Develop Data Protection Plans
O desenvolvimento de planos detalhados para proteção de informações e dados é um passo essencial para assegurar que a organização esteja preparada para proteger seus ativos de informação contra ameaças internas e externas.
Este processo envolve a criação de planos que detalham as medidas de segurança a serem implementadas para garantir a confidencialidade, integridade e disponibilidade dos dados.
Os planos devem incluir políticas de acesso, criptografia, backup e recuperação de dados, bem como procedimentos para resposta a incidentes de segurança.
A elaboração desses planos requer uma análise minuciosa dos requisitos regulatórios e das melhores práticas do setor.
É fundamental envolver várias áreas da organização para assegurar que todos os aspectos de segurança, operacionais e de negócios sejam considerados.
A documentação clara dos papéis e responsabilidades, bem como a comunicação eficaz dos planos a todos os colaboradores, é crucial para a eficácia da implementação.
- PDCA focus: Plan
- Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Conduct Risk Assessment | Realizar uma avaliação de riscos para identificar ameaças e vulnerabilidades. | Dados de risco, análise de ameaças | Relatório de avaliação de riscos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Define Protection Policies | Definir políticas de proteção de dados que atendam aos requisitos de segurança e compliance. | Relatório de avaliação de riscos | Políticas de proteção de dados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Develop Protection Procedures | Desenvolver procedimentos detalhados para a implementação das políticas de proteção de dados. | Políticas de proteção de dados | Procedimentos de proteção | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 4 | Assign Roles and Responsibilities | Atribuir papéis e responsabilidades para a equipe de proteção de dados. | Procedimentos de proteção | Documento de papéis e responsabilidades | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Document Data Protection Plan | Documentar o plano de proteção de dados de forma detalhada e acessível. | Documento de papéis e responsabilidades | Plano de proteção de dados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Identify Data Protection Requirements
A identificação dos requisitos para proteção de informações e dados é fundamental para assegurar que todas as necessidades de segurança e conformidade sejam atendidas.
Este processo envolve a análise de regulamentos, políticas internas e melhores práticas do setor para determinar as medidas de proteção necessárias.
Os requisitos devem abranger aspectos como controle de acesso, criptografia, backup, prevenção de perda de dados e auditoria.
A identificação precisa desses requisitos permite à organização desenvolver e implementar soluções de proteção de dados eficazes.
A colaboração entre diferentes áreas da TI e do negócio é essencial para garantir que todos os aspectos sejam considerados e que os requisitos sejam adequadamente incorporados aos planos de proteção.
- PDCA focus: Plan
- Periodicidade: Semestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Regulatory Requirements | Analisar requisitos regulatórios e de compliance para proteção de dados. | Regulamentos, políticas internas | Relatório de requisitos regulatórios | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Identify Business Needs | Identificar as necessidades de negócios relacionadas à proteção de dados. | Relatório de requisitos regulatórios | Relatório de necessidades de negócios | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Define Security Controls | Definir os controles de segurança necessários para atender aos requisitos identificados. | Relatório de necessidades de negócios | Lista de controles de segurança | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Develop Compliance Procedures | Desenvolver procedimentos de compliance para garantir a conformidade com os requisitos. | Lista de controles de segurança | Procedimentos de compliance | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Document Requirements | Documentar todos os requisitos de proteção de dados de forma clara e acessível. | Procedimentos de compliance | Documentação de requisitos | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
Implement Data Protection Solutions
A implementação das soluções de proteção de dados conforme planejado é crucial para garantir que as medidas de segurança sejam efetivamente aplicadas e mantidas.
Este processo envolve a execução dos procedimentos definidos nos planos de proteção de dados, incluindo a configuração de controles de acesso, a implantação de criptografia, a implementação de backups regulares e a utilização de ferramentas de prevenção de perda de dados.
A coordenação entre as várias áreas de TI é fundamental para assegurar que as soluções sejam integradas de forma eficaz e que os dados estejam protegidos em todos os níveis.
A formação contínua da equipe e a validação das soluções implementadas através de testes regulares garantem a eficácia das medidas de proteção.
- PDCA focus: Do
- Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Configure Access Controls | Configurar controles de acesso para garantir que apenas usuários autorizados acessem os dados. | Lista de controles de segurança | Controles de acesso configurados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Implement Encryption | Implementar criptografia para proteger dados sensíveis durante o armazenamento e a transmissão. | Lista de controles de segurança | Dados criptografados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Setup Backup Procedures | Configurar procedimentos de backup para garantir a disponibilidade dos dados. | Lista de controles de segurança | Procedimentos de backup configurados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Deploy DLP Tools | Implementar ferramentas de prevenção de perda de dados para proteger informações confidenciais. | Lista de controles de segurança | Ferramentas DLP implementadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Validate Implementation | Validar a implementação das soluções de proteção através de testes e auditorias. | Ferramentas DLP implementadas | Implementação validada | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Monitor Data Protection Performance
O monitoramento contínuo do desempenho das soluções de proteção de dados é vital para garantir a eficácia das medidas de segurança e identificar áreas que necessitam de melhoria.
Este processo envolve a coleta e análise de dados sobre a performance dos controles de segurança implementados, incluindo a eficácia da criptografia, a confiabilidade dos backups e a eficiência das ferramentas de prevenção de perda de dados.
A auditoria regular e a análise de logs de acesso são componentes chave deste processo.
O feedback obtido através do monitoramento é utilizado para ajustar e melhorar continuamente as soluções de proteção de dados, assegurando que a organização esteja sempre protegida contra novas ameaças.
- PDCA focus: Check
- Periodicidade: Mensal
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Collect Performance Data | Coletar dados de desempenho das soluções de proteção de dados implementadas. | Logs de acesso, relatórios de auditoria | Dados de desempenho coletados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 2 | Analyze Data Protection Metrics | Analisar as métricas de proteção de dados para avaliar a eficácia das soluções implementadas. | Dados de desempenho coletados | Relatórios de análise de métricas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Conduct Security Audits | Realizar auditorias de segurança para identificar possíveis vulnerabilidades e não conformidades. | Relatórios de análise de métricas | Relatórios de auditoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 4 | Generate Improvement Reports | Gerar relatórios de melhoria com base na análise de desempenho e auditorias realizadas. | Relatórios de auditoria | Relatórios de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 5 | Report Findings | Relatar as descobertas e recomendações de melhoria para a alta gestão e partes interessadas. | Relatórios de melhoria | Relatórios de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
Review and Improve Data Protection Practices
A revisão e melhoria contínua das práticas de proteção de dados é essencial para manter a eficácia das medidas de segurança e adaptar-se às novas ameaças.
Este processo envolve a análise dos resultados do monitoramento e auditorias para identificar áreas de melhoria.
As lições aprendidas são integradas aos procedimentos existentes, e novos controles de segurança são desenvolvidos conforme necessário.
O processo também inclui a atualização das políticas e procedimentos de proteção de dados, a realização de treinamentos regulares e a validação das práticas de segurança através de testes contínuos.
A melhoria contínua assegura que a organização esteja sempre pronta para proteger seus dados contra ameaças emergentes.
- PDCA focus: Act
- Periodicidade: Trimestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Audit Findings | Analisar as descobertas das auditorias e monitoramento de desempenho. | Relatórios de auditoria | Análise de descobertas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 2 | Identify Improvement Areas | Identificar áreas de melhoria nas práticas de proteção de dados com base na análise. | Análise de descobertas | Lista de áreas de melhoria | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
| 3 | Update Protection Procedures | Atualizar os procedimentos de proteção de dados para incorporar as melhorias identificadas. | Lista de áreas de melhoria | Procedimentos atualizados | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: Solution Engineering & Development; Informed: All areas | Decider: Cybersecurity; Advisor: Solution Engineering & Development; Recommender: Data, AI & New Technology; Executer: Cybersecurity |
| 4 | Conduct Training Sessions | Realizar sessões de treinamento para assegurar que a equipe esteja familiarizada com os procedimentos atualizados. | Procedimentos atualizados | Sessões de treinamento realizadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Governance & Transformation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Governance & Transformation; Recommender: Solution Engineering & Development; Executer: Cybersecurity |
| 5 | Validate Protection Practices | Validar as práticas de proteção através de testes e auditorias contínuas. | Procedimentos atualizados | Práticas validadas | Responsible: Cybersecurity; Accountable: Cybersecurity; Consulted: IT Infrastructure & Operation; Informed: All areas | Decider: Cybersecurity; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Cybersecurity |
