📖 Resumo - Domínio 5: Governança, Risco e Conformidade
🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
- Policy: Alto nível, estratégico ("por que fazer")
- Standard: Requisitos obrigatórios ("o que fazer")
- Procedure: Passo a passo ("como fazer")
- Inherent Risk: Risco natural (sem controles)
- Residual Risk: Risco remanescente (após controles)
- ALE = SLE × ARO (cálculo de risco quantitativo)
1️⃣ Documentos de Governança
📜 Policy (Política)
Documento de alto nível, aprovado pela alta gestão. Define objetivos, responsabilidades e requisitos gerais. Ex: Política de Senhas, Política de Uso Aceitável.
Nível: Estratégico (POR QUE fazer)
📏 Standard (Padrão)
Requisitos específicos e obrigatórios. Ex: "Senhas devem ter 12+ caracteres", "Usar AES-256".
Nível: Tático (O QUE fazer)
📋 Procedure (Procedimento)
Passo a passo detalhado para executar uma tarefa. Ex: "Como provisionar um novo usuário".
Nível: Operacional (COMO fazer)
💡 Guideline (Diretriz)
Recomendações e melhores práticas, não obrigatórias. Ex: "Recomenda-se usar um gerenciador de senhas".
Tipos Específicos de Políticas
- AUP (Acceptable Use Policy): Define uso aceitável de recursos corporativos (email, internet, dispositivos). Tem força legal.
- NDA (Non-Disclosure Agreement): Acordo de confidencialidade para proteger segredos comerciais.
- Data Classification Policy: Define categorias de dados baseadas em sensibilidade.
2️⃣ Change Management
1. Request
Solicitação formal de mudança
2. Approval
Análise e aprovação pelo CAB
3. Test
Teste em ambiente controlado
4. Implement
Implementação em produção
5. Document
Documentação da mudança
CAB (Change Advisory Board)
- Comitê que analisa mudanças propostas
- Composto por stakeholders: TI, segurança, áreas de negócio, gestão
Tipos de Mudança
- Normal Change: Mudança planejada, segue processo completo
- Emergency Change: Mudança crítica não planejada (incidente, patch urgente). Processo acelerado.
- Standard Change: Mudança de baixo risco, pré-aprovada.
3️⃣ Conceitos de Risco
| Conceito | Descrição |
|---|---|
| Inherent Risk | Risco natural sem controles implementados. É o baseline. |
| Residual Risk | Risco que permanece após a implementação de controles. |
| Risk Appetite | Quantidade total de risco que a organização está disposta a aceitar. Decisão estratégica. |
| Risk Tolerance | Variação aceitável no apetite de risco. Nível operacional. |
| Risk Assessment | Processo de identificar, analisar e priorizar riscos. |
4️⃣ Análise Quantitativa de Riscos
⚠️ FÓRMULAS CRÍTICAS:
- ALE = SLE × ARO (Perda anual esperada)
- SLE = AV × EF (Perda por ocorrência)
- ARO = Frequência anual do risco
- EF = % do ativo perdido no ataque
- AV (Asset Value) = Valor monetário do ativo
| Métrica | Descrição |
|---|---|
| ALE | Annual Loss Expectancy. Perda anual esperada. |
| SLE | Single Loss Expectancy. Perda por ocorrência. |
| ARO | Annual Rate of Occurrence. Frequência anual. |
| EF | Exposure Factor. Percentual de perda. |
Exemplo Prático
Servidor com valor de R$100.000 (AV), fator de exposição 0.5 (perde 50% em ataque), ocorre uma vez a cada 2 anos (ARO = 0.5).
- SLE = R$100.000 × 0.5 = R$50.000
- ALE = R$50.000 × 0.5 = R$25.000/ano
5️⃣ Business Continuity
BIA (Business Impact Analysis)
- Identifica processos críticos de negócio
- Define RTO, RPO e MTD para cada processo
- Base para Disaster Recovery Plan (DRP) e Business Continuity Plan (BCP)
Métricas de Continuidade
- RTO (Recovery Time Objective): Tempo máximo que um processo pode ficar offline.
- RPO (Recovery Point Objective): Quantidade máxima de dados que pode ser perdida.
- MTD (Maximum Tolerable Downtime): Tempo máximo que organização pode operar sem o processo.
- MTBF (Mean Time Between Failures): Tempo médio entre falhas (confiabilidade).
- MTTR (Mean Time To Repair): Tempo médio para reparo.
6️⃣ Vendor Management (Gestão de Terceiros)
- Due Diligence: Avaliação pré-contrato do fornecedor. Inclui background check, controles de segurança, saúde financeira.
- Due Care: Ações contínuas após o contrato. Monitoramento, auditorias, verificação de conformidade.
- SLA (Service Level Agreement): Contrato que define níveis de serviço: uptime, tempo de resposta, penalidades.
- Right-to-Audit: Cláusula que permite auditar o fornecedor.
- Vendor lock-in: Dependência excessiva de um fornecedor.
7️⃣ Auditoria
| Tipo | Descrição |
|---|---|
| Internal Audit | Realizado por equipe interna independente (reporta ao board). |
| External Audit | Realizado por firma externa independente. Mais credibilidade. |
| First-Party | Auto-avaliação (a própria organização se avalia). |
| Second-Party | Avaliação de fornecedor/parceiro (vendor audit). |
| Third-Party | Avaliação independente (certificação externa). |
8️⃣ Classificação de Dados
Public
Informações públicas (site, marketing)
Informações públicas (site, marketing)
Internal
Uso interno (manuais, políticas)
Uso interno (manuais, políticas)
Confidential
Dados sensíveis (PII, financeiro)
Dados sensíveis (PII, financeiro)
Restricted
Altamente sensível (segredos)
Altamente sensível (segredos)
9️⃣ Regulamentações e Compliance
GDPR
General Data Protection Regulation. União Europeia. Proteção de dados pessoais. Multas até €20M ou 4% do faturamento global.
LGPD
Lei Geral de Proteção de Dados. Brasil. Baseada no GDPR. Fiscalizada pela ANPD. Multas até 2% do faturamento (R$50M).
HIPAA
Health Insurance Portability and Accountability Act. EUA. Proteção de dados de saúde (PHI).
PCI DSS
Payment Card Industry Data Security Standard. Proteção de dados de cartões de crédito. 12 requisitos.
SOX
Sarbanes-Oxley Act. EUA. Governança corporativa e controles financeiros para empresas públicas.
🔟 Data Destruction
| Método | Descrição |
|---|---|
| Shredding | Destruição física de papel ou discos. Cross-cut shredder é mais seguro. |
| Wiping | Sobrescrever dados em disco com padrões de bits. DoD 5220.22-M para alta segurança. |
| Degaussing | Campo magnético para apagar mídias magnéticas (HDDs, fitas). Torna a mídia inutilizável. |
| Incineration | Queima controlada de mídias. Destruição completa. |
1️⃣1️⃣ Políticas de Pessoal
Background Check (Verificação de Antecedentes)
- Verificação criminal, histórico profissional, educação, crédito (para cargos financeiros).
- Realizada antes da contratação.
Ciclo de Vida do Funcionário
- Onboarding (Admissão): Concessão gradual de acessos (least privilege), treinamento de segurança, assinatura de políticas (AUP, NDA).
- Role Changes (Mudança de Função): Revisão de privilégios, remoção de acessos antigos.
- Offboarding (Desligamento): Revogação imediata de todos os acessos, recolhimento de ativos (laptop, badge).
Princípios Fundamentais
- PoLP (Principle of Least Privilege): Usuários recebem apenas as permissões mínimas necessárias.
- SoD (Segregação de Funções): Divide tarefas críticas entre múltiplas pessoas para prevenir fraudes.
🎯 DICAS FINAIS PARA PROVA:
- Policy: Alto nível (POR QUE) | Standard: Obrigatório (O QUE) | Procedure: Passo a passo (COMO)
- Guideline: Recomendação, não obrigatório
- Inherent Risk: sem controles | Residual Risk: após controles
- ALE = SLE × ARO (decorar!)
- SLE = AV × EF
- RTO: tempo offline | RPO: dados perdidos
- MTD > RTO (sempre)
- Due Diligence: antes | Due Care: depois
- Data Classification: Public, Internal, Confidential, Restricted
- GDPR (UE) | LGPD (Brasil) | HIPAA (saúde) | PCI DSS (cartões)