🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
- Policy vs Standard vs Procedure: Policy (alto nível, estratégico), Standard (requisitos obrigatórios), Procedure (passo a passo)
- Change Management: RFC → Review → Approval → Documentation
- GDPR: Consentimento informado, direito de acesso, retificação, apagamento
- Data Governance Roles: Owner, Controller, Processor, Custodian
- Automation: Reduz operator fatigue, workforce multiplier
1️⃣ Security Governance (Governança de Segurança)
Definição
Aspecto crítico da postura geral de segurança da organização. Fornece framework que guia gerenciamento de riscos de cibersegurança.
Componentes da Governança
- Papéis e responsabilidades de vários stakeholders
- Cultura de awareness de segurança
- Gerenciamento e compliance com leis, regulações, obrigações contratuais
- Suporte a objetivos estratégicos
- Monitoramento contínuo e melhoria
- Adaptação a ameaças evoluindo
Governance Boards e Committees
| Governance Boards |
Governance Committees |
| Executivos de alto nível e stakeholders externos |
Subject matter experts e líderes operacionais |
| Autoridade de tomada de decisão final |
Análise profunda, recomendações, suporte operacional |
| Definem direção estratégica e políticas |
Foco em problemas específicos (segurança, risco, auditoria) |
Modelos de Governança
🏛️ Centralized
- Autoridade com grupo core único
- Controle central de recursos
- Consistência e padronização
🏢 Decentralized
- Autoridade distribuída
- Decisões baseadas em necessidades locais
- Maior adaptabilidade
🔄 Hybrid
- Combina centralizado e descentralizado
- Oversight centralizado + implementação local
- Políticas padronizadas com flexibilidade
2️⃣ Data Governance Roles
| Papel |
Responsabilidades |
| Owner (Proprietário) |
- Ultimamente responsável por proteger dados
- Identifica classificação e sensibilidade
- Decide quem deve ter acesso
- Define nível de segurança aplicado
|
| Controller (Controlador) |
- Identifica propósitos de processar dados
- Garante compliance legal (GDPR)
|
| Processor (Processador) |
- Processa dados em nome do controller
- Mantém registros, coopera com autoridades
- Implementa medidas de segurança
|
| Custodian (Custodiante) |
- Custódia, transporte, armazenamento
- Implementa regras de negócio
- Implementa e enforça controles
|
⚠️ Coordenação entre papéis é crucial para garantir compliance, responsabilidades claras e integridade dos dados.
3️⃣ Legal Environment e Due Care
Due Care
Termo legal significando que pessoas responsáveis não foram negligentes em descarregar seus deveres. Negligência pode criar responsabilidades criminais e civis.
Exemplos de Leis (EUA)
- SOX (Sarbanes-Oxley): risk assessments, controles internos, auditoria
- Computer Security Act (1987): agências federais devem desenvolver políticas de segurança
- FISMA (2002): governa segurança de dados processados por agências federais
Leis Globais
🇪🇺 GDPR (UE)
- Consentimento informado
- Dados coletados apenas para propósito declarado
- Direitos: retirar consentimento, inspecionar, emendar, apagar
- Multas enormes por não-compliance
🇺🇸 CCPA (Califórnia)
- Saber quais informações são coletadas
- Propósito da coleta
- Acessar e deletar informações
- Opt out de venda de informações
Leis por País
| País |
Leis |
| EUA |
HIPAA (saúde), GLBA (financeiro), FISMA (governo) |
| Reino Unido |
Data Protection Act 2018, NIS Regulations |
| Canadá |
PIPEDA |
| Índia |
Information Technology Act 2000 |
| Austrália |
Privacy Act 1988 |
Leis por Setor
🏥 Saúde
HIPAA (EUA), GDPR (UE)
💰 Financeiro
GLBA, PCI DSS
🎓 Educação
FERPA, CIPA, COPPA
🏛️ Governo
FISMA, CJIS, GSC
4️⃣ Policies, Standards, Procedures e Guidelines
Hierarquia
📜 Policy (POR QUE fazer) → 📏 Standard (O QUE fazer) → 📋 Procedure (COMO fazer) → 💡 Guideline (Recomendações)
| Documento |
Descrição |
| Policy (Política) |
Documentos de alto nível, autoritativos. Definem comprometimento de segurança, regras para cultura corporativa. |
| Standard (Padrão) |
Mais específicos, especificam métodos para implementar requisitos. Ex: estado de configuração, baseline de performance. |
| Procedure (Procedimento) |
Instruções detalhadas step-by-step para completar tarefas. |
| Guideline (Diretriz) |
Recomendações, melhores práticas, permitem discrição. |
Tipos de Políticas Organizacionais
AUP (Acceptable Use Policy)
- Comportamento de navegação, conteúdo apropriado
- Downloads de software, manuseio de dados sensíveis
- Consequências por não-compliance
- Funcionários devem assinar acknowledgement
Information Security Policies
Garantem que usuários cumpram regras e diretrizes de segurança.
Business Continuity & COOP
Processos críticos que devem permanecer operacionais durante disrupção.
Disaster Recovery
Passos para recuperar de evento catastrófico (desastre natural, breach).
Incident Response
Processos após breach: identificar, investigar, controlar, mitigar, comunicar.
SDLC (Software Development Life Cycle)
Governam desenvolvimento de software, estágios desde requisitos até manutenção.
Change Management
Como mudanças a sistemas de TI e software são solicitadas, revisadas, aprovadas, implementadas.
5️⃣ Industry Standards
Padrões Comuns
| Padrão |
Descrição |
| ISO/IEC 27001 |
Framework ISMS (Information Security Management System) |
| ISO/IEC 27002 |
Orientação detalhada sobre controles específicos |
| ISO/IEC 27017 |
Específico para cloud services |
| ISO/IEC 27018 |
Proteger PII em public clouds |
| NIST SP 800-63 |
Diretrizes de identidade digital (senhas, controle de acesso) |
| PCI DSS |
Proteger cardholder data |
| FIPS |
Requisitos de criptografia para sistemas federais |
Seleção de Padrões
- Requisitos regulatórios: driver primário
- Necessidades específicas de negócio: PCI DSS para cartões, ISO 27017/27018 para cloud
- Estratégias de gerenciamento de risco: ISO 27001 fornece framework
- Melhores práticas de indústria: aderência a padrões testados
- Expectativas de stakeholders: clientes, parceiros, investidores
💡 Decisão estratégica: Escolha de padrões não é procedural, mas sim estratégica, balanceando requisitos legais, necessidades de negócio, gerenciamento de risco, melhores práticas e expectativas.
6️⃣ Internal Standards
Password Standards
- Hashing Algorithms: requisitos para funções hash
- Password Salting: métodos para proteger hashes de rainbow tables
- Secure Password Transmission: cipher suites apropriadas
- Password Reset: verificação de identidade para resets
- Password Managers: requisitos para uso
Access Control Standards
- Access Control Models: RBAC, DAC, MAC
- User Identity Verification: senhas, tokens, biometria
- Privilege Management: acesso mínimo requerido
- Authentication Protocols: Kerberos, OAuth, SAML
- Session Management: timeouts, cookies seguros
- Audit Trails: capacidades de auditoria
Physical Security Standards
- Building Security: cartão de acesso, CCTV, guardas
- Workstation Security: proteção de laptops
- Datacenter Security: acesso por cartão, biometria, logs
- Equipment Disposal: dados irrecuperáveis
- Visitor Management: sign-in/sign-out, badges
Encryption Standards
- Encryption Algorithms: AES (simétrico), ECC (assimétrico)
- Key Length: comprimentos mínimos
- Key Management: geração, distribuição, armazenamento, rotação, revogação
7️⃣ Procedures and Playbooks
Procedures
- Instruções step-by-step e checklists
- Garantem que tarefa cumpre com política
Playbooks
Repositório central de estratégias bem-definidas e padronizadas.
Propósitos:
- Guiar Pessoal: consistência em operações, qualidade e efetividade
- Facilitar Compartilhamento de Conhecimento: continuidade quando funcionários saem
- Mitigar Risco: documentando procedimentos críticos
- Ajudar Onboarding: novos membros aprendem rapidamente
- Quality Assurance: definir processos, identificar áreas problemáticas
- Incident Response: essenciais para gerenciamento de crise
📚 Frameworks: MITRE ATT&CK (https://attack.mitre.org), NIST SP 800-61
8️⃣ Change Management
Definição
Abordagem sistemática para gerenciar todas mudanças feitas dentro de infraestrutura de TI. Objetivo primário: minimizar risco e disrupção.
Mudanças Tipicamente Gerenciadas
Software deployments
System updates
Software patching
Hardware replacements/upgrades
Network modifications
Configuration changes
New product implementations
Software integrations
Support environment changes
Processo de Aprovação
1. RFCRequest for Change (detalhes)
2. Initial ReviewFeasibility, riscos
3. Formal ApprovalStakeholders relevantes
4. DocumentationTracking de status
Implementação
- Planejamento cuidadoso: considerar dependências
- Trial: testar mudanças maiores primeiro
- Rollback (Remediation) Plan: obrigatório!
- Scheduling: maintenance windows
- Post-Implementation: avaliar impacto, revisar, documentar
Allow Lists vs Block Lists
| Allow Lists |
Block Lists |
| Software/hardware/change types aprovados |
Software/hardware/change types bloqueados |
| Mudanças rotineiras/baixo risco |
Problemas conhecidos de segurança |
| Streamline change management |
Previnem mudanças não autorizadas |
⚠️ Impacto Técnico: Allow lists baseadas em file hashes podem falhar após patching (hash values mudam). Importante incorporar no plano de testes.
Restarts, Dependencies e Downtime
- Restarts: reconfigurações e patches frequentemente requerem restart
- Dependencies: serviços dependem de outros, restart em uma área impacta outra
- Maintenance Windows: agendar durante off-peak
- Comunicação: informar stakeholders sobre outages
Mudanças que Requerem Restarts
- Software upgrades e patches
- Configuration changes
- Infrastructure changes (switches, roteadores)
- Security changes (criptografia, controle de acesso)
Legacy Systems
Desafios
- Tecnologia desatualizada (problemas de compatibilidade)
- Falta de documentação comprehensiva
- Falta de vendor support
- Pesadamente customizados
Soluções
- Virtualization, emulation, interpreters
- Custom "fit-gap" software
- Extensive testing e planos meticulosos
Version Control
- Propósito: tracking e controle de mudanças, registro histórico
- Aplicação: documentos, código, políticas, procedimentos, diagramas
- Processo: avaliar impactos, updates como parte da implementação, novas versões labeled, antigas archived
9️⃣ Automation and Scripting
Definições
- Automation: usar software para executar tarefas repetitivas, baseadas em regras
- Orchestration: melhora automation coordenando interações entre processos e sistemas automatizados
Benefícios
| Benefício |
Descrição |
| Enhanced Efficiency |
Tarefas repetitivas executadas rápida e consistentemente |
| Workforce Multiplier |
Reduz burden em equipes de segurança |
| Combat Operator Fatigue |
Minimiza tarefas manuais repetitivas |
| Improved Response Times |
Orquestração coordena tarefas automatizadas |
| Standardized Baselines |
Configuration management enforça padrões |
| Clear Audit Trails |
Suporta compliance e investigação |
| Staff Retention |
Libera staff para trabalho mais recompensador |
Operator Fatigue
- Exaustão mental de trabalho contínuo de alta intensidade
- Causas: monitorar sistemas, gerenciar alertas (incluindo falsos positivos), responder rapidamente
- Consequências: alertness diminuída, erros, alertas perdidos, resposta lenta
- Mitigação: automação reduz tarefas repetitivas, melhora eficiência
Exemplo de Orquestração
🔍 Ameaça detectada → Sistema automaticamente:
- Isola subnet afetada
- Executa análise básica e reporting
- Notifica equipes de segurança
- Gera tickets
- Documenta incidente
Tudo sem intervenção humana!
Desafios da Automação
⚠️ Complexity
Requer entendimento profundo de sistemas, processos, interdependências. Mal planejada pode adicionar complexidade.
💰 Cost
Custo inicial alto (ferramentas, integração, treinamento). Manutenção contínua também custosa.
💥 Single Point of Failure
Se sistema crítico falha, pode impactar múltiplas áreas.
📉 Technical Debt
Implementação apressada leva a código pobre, integrações frágeis, manutenção pobre.
🔧 Ongoing Support
Requer updates, patches, revisão contínua, educação. Sem suporte, benefícios são erodidos.
🎯 DICAS FINAIS PARA PROVA:
- Policy (POR QUE) vs Standard (O QUE) vs Procedure (COMO) vs Guideline (recomendação)
- Data Governance: Owner (classifica), Controller (propósitos), Processor (processa), Custodian (implementa)
- GDPR: consentimento informado, direito de acesso, retificação, apagamento
- Change Management: RFC → Review → Approval → Documentation
- Allow Lists: mudanças aprovadas | Block Lists: mudanças bloqueadas
- Rollback plan é OBRIGATÓRIO em toda mudança
- Operator Fatigue: exaustão mental por tarefas repetitivas - automação ajuda
- Orchestration: coordena múltiplas automações (ex: isolar subnet + notificar + gerar ticket)
- ISO 27001: ISMS | PCI DSS: cartões | NIST SP 800-63: identidade digital