📖 Resumo - Capítulo 11
🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
- Policy (Política): Alto nível, estratégico ("por que fazer")
- Standard (Padrão): Requisitos obrigatórios ("o que fazer")
- Procedure (Procedimento): Passo a passo ("como fazer")
- Guideline (Diretriz): Recomendações não obrigatórias
- Governança centralizada vs descentralizada vs híbrida
- Papéis de dados: Owner, Controller, Processor, Custodian
- Change Management: Request → Approval → Test → Implement → Document
- CAB (Change Advisory Board): Comitê que aprova mudanças
- Automation vs Orchestration: Tarefa única vs workflow completo
- Playbook vs Runbook: Checklist vs automação por condições
- Technical debt (dívida técnica): Risco de automação mal implementada
- Operator fatigue (fadiga do operador): Reduzida por automação
1️⃣ Governance (Governança)
Modelos de Governança
📌 Centralizada
Decisões concentradas em um grupo/departamento. Promove consistência e padronização.
📌 Descentralizada
Decisões distribuídas por unidades organizacionais. Permite adaptabilidade às necessidades locais.
📌 Híbrida
Combina centralização de políticas com implementação descentralizada.
Papéis na Governança de Dados
| Papel | Responsabilidade |
|---|---|
| Owner (Proprietário) | Define classificação, nível de acesso e segurança dos dados. |
| Controller (Controlador) | Determina propósitos e meios de processamento (GDPR). |
| Processor (Processador) | Processa dados em nome do controller (ex: cloud provider). |
| Custodian/Steward (Custódio) | Implementa regras de negócio (TI). |
Governance Board vs Committee
- Board (Conselho): Composto por executivos, autoridade final, define direção estratégica.
- Committee (Comitê): Especialistas que analisam questões específicas e fornecem recomendações ao board.
2️⃣ Policies, Standards, and Procedures
Hierarquia de Documentos de Segurança
📜 Policy (Política)
Documento de alto nível, aprovado pela alta gestão. Define objetivos de segurança, responsabilidades e requisitos gerais.
Nível: Estratégico (POR QUE fazer)
📏 Standard (Padrão)
Requisitos específicos e obrigatórios. Ex: "Senhas devem ter 12+ caracteres".
Nível: Tático (O QUE fazer)
📋 Procedure (Procedimento)
Passo a passo detalhado para executar uma tarefa.
Nível: Operacional (COMO fazer)
💡 Guideline (Diretriz)
Recomendações e melhores práticas, não obrigatórias.
Tipos Específicos de Políticas
- AUP (Acceptable Use Policy): Define uso aceitável de recursos corporativos (email, internet, dispositivos). Tem força legal.
- Information Security Policies: Regras para proteção de informações.
- Business Continuity & COOP: Planos para manter operações durante desastres.
- Disaster Recovery: Passos para recuperar sistemas após desastre.
- Incident Response: Processos para lidar com incidentes de segurança.
- SDLC (Software Development Life Cycle): Governa desenvolvimento de software.
- Change Management: Processo formal para gerenciar mudanças.
3️⃣ Change Management
Processo de Mudança
1. Request
Solicitação formal (RFC)
Solicitação formal (RFC)
2. Approval
Análise pelo CAB
Análise pelo CAB
3. Test
Testar em ambiente controlado
Testar em ambiente controlado
4. Implement
Implementar em produção
Implementar em produção
5. Document
Documentar mudança
Documentar mudança
CAB (Change Advisory Board)
- Comitê que analisa mudanças propostas
- Composto por stakeholders: TI, segurança, áreas de negócio, gestão
- Avalia impacto, risco, recursos e janelas de manutenção
- Aprova ou rejeita solicitações de mudança
Tipos de Mudança
| Tipo | Descrição |
|---|---|
| Normal Change | Mudança planejada, segue processo completo |
| Emergency Change | Mudança crítica não planejada (incidente, patch urgente). Processo acelerado, mas ainda documentado. |
| Standard Change | Mudança de baixo risco, pré-aprovada (ex: nova VM, backup). |
⚠️ REGRA DE OURO: Toda mudança deve ter um plano de rollback (backout plan) e ser testada antes da implementação em produção.
Stakeholders vs Owners
- Owners (Proprietários): Responsáveis por implementar a mudança.
- Stakeholders (Partes Interessadas): Indivíduos ou grupos impactados pela mudança (funcionários, clientes, parceiros).
Legacy Systems (Sistemas Legados)
- Tecnologia obsoleta → incompatibilidade com sistemas novos
- Documentação pobre ou inexistente
- Falta de suporte do vendor
- Customizações complexas
- Alto risco de impacto em operações críticas
4️⃣ Automation and Orchestration
⚙️ Automation (Automação)
Execução automática de tarefas individuais
- Scripts (Python, PowerShell, Bash)
- Ex: provisionamento de usuário, backup
- Reduz erros humanos
- Consistência
🔄 Orchestration (Orquestração)
Coordenação de múltiplas automações em um workflow
- Integra sistemas diferentes
- Ex: deploy completo de servidor
- Resposta automatizada a incidentes
- SOAR (Security Orchestration, Automation and Response)
Conceitos Relacionados
| Conceito | Descrição |
|---|---|
| CI/CD | Continuous Integration/Continuous Deployment. Automatiza build, teste e deploy. Essencial em DevOps. |
| IaC (Infrastructure as Code) | Gerencia infraestrutura via código (Terraform, CloudFormation). Versionamento, repetibilidade. |
| SOAR | Security Orchestration, Automation and Response. Plataforma para automatizar resposta a incidentes com playbooks. |
| Playbook | Checklist ordenado para ameaça específica (foco em padronização). |
| Runbook | Protocolos automatizados por condições (foco em automação). |
Benefícios da Automação
- Consistência: Mesmo processo sempre executado igual
- Redução de erros humanos: Menos falhas manuais
- Resposta mais rápida: Incidentes são tratados em segundos
- Escalabilidade: Gerencia milhares de sistemas com mesmo esforço
- Auditabilidade: Logs e registros automáticos
Riscos da Automação
- Complexidade: Pode adicionar complexidade se mal planejada
- Custo inicial: Ferramentas, integração, treinamento
- Single point of failure: Sistema crítico pode falhar
- Technical debt (dívida técnica): Código mal documentado, integrações frágeis
- Operator fatigue (fadiga do operador): Reduzida pela automação, mas requer monitoramento
🎯 DICAS FINAIS PARA PROVA:
- Policy: Alto nível (POR QUE) | Standard: Obrigatório (O QUE) | Procedure: Passo a passo (COMO)
- Guideline: Recomendação, não obrigatório
- Governança centralizada: decisões concentradas | descentralizada: decisões distribuídas
- Data Owner: classifica dados | Controller: define processamento | Processor: executa | Custodian: implementa
- Change Management: Request → Approval → Test → Implement → Document
- CAB: Comitê que aprova mudanças
- Emergency Change: Crítica, processo acelerado
- Automation: Tarefa única | Orchestration: Workflow completo
- SOAR: Orquestração de segurança
- IaC: Infraestrutura como código (Terraform)
- Technical debt (dívida técnica): código mal documentado, integrações frágeis