Realizar análise de Privacidade
Executar um panorama da empresa, das leis e regulamentos que afetam as funções do negócio, entender o impacto das regras, regulamentos e normas de proteção de dados e de privacidade nos negócios da organização.
Política de Privacidade para adequação da LGPD
Desenvolver a política de privacidade conforme estratégias e necessidades da empresa, a política de privacidade corresponde em demostrar como a empresa se comporta em relação a administração dos dados pessoais.
Termo de confidencialidade de dados e privacidade
Desenvolver o termo de confidencialidade de dados e privacidade em conjunto com o RH, definindo as cláusulas necessárias para conformidade de utilização dos recursos de tecnologia conforme acordado.
Plano de resposta e violação de privacidade
Desenvolvimento do fluxo de incidentes em conjunto com a tecnologia da informação, implementando o processo de atendimento das requisições de incidentes de segurança pelo DPO e treinando o DPO da organização.
Treinamento Colaboradores – LGPD
Treinamento dos colaboradores na – (Lei Geral de Proteção de Dados) ou multiplicadores internos, disponibilizando os conteúdos em material – PDF demostrando os seguintes pontos:
- Princípios dos tratamentos dos dados pessoais
- Bases Legais para o tratamento dados pessoais
- Direito do Titular dos Dados / Violação dos Dados
Mapeamento de dados pessoais
Desenvolver o mapeamento dos dados pessoais em conjunto com as áreas de negócios, documentando os processos existentes e identificando o fluxo de dados relevantes que impactam nas atividades na empresa, verificando as vulnerabilidades e possibilidades de melhorias nos processos em relação ao processamento de dados pessoais.
Avaliação de Impacto e Privacidade
Uma PIA melhora o processo de decisão informada e expõe falhas de comunicação interna ou assunções ocultas em questões de privacidade sobre o projeto. É uma ferramenta para empreender uma análise sistemática de questões de privacidade originadas a partir de um projeto de modo a informar tomadores de decisão, possibilita uma organização a aprender sobre as armadilhas de privacidade de um processo.
Auditoria e implementação da norma ISO 20000
Gestão de mudanças e liberações;
Continuidade de serviços e fornecedores de TI;
Gestão de Incidentes, Disponibilidade de serviços e problemas
A Norma pode ser usada para:
- Melhorar a qualidade no atendimento dos serviços de TI.
- Prover habilidades em fornecer serviços de TI que satisfaçam requisitos dos seus clientes.
- Prover visualização da capacidade de atendimento dos seus serviços de TI.
Auditoria e implementação das normas ISO 27002 e 27001 – Segurança da Informação.
Esta Norma foi preparada para prover requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de segurança da informação (SGSI).
O estabelecimento e a implementação do SGSI de uma organização são influenciados pelas suas necessidades e objetivos, requisitos de segurança, processos organizacionais usados, tamanho e estrutura da organização.
É esperado que todos estes fatores de influência mudem ao longo do tempo. O sistema de gestão da segurança da informação preserva a confidencialidade, integridade e disponibilidade da informação por meio da aplicação de um processo de gestão de riscos e fornece confiança para as partes interessadas de que os riscos são adequadamente gerenciados.
É importante que um sistema de gestão da segurança da informação esteja integrado com os processos da organização e com a estrutura de administração global, e que a segurança da informação seja considerada nos projetos.
É esperado que a implementação de um sistema de gestão de segurança da informação seja planejada de acordo com as necessidades da organização.
Alguns itens importantes a serem considerados em uma implementação de um sistema de segurança da informação:
- Desenvolvimento da Política de Segurança da Informação
- Avaliação dos riscos de segurança da Informação
- Tratamento dos riscos de Segurança da Informação
- Gestão de incidentes de segurança da informação e melhorias
- Política de segurança da informação no relacionamento com os fornecedores
- Aspectos da segurança da informação na gestão da continuidade do negócio
- Avaliação e decisão dos eventos de segurança da informação
- Política de mesa limpa e tela limpa
- Gerenciamento de direitos de acesso privilegiados
- Segregação de funções
- Cibersegurança
- Pentest – Testes de Invasão
Gestão de Riscos de Segurança da Informação.
Convém que a gestão de riscos de segurança da informação seja um processo contínuo. Convém que o processo defina o contexto interno e externo, avalie os riscos e trate os riscos usando um plano de tratamento a fim de implementar as recomendações e decisões. Convém que a gestão de riscos analise os possíveis acontecimentos e suas consequências, antes de decidir o que será feito e quando será feito, a fim de reduzir os riscos a um nível aceitável.
Convém que a gestão de riscos de segurança da informação contribua para:
- Identificação de riscos.
- Processo de avaliação de riscos em função das consequências ao negócio e da probabilidade de sua ocorrência.
- Comunicação e entendimento da probabilidade e das consequências destes riscos. Estabelecimento da ordem prioritária para tratamento do risco.
- Priorização das ações para reduzir a ocorrência dos riscos.
- Envolvimento das partes interessadas quando as decisões de gestão de riscos são tomadas e mantidas informadas sobre a situação da gestão de riscos.
- Eficácia do monitoramento do tratamento do risco.
- Monitoramento e a análise crítica periódica dos riscos e do processo de gestão de riscos.
- Coleta de informações de forma a melhorar a abordagem da gestão de riscos.
- Treinamento de gestores e pessoal a respeito dos riscos e das ações para mitigá-los.
Implementação do plano de continuidade de negócio e controles de TI - COBIT
Geralmente a continuidade de negócios é específica para uma organização, no entanto, a sua implementação pode ter implicações de longo alcance sobre a comunidade em geral e terceiros. É provável que uma organização tenha outras organizações externas que dependam dela, e assim vice-versa. Uma continuidade de negócios eficaz, portanto, contribui para uma sociedade mais resiliente.
A continuidade de negócios é a capacidade que uma organização tem de continuar a entrega de produtos ou serviços em níveis aceitáveis pré-definidos após um incidente de interrupção. A gestão de continuidade de negócios (GCN) é o processo de alcançar a continuidade do negócio e é sobre a preparação de uma organização para lidar com incidentes de interrupção que poderiam impedi-la de atingir seus objetivos.
Colocar a GCN dentro de uma estrutura e disciplinas de um sistema de gestão cria um sistema de gestão de continuidade de negócios (SGCN) que permite que a GCN possa ser controlada, avaliada e melhorada continuamente.
Nesta Norma, a palavra negócio é usada como um termo abrangente para as operações e serviços realizados por uma organização em busca de seus objetivos, metas ou missão. No entanto, a implementação de uma gestão de continuidade de negócios antes que um incidente de interrupção ocorra, ao invés de esperar que isso aconteça, vai permitir que a organização retome suas operações antes que surjam níveis de impacto inaceitáveis.
Alguns processos a serem implementados no GCN:
- Estabelecer e implementar procedimentos de continuidade de negócios.
- Realizar testes de planos de continuidade de negócios.
- Desenvolver plano de Avaliação desempenho, monitoramento, medição, análise e avaliação.
- Implementar controle de TI para monitoramento e continuidade dos serviços
- Sugerir ferramentas necessárias para os controles e gerenciamento do GCN.
Controles de TI - COBIT
Implementação de controles internos para atendimento de auditorias externas como SOX com base nos princípios de governança de tecnologia (COBIT).
Mapeamentos dos controles de tecnologia em relação aos riscos identificados, descrevendo os processos necessários e a periodicidade de execução dos controles de TI conforme a criticidade e riscos identificados nos processos.
O COBIT define os componentes para construir e sustentar um sistema de governança: /Processos /Estruturas organizacionais /Políticas /Procedimentos /Fluxos de informação.
Por meio da governança de TI é possível visualizar as fraquezas e vulnerabilidades dos processos internos, verificando a necessidade de implementação de novos controles para um melhor gerenciamento da infraestrutura de sistemas e negócios.