise
odos de causa
repositório de raiz das vulnerabilidades
vulnerabilidades identificadas
com informações sobre a estratégia de gestão de vulnerabilidades;
Definir A revisão
métricas, resultados
como de auditorias internas
estes exemplos: abertas; e externas;
-- Monitorar A os status
revisão periódica das
dos vulnerabilidades
catálogos que de vulnerabilidades doanálise
mercado
--- Analisar Porcentagem
a de vulnerabilidades
eficiência denecessita deVulnerabilidades
uma de(ex:
causaCERT,raiz; MITRE, etc);
-A subscriçãode
Quantidade em serviçosestratégias
das de notificação
vulnerabilidades
Gestão de
por vulnerabilidades
identificadas X Quantidade dedos
para garantir
fabricantes;
vulnerabilidades
que os objetivos foram alcançados.
mitigadas;
--Recomenda-se A subscrição em
Porcentagem mailings que divulgam
quevulnerabilidades
de um conjunto depor novas
políticas de vulnerabilidades;
criticidade; segurança da informação seja definido, aprovado pela direção, publicado e co
-- A
Políticas revisão
de de relatórios
segurança de
geral vulnerabilidades
de informação
Porcentagem de vulnerabilidades por categoria; e grupos
devem serde notícias feitos
definidas, pela indústria depelo
onde recomendamos Cyber Segurança.
menos o seguinte conteúdo:
a) Objetivo
- Porcentagem de vulnerabilidades por status de tratamento;
b)
- Tempo Abrangência
médio de mitigação das vulnerabilidades por criticidade.
c) Histórico de revisões
Definir
d) Resumo Executivo processo que será seguido para as solicitações de Direito ao Esquecimento, contemplando:
-Recomenda-se
e) Definições Exclusão; que seja realizado um teste de invasão, para garantir que dados pessoais sejam comprometidos
-f)Restrição; Sanções - Objeção.
Onde
Definir
g) deverá
política
Papéis ser definindo umade
e procedimento
e responsabilidades matriz contemplando:
recolha e utilização de dados pessoais de crianças e menores
-h)Sistemas; Classificação da Informação
Definir
-i) Responsáveis; a responsabilidade
- Dados pela área
tratados; da Proteção de Dados a um indivíduo (por exemplo, DPO, RPD e consultor externo).
Controle de acesso
Recomenda-se que o (Físico e Lógico)
responsável possua funções de supervisão independente.
-j)
Métricas Plano
Códigosde comunicação;
associadas ao tema da Proteção dos Dados devem ser definidas, tais como:
maliciosos/Ransomwares
-l) Prazos
Quantidade de não conformidades
Desenvolvimento/Manutenção deidentificadas
Sistemas X tratamentos realizados
Este
Quantidade
m) processo de deve
Dispositivos ser automatizado,
vulnerabilidades
Móveis na medida
identificadas do possível,
que tem o risco de e vazamento
bem definido, depara
dados evitar o risco de erro humano na execuçã
pessoais
Definir
Quantidade política clara,
depara seguindo
incidentes os seguintes
de Segurança princípios:
e Proteção
n)
Relativa
Uso de Correio
Procedimento Eletrônico
responder
pelo quala pedidos de acesso ados
dadosDados identificados
pessoais, deve X corrigidos
conter uma matriz com:
Uso deaoInternet
Solicitações
o)
-Definir Sistemas;
propósito
de esquecimento
p) Programa os
de dados
realizadas são
X recolhidos,
atendidas
Conscientização e adequada
q) Proteção ao ciclo
e privacidade de
da vida dos
informaçãodados.
de identificação pessoal r) Segu
t) o "uso secundário"
Terceirização/Fornecedores de dados pessoais, onde será descrito a utilização dos dados
u) Tópicos orientados aos usuários finais: 1) uso aceitável dos ativos; pessoais para outros fins para além d
-DefinirResponsáveis;
e manter - Plano
uma de comunicação;
política de privacidade de dados transversal a toda a organização.
2) mesa Limpa
-Controles
Prazos de e Tela Limpa; 3) transferência de informações; 4) dispositivos móveis e trabalho remoto; 5) restrições sobre o
resposta
Atualizar
v) Tratamento adePolítica
segurança de Privacidade
de Incidentes da informação em todas
de Segurança asInformação
e proteção
da plataformas
de dados da organização
devem
Para por forma
ser implementados
dar base a política ano
geral,garantir claramente
asdesenho,
seguintes asespecíficas
práticasderelativ
desenvolvimento
normas novo
rec
Definir
Recomenda-setermos como:
que a- Privacidade:
aplicação direito
implemente em os manter
seguinteso domínio sobre
controles: o nosso corpo,
b) Norma de Controlo de Acesso Lógico; c) Norma de Classificação da Informação; d) Norma de Gestão de Backup e Restorecasa, propriedade, pensamentos, sentim
Dados
Normapessoais
-f)Arquitetura sensíveis,
de Segurança;
de Gestão entre outros.
de Incidentes de Segurança da Informação; g) Norma de Gestão de Terceiros; h) Norma de Retenção de
-i) Comunicação
Norma de Restrição segura,deentre Usocliente e servidor;
de Software;
-j) Controle de acesso seguro;
Norma de Uso do Correio Eletrônico; l) Norma de Uso de Equipamentos Portáteis; m) Norma de Uso de Internet.
- Configuração segura do servidor/serviço;
Implementar
- Integraçõescontrole
externasde aceite do processamento dos dados pessoais, pelos titulares, nos cadastros onde são recolhidos dad
seguras;
As
- Trilhas de Auditoria (Log);customizáveis conforme a necessidade da Organização.
mensagens devem ser
- Tratamento de Erros (Exceções);
- Validação dos dados entradas, do lado do servidor.
Para todo cadastro de menor de idade, deve ser solicitado autorização de um adulto ou responsável maior de idade.
A maioridade se diferencia em cada país, o sistema deve permitir customizar este parâmetro, para definir a maioridade por pa
Dados pessoaisacomo
Recomenda-se o user e a password
implementação de protocolodevem ser armazenados
de criptografia de forma segura
na comunicação entre o ecliente
utilizando algoritmos
e o servidor, de hash
evitando forte
que essa(SH
Bases
Possuir de dados contendo
a funcionalidade dedados pessoais
segundo devem
fator ode era protegidos,
autenticação (2FA) com controles como:
-- Aplicações web, deve ser implementado HTTPS
Segmentação da rede, entre banco de dados e aplicação; e habilitar a flag HSTS.
-- Aplicações
Aplicação de cliente servidor,
baseline deve ser implementado a criptografia na comunicação dos dados entre estes meios.
de segurança;
-- Serviços
Controle em Cloud, por ex: Office 365,qualquer
implementar a criptografia dosaoe-mails.
Existem 2 de acesso,
tipos não de
diferentes permitir que
cookies: - Session pessoa tenhacookie
cookie: Este acesso Database;
é excluindo quando se fecha o browser
-- Não
Persistent cookie: Este cookie permanece no dispositivo por um período desenvolvimento;
permitir o uso de dados pessoais em databases de homologação e pré definido
-Quanto
Firewallaodedomínio
Database (se possível).
ao qual pertence, existem:
- First-party cookies: Mesmo domínio do web server.
-Recomenda-se o usoDomínio
Third-party cookies de blacklists comex
externo, osGoogle
titularesAnalytics
que solicitem o direito ao esquecimento. Onde permita que os dados sejam
Para cada um desses cookies deve-se seguir as seguintes regras:
-OsFirst partypessoais
dados session que
cookies: NÃO precisa
não precisam do consentimento.
ser identificados devem ser anonimizados, como por exemplo uma pesquisa de satisfaç
- First party persistent cookies: Necessita do consentimento, só deve ser usado quando realmente necessário, com período d
- Todos third party session and persistent cookies: Necessita de consentimento. Este tipo de cookie deve ser evitado no porta
O ambiente
Deve de testes
ser exibido uma ebarra
de produção
onde deixedevem
claroseros segmentados e dados
cookies que estão sendoreais não podem
utilizados pela ser utilizados
aplicação no ambiente
e solicitar de testes,
o consentimento
No link abaixo éque
Recomenda-se demonstrado
a aplicaçãoque o titular aceita
implemente todos oscontroles,
os seguintes cookies ou nega
tanto todos
para os os cookies
titulares que não
quanto parasão
os essenciais, não sen
administradores do
http://ec.europa.eu/ipg/basics/legal/cookies/index_en.htm
- Autenticação / Autorização;
- Atribuir papéis às Identidades (Segregação de Função);
- Gerenciamento de Sessão segura.
Causa raíz Severidade
Conscientização High
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de fraude
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Risco de violação da legislação e/ou das regulamentações Risco de perda de valor de mercado
Aceito
Corrigido
Pendente
Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Pendente
Risco de violação de confidencialidade Risco de perda financeira Risco de erro humano Pendente
Pendente
Pendente
Pendente
Pendente