Aula 2 - Política de Segurança da Informação

Question 1

O que é o PESI segundo Ricardo Capozzi?

Answer 1

Um plano dinâmico e ajustado às mudanças organizacionais e de ameaças, que protege os ativos digitais e facilita os objetivos de negócios.

Question 2

Qual a importância do alinhamento estratégico do PESI com o negócio?

Answer 2

Garante que a segurança da informação apoie os objetivos e metas organizacionais, promovendo crescimento sustentável e inovação segura.

Question 3

Como o PESI deve ser apresentado à alta gestão?

Answer 3

Em termos de benefícios concretos para o negócio, como mitigação de riscos operacionais, proteção da marca e continuidade dos negócios.

Question 4

Qual a postura que os profissionais de SI devem adotar em relação à segurança?

Answer 4

De “sim, mas com segurança”, atuando como facilitadores e encontrando formas seguras de permitir novas iniciativas.

Question 5

Como o PESI deve equilibrar proteção e flexibilidade?

Answer 5

Promovendo controles que protejam os ativos sem comprometer a produtividade e evitando controles excessivamente rígidos.

Question 6

Qual a importância da cultura organizacional e sensibilização no PESI?

Answer 6

Políticas e procedimentos são ineficazes se os colaboradores não estiverem conscientes de sua importância e não souberem como aplicá-los.

Question 7

Como deve ser o engajamento com a cultura de segurança?

Answer 7

Começar pela alta gestão, com programas de conscientização e quebrando o mito de que segurança é apenas TI.

Question 8

Quais são as seis etapas principais do modelo de desenvolvimento do PESI proposto por Capozzi?

Answer 8

Diagnóstico da situação atual, definição de direções estratégicas, desenvolvimento da estratégia, comunicação e sensibilização, implementação e monitoramento, e avaliação e revisão.

Question 9

Qual o objetivo do diagnóstico da situação atual no desenvolvimento do PESI?

Answer 9

Realizar uma avaliação detalhada do ambiente de segurança existente, identificando ativos críticos, processos, políticas e práticas de segurança.

Question 10

Quais ferramentas são recomendadas para o diagnóstico da situação atual?

Answer 10

Análise SWOT, Avaliação de riscos (Risk Assessment) e Análise de Impacto nos Negócios (BIA).

Question 11

Qual o objetivo da definição de direções estratégicas no desenvolvimento do PESI?

Answer 11

Definir a direção estratégica do PESI, alinhando as ações de segurança com os objetivos do negócio, estabelecendo metas claras e priorizando riscos e ativos críticos.

Question 12

O que deve ser priorizado na definição de direções estratégicas?

Answer 12

Riscos que apresentam maior probabilidade e impacto para o negócio e ativos críticos, como dados de clientes em uma organização financeira.

Question 13

O que envolve o desenvolvimento da estratégia no PESI?

Answer 13

Elaboração de políticas e normas de segurança, definição de controles técnicos e administrativos, seleção de frameworks e padrões de referência, e plano de ação detalhado.

Question 14

Quais frameworks e padrões de referência são recomendados para o desenvolvimento da estratégia?

Answer 14

ISO/IEC 27001, NIST CSF, COBIT, CIS Controls, ISO/IEC 22301, LGPD/GDPR.

Question 15

Qual a importância da comunicação e sensibilização no PESI?

Answer 15

Envolver todos os níveis da organização na cultura de segurança, educar os funcionários sobre boas práticas e manter uma comunicação transparente.

Question 16

O que envolve a implementação e monitoramento no PESI?

Answer 16

Execução das ações planejadas, monitoramento contínuo do desempenho dos controles, gestão de incidentes e auditorias periódicas.

Question 17

Quais ferramentas são recomendadas para a implementação e monitoramento?

Answer 17

SIEM, ferramentas de análise de vulnerabilidades e pentests, e dashboards com KPIs estratégicos.

Question 18

Qual o objetivo da avaliação e revisão no PESI?

Answer 18

Garantir que o plano permaneça eficaz diante das mudanças, realizando revisões periódicas, analisando métricas e indicadores, aplicando o ciclo PDCA e obtendo feedback dos stakeholders.

Question 19

Por que é importante utilizar metodologias, ferramentas e frameworks no PESI?

Answer 19

Para garantir um processo estruturado, eficaz e alinhado com as melhores práticas, facilitando auditorias, certificações e conformidade.

Question 20

Qual o objetivo da ISO/IEC 27001 e sua aplicação no PESI?

Answer 20

Estabelecer um SGSI, servindo como referência primária para estruturar o plano, fornecendo um ciclo contínuo de gestão de segurança e definindo a gestão de riscos como componente central.

Question 21

Qual o objetivo do NIST Cybersecurity Framework (CSF) e sua aplicação no PESI?

Answer 21

Fornecer diretrizes para gerenciar riscos cibernéticos, estruturado em cinco funções (Identify, Protect, Detect, Respond, Recover) e oferecendo um guia para avaliar e melhorar a postura de segurança.

Question 22

Qual o objetivo do COBIT 2019 e sua aplicação no PESI?

Answer 22

Proporcionar um modelo de governança e gestão de TI, ajudando a alinhar a segurança da informação aos objetivos corporativos e definindo papéis, responsabilidades e processos claros para a gestão de riscos.

Question 23

Qual o objetivo do CIS Controls e sua aplicação no PESI?

Answer 23

Listar um conjunto de controles críticos para melhorar a postura de segurança, auxiliando na priorização dos controles técnicos essenciais e estabelecendo um baseline mínimo de segurança cibernética.

Question 24

Qual o objetivo da ISO/IEC 22301 e sua aplicação no PESI?

Answer 24

Definir requisitos para um SGCN, ajudando a estruturar planos de continuidade e recuperação de desastres (BCP/DRP) e garantindo a recuperação rápida após incidentes críticos.

Question 25

Qual o objetivo da LGPD/GDPR e sua aplicação no PESI?

Answer 25

Regular o tratamento de dados pessoais, estabelecendo requisitos legais para coleta, armazenamento e processamento de dados, e obrigando a implementação de medidas técnicas e administrativas para proteger dados sensíveis.

Question 26

Quais são as etapas da Gestão de Riscos (Risk Management) e as ferramentas utilizadas?

Answer 26

Identificação, Análise, Avaliação e Tratamento, utilizando Matriz de Riscos, Heatmaps e análises quantitativas e qualitativas.

Question 27

Qual o objetivo da Análise SWOT aplicada à Segurança da Informação?

Answer 27

Identificar pontos fortes e fracos internos, além de oportunidades e ameaças externas, para auxiliar no planejamento estratégico.

Question 28

Qual o objetivo da Business Impact Analysis (BIA) e suas etapas?

Answer 28

Identificar processos críticos e as possíveis consequências de interrupções, avaliando o impacto financeiro, operacional e legal, e definindo RTO e RPO para cada processo crítico.

Question 29

Qual o objetivo do Ciclo PDCA e suas etapas?

Answer 29

Garantir a melhoria contínua dos processos de segurança, com as etapas de Plan (Planejar), Do (Executar), Check (Verificar) e Act (Agir).

Question 30

Quais ferramentas tecnológicas são utilizadas no desenvolvimento e execução do PESI?

Answer 30

SIEM, Ferramentas de Gestão de Riscos, Soluções de Vulnerability Management, Plataformas de Treinamento e Conscientização, Ferramentas de DLP e Soluções de Backup e Recuperação.

Question 31

Quais são os elementos essenciais de um PESI eficaz?

Answer 31

Políticas de Segurança da Informação, Normas Técnicas e Procedimentos Operacionais, Diretrizes de Gestão de Riscos e Conformidade, Controles Técnicos e Operacionais, Planos de Continuidade e Resposta a Incidentes, Gestão de Terceiros e Fornecedores, Programas de Conscientização e Treinamento, e Indicadores de Desempenho (KPIs) e Métricas.

Question 32

Qual a função das Políticas de Segurança da Informação?

Answer 32

Definir as regras gerais que guiarão o comportamento dos colaboradores e o uso adequado dos recursos tecnológicos.

Question 33

Quais são os tipos de Políticas de Segurança da Informação?

Answer 33

Política Geral de Segurança da Informação, Política de Classificação da Informação, Política de Controle de Acesso, Política de Uso Aceitável, Política de Segurança Física e Ambiental, e Política de Backup e Recuperação.

Question 34

Qual a função das Normas Técnicas e Procedimentos Operacionais?

Answer 34

Detalhar os processos e controles específicos a serem seguidos, incluindo normas técnicas, procedimentos operacionais e guias de configuração segura (hardening).

Question 35

Qual a função das Diretrizes de Gestão de Riscos e Conformidade?

Answer 35

Estabelecer uma abordagem sistemática para a gestão de riscos e conformidade, incluindo avaliação de riscos, análise de impacto nos negócios (BIA), gestão de conformidade e plano de tratamento de riscos.

Question 36

Quais são os tipos de Controles Técnicos e Operacionais?

Answer 36

Controles Preventivos, Controles Detectivos e Controles Corretivos.

Question 37

Quais são os tipos de Planos de Continuidade e Resposta a Incidentes?

Answer 37

Plano de Continuidade de Negócios (BCP), Plano de Recuperação de Desastres (DRP), Plano de Resposta a Incidentes (IRP), e Simulações e Testes.

Question 38

Qual a função da Gestão de Terceiros e Fornecedores?

Answer 38

Incorporar práticas rigorosas de segurança na gestão de terceiros, incluindo Due Diligence, Acordos de Nível de Serviço (SLA), Monitoramento Contínuo e Gestão de Acessos de Terceiros.

Question 39

Qual a função dos Programas de Conscientização e Treinamento?

Answer 39

Reduzir o risco humano, incluindo treinamentos regulares, simulações de ataques, campanhas de conscientização e avaliações de conhecimento.

Question 40

Qual a função dos Indicadores de Desempenho (KPIs) e Métricas?

Answer 40

Acompanhar o desempenho do PESI, medir o sucesso do plano e identificar áreas que precisam de melhorias, utilizando exemplos de KPIs e Dashboards e Relatórios.

Question 41

Quais são os insights e recomendações práticas de Ricardo Capozzi para um PESI eficaz?

Answer 41

Segurança da Informação como Diferencial Competitivo, Governança e Alta Gestão como Chave do Sucesso, Adaptação e Flexibilidade do PESI, Foco no Fator Humano, Métricas e Indicadores para Avaliação Contínua, e Armadilhas Comuns e Como Evitá-las.

Question 42

Como a Segurança da Informação pode ser um Diferencial Competitivo?

Answer 42

Construindo confiança, oferecendo vantagem no mercado com certificações e conformidade, e permitindo inovação segura.

Question 43

Qual a importância da Governança e Alta Gestão para o sucesso do PESI?

Answer 43

O apoio dos líderes é essencial, com o CISO tendo acesso direto ao board, clareza nos papéis e responsabilidades, e criação de comitês de segurança multidisciplinares.

Question 44

Por que o PESI deve ter Adaptação e Flexibilidade?

Answer 44

Para se manter relevante diante da constante evolução do ambiente de negócios e ameaças cibernéticas, com ciclos de revisão contínuos, abordagens ágeis e estratégias de resiliência organizacional.

Question 45

Qual a importância do Foco no Fator Humano no PESI?

Answer 45

O fator humano é o elo mais fraco, exigindo educação e conscientização contínua, simulações realistas e construção de uma cultura de segurança.

Question 46

Por que são importantes as Métricas e Indicadores para Avaliação Contínua do PESI?

Answer 46

Para monitorar a eficácia do plano, comunicar resultados à alta gestão e usar indicadores estratégicos, dashboards em tempo real e relatórios periódicos.

Question 47

Quais são as Armadilhas Comuns e Como Evitá-las no PESI?

Answer 47

Foco excessivo em tecnologia (equilibrar pessoas, processos e tecnologia), desalinhamento com o negócio (demonstrar como o plano contribui para o sucesso do negócio), falta de engajamento da alta gestão (buscar apoio executivo), planos engessados (adotar abordagens ágeis) e negligência ao fator humano (investir em treinamento).

Question 48

Quais são os pontos-chave para aumentar a eficácia do PESI?

Answer 48

Integração de Segurança por Design, Zero Trust Architecture e Governança de Identidade e Acessos (IGA).

Question 49

O que é Segurança por Design e seus benefícios?

Answer 49

Incorporar a segurança desde o início no desenvolvimento de processos, sistemas e produtos, reduzindo vulnerabilidades, custos de correção e alinhando equipes de desenvolvimento e segurança (DevSecOps).

Question 50

O que é Zero Trust Architecture (ZTA) e seus princípios básicos?

Answer 50

Modelo que parte do princípio de que nenhuma entidade é automaticamente confiável, verificando sempre cada acesso, aplicando o menor privilégio e segmentando a rede para limitar o movimento lateral.

Question 51

O que é Governança de Identidade e Acessos (IGA) e suas funcionalidades?

Answer 51

Aprofundar a gestão de permissões, incluindo ciclo de vida de identidades, revisões periódicas de acessos e automação de processos de aprovação.

Question 52

Qual a importância dos Modelos de Maturidade em Segurança da Informação?

Answer 52

Avaliar o estágio atual da segurança e estabelecer um roadmap claro para evoluir, com exemplos como CMMI e NIST CMMC, e níveis típicos de maturidade (Inicial, Gerenciado, Definido, Gerenciado Quantitativamente, Otimizado).

Question 53

Qual a importância da Abordagem Baseada em Riscos (Risk-Based Approach)?

Answer 53

Priorizar recursos e esforços onde há maior exposição ao risco, implementar controles em áreas críticas e usar dados quantitativos para decisões estratégicas, com ferramentas como FAIR e Bowtie Analysis.

Question 54

O que é o NIST Risk Management Framework (RMF) e suas fases?

Answer 54

Framework para complementar o PESI, especialmente com informações sensíveis, com fases de Categorizar, Selecionar, Implementar, Avaliar, Autorizar e Monitorar, oferecendo um ciclo contínuo de gestão de riscos.

Question 55

Qual a importância da Threat Intelligence integrada ao PESI e seus tipos?

Answer 55

Aprimorar a capacidade de antecipar e se defender contra ameaças emergentes, com tipos de inteligência Estratégica, Tática e Operacional, e ferramentas como MISP.

Question 56

Qual a importância da Automação e Orquestração de Segurança (SOAR)?

Answer 56

Melhorar a eficiência das equipes de segurança, automatizando tarefas repetitivas, integrando ferramentas de segurança e reduzindo o tempo de resposta a incidentes.

Question 57

Qual a tendência da Aplicação de Inteligência Artificial na Segurança?

Answer 57

Uso de IA e Machine Learning (ML) para Detecção de anomalias, Identificação de fraudes e Análises comportamentais, com soluções de EDR e plataformas SIEM avançadas.

Question 58

Qual a importância do Compliance Dinâmico e Multi-Regulatório?

Answer 58

Manter a conformidade diante do aumento de regulamentações, usando soluções GRC para integrar requisitos, monitorar continuamente e automatizar auditorias.

Question 59

Quais são as principais armadilhas a serem evitadas no PESI?

Answer 59

Síndrome do "Check the Box" (adotar mentalidade orientada a riscos), Falta de Integração entre Segurança e Negócio (envolver stakeholders de diferentes áreas) e Controles Excessivamente Rígidos (equilibrar segurança e usabilidade).