Versions Compared

Version Old Version 18 New Version Current
Changes made by

Bruno Torves

Lisiane Correia Ribeiro (Unlicensed)

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

O sistema permite vincular um risco com um plano de ação de modo a criar um plano de mitigação do risco mapeado através de um conjunto de atividades/tarefas.

Panel
bgColor#DEEBFF

▶️ Para acessar siga o caminho: Governança & Compliance > Riscos

...

> Gestão de

...

Riscos:

...

Aqui é mapeado todos os riscos do sistema:

...

Podemos buscar os riscos pela sua origem ou descrição, conforme a imagem abaixo:

...

Selecionando a opção de busca Origem temos as seguintes opções de buscas;

...

  • Ativos

  • Atividades de tratamento → Ao selecionarmos o sistema habilita o campo de busca Área Responsável.

...

  • Fornecedores

  • Entidades

  • Incidentes

  • Avaliações

Info

Ao clicar no risco, podemos realizar a edição dele.

...

Há diversos campos que podem ser editados.

  • Título da ameaça: Nome da ameaça a ser cadastrada;

  • Impacto: É o impacto que aquele risco representará. Há por padrão cinco níveis de impactos.

    • Baixo;

    • Médio;

    • Alto;

    • Muito Alto;

    • Desastre;

  • Probabilidade: É a chance que tem do risco se tornar realidade. Há por padrão cinco níveis de probabilidade.

    • Improvável;

    • Pouco provável;

    • Provável;

    • Muito provável;

    • Quase certo;

  • Nível do risco: A soma do impacto com a probabilidade do risco gera o Nível do risco. Existem quatro níveis de risco.

    • Baixo;

    • Médio;

    • Alto;

    • Muito alto.

  • Categoria: É a categoria na qual aquele risco se encaixa. Existem por padrão 12 categorias de risco.

    • Nenhuma: Não se encaixa em nenhuma categoria o risco.

    • Financeira: O perigo ou a possibilidade de os acionistas, investidores ou outros intervenientes financeiros perderem dinheiro;

    • Geográfica: Risco que surge quando a exposição se concentra em determinadas áreas geográficas;

    • Operacional: A perspectiva de perda resultante de procedimentos, sistemas ou políticas inadequadas ou fracassados;

    • Privacidade: Potencial perde de controle sobre informações pessoais;

    • Regulamentar: Risco de que uma mudança nas leis e regulamentos tenha um impacto significativo na segurança, nos negócios, no setor ou no mercado;

    • Reputacional: A possibilidade de publicidade negativa, perseguição pública ou eventos incontroláveis terem um impacto adverso na reputação de uma empresa;

    • Segurança: Os impactos para uma organização e suas partes interessadas podem ocorrer devido às ameaças e vulnerabilidades associadas à operação e uso de sistemas de informação;

    • Estratégico: O risco que as decisões empresariais falhadas, ou a falta delas, podem representar para uma empresa;

    • Disponibilidade: Impacto resultante de dados não acessíveis imediatamente para acesso autorizado;

    • Confidencialidade: Impacto devido ao acesso e divulgação de dados não autorizados;

    • Integridade: Impacto resultante de dados modificados ou adulterados de forma não autorizada.

  • Ameaça: É o tipo de ameaça que pode gerir o risco. Existem 22 ameaças padrão na plataforma, mas você pode criar novas ameaças também. Aprenda como clicando aqui: LINK.

    • Financeiro;

    • Tratamento de dados pessoais sem finalidade;

    • Custo;

    • Compartilhamento de dados pessoais sensíveis;

    • Dados de criança e adolescente sem consentimento;

    • Dado sensível classificado como obrigatório;

    • Dados sensíveis sem consentimento;

    • Finalidades de tratamento sem prazo de retenção;

    • Legítimo interesse sem teste de proporcionalidade;

    • Nenhum processamento do dado - Falta de mapeamento;

    • Possui uso de tecnologia inovadora para tratamento de dados;

    • Processamento de dados em larga escala (mais que 100 mil dados);

    • Tomada de decisão automatizada com dados sensíveis;

    • Tratamento de dados de saúde;

    • Tratamento de dados de vulneráveis (sensíveis + criança e adolescente);

    • Tratamento de dados financeiros;

    • Tratamento de dados fora do país;

    • Tratamento de dados sensíveis fora do país;

    • Tomada de decisão automatizada.

  • Vulnerabilidade: Você pode criar suas próprias vulnerabilidades. Aprenda como clicando aqui: LINK. Como padrão na plataforma da Privacy Tools, você poderá importar as vulnerabilidades da norma ISO/IEC 27005 que define o processo de gestão de risco como atividades coordenadas para dirigir e controlar o risco de uma organização. Também é possível importar suas próprias normas. As vulnerabilidades da ISO/IEC 27005 são separadas nos seguintes grupos e dentro desses grupos as seguintes vulnerabilidades.

    • Hardware

      • Manutenção insuficiente / instalação defeituosa de mídia de armazenamento;

      • Falta de esquemas de substituição periódica;

      • Suscetibilidade à umidade, poeira, sujeira;

      • Sensibilidade à radiação eletromagnética;

      • Falta de controle de mudança de configuração eficiente;

      • Suscetibilidade a variações de tensão;

      • Suscetibilidade a variações de temperatura;

      • Armazenamento desprotegido;

      • Falta de cuidado à disposição;

      • Cópia não controlada.

    • Programas

      • Teste de software inexistente ou insuficiente;

      • Falhas conhecidas no software;

      • Sem "logout" ao sair da estação de trabalho;

      • Eliminação ou reutilização de mídia de armazenamento sem o apagamento adequado;

      • Falta de trilha de auditoria;

      • Atribuição errada de direitos de acesso;

      • Software amplamente distribuído;

      • Aplicação de programas de aplicativos aos dados errados em termos de tempo;

      • Interface de usuário complicada;

      • Falta de documentação;

      • Configuração de parâmetro incorreta;

      • Datas incorretas;

      • Falta de mecanismos de identificação e autenticação, como autenticação de usuário;

      • Tabelas de senhas desprotegidas;

      • Gerenciamento de senha ruim;

      • Serviços desnecessários ativados;

      • Software imaturo ou novo;

      • Especificações pouco claras ou incompletas para desenvolvedores;

      • Falta de controle efetivo de mudanças;

      • Download não controlado e uso de software;

      • Falta de cópias de backup;

      • Falta de proteção física do prédio, portas e janelas;

      • Falha na produção de relatórios de gestão.

    • Rede

      • Falta de prova de envio ou recebimento de mensagem;

      • Linhas de comunicação desprotegidas;

      • Tráfego confidencial desprotegido;

      • Cabeamento de junta ruim;

      • Ponto único de falha;

      • Falta de identificação e autenticação do remetente e do destinatário;

      • Arquitetura de rede insegura;

      • Transferência de senhas em claro;

      • Gerenciamento de rede inadequado (resiliência de roteamento);

      • Conexões de rede pública desprotegidas.

    • Pessoal

      • Ausência de pessoal;

      • Procedimentos de recrutamento inadequados;

      • Treinamento de segurança insuficiente;

      • Uso incorreto de software e hardware;

      • Falta de consciência de segurança;

      • Falta de mecanismo de monitoramento;

      • Trabalho não supervisionado por pessoal externo ou de limpeza;

      • Falta de políticas para o uso correto dos meios de telecomunicações e mensagens.

    • Local

      • Uso inadequado ou descuidado de controle de acesso físico a edifícios e salas;

      • Localização em uma área suscetível a inundações;

      • Rede elétrica instável;

      • Falta de proteção física do prédio, portas e janelas.

    • Organização

      • Falta de procedimento formal para registro e cancelamento de registro do usuário;

      • Falta de processo formal para revisão do direito de acesso (supervisão);

      • Ausência ou insuficiência de disposições (relativas à segurança) nos contratos com clientes e / ou terceiros;

      • Falta de procedimento de monitoramento das instalações de processamento de informações;

      • Falta de auditorias regulares (supervisão);

      • Falta de procedimentos de identificação e avaliação de riscos;

      • Falta de relatórios de falhas registrados nos registros do administrador e do operador;

      • Resposta de manutenção de serviço inadequada;

      • Acordo de nível de serviço ausente ou insuficiente;

      • Falta de procedimento de controle de mudança;

      • Falta de procedimento formal para controle de documentação ISMS;

      • Falta de procedimento formal para supervisão de registro de SGSI;

      • Falta de processo formal para autorização de informações públicas disponíveis;

      • Falta de alocação adequada de responsabilidades de segurança da informação;

      • Falta de planos de continuidade;

      • Falta de política de uso de e-mail;

      • Falta de procedimentos para introdução de software em sistemas operacionais;

      • Falta de registros nos registros do administrador e do operador;

      • Falta de procedimentos para tratamento de informações classificadas;

      • Ausência de responsabilidades de segurança da informação nas descrições de cargos;

      • Ausência ou insuficiência de disposições (relativas à segurança da informação) nos contratos com funcionários;

      • Falta de processo disciplinar definido em caso de incidente de segurança da informação;

      • Falta de política formal sobre o uso de computador móvel;

      • Falta de controle de ativos externos;

      • Política de "mesa limpa e tela limpa" em falta ou insuficiente;

      • Falta de autorização de instalações de processamento de informações;

      • Falta de mecanismos de monitoramento estabelecidos para violações de segurança;

      • Falta de análises gerenciais regulares;

      • Falta de procedimentos para relatar falhas de segurança;

      • Ausência de procedimentos de cumprimento de disposições de direitos intelectuais.

  • Controles: Aqui você deverá informar como controlar este risco. A Privacy Tools disponibiliza algumas normas que já identificam uma série de controles. Você também poderá importar a sua própria norma com as suas sugestões de controle. As normas que a Privacy Tools possui como padrão na plataforma são.

    • AICPA TSC 2017 (SOC 2)

      ISO/IEC 27005

      NIST (CSF) Core v1.1

      LGPD

      ISO/IEC 29100:2011 Princípios

      ISO/IEC 27701:2019 - Operador

      ISO/IEC 27701:2019 - Controlador

      ISO/IEC 27001:2013

      HIPPA - Privacidade

      GDPR

      CIS Controls V8 - IG1

      CIS Controls V8 - IG2

      CIS Controls V8 - IG3

      ISO 20000-1:2018

      ISO/IEC 21434:2021

      ISO/IEC 27017:2015

      ISO/IEC 27018:2019

      ISO/IEC 29151:2017

      NIST Privacy Framework Core 1.0

      NIST SP 800-171 rev2

      NIST- SP800

      OCEG Capability Model v3

      Secure Controls Framework (SCF)

      Shared Assessments 2021

      ISO/IEC 22301

      COSO SOC 1

...

  • Descrição do Risco: Descreva o risco com o máximo de informações possíveis para melhor entendimento junto ao impacto, probabilidade, categoria, ameaça, vulnerabilidade e controle do risco.

  • Plano de Contingência: Aqui você deverá informar qual o plano para conter o risco.

  • Ação Mitigatória: Informe quais as medidas para amenizar o risco.

  • Situação do tratamento: É o estado atual em que se encontra o tratamento do risco. Na plataforma são apresentados cinco estados.

    • Identificado;

    • Analisado;

    • Em Tratamento;

    • Em Monitoramento;

    • Finalizado.

  • Responsável pelo risco: É o usuário dentro da plataforma que estará cuidando do risco e seu processo.

  • Data Solução Final: É a data limite para a solução do risco.

Após preencher todos esses campos você pode salva-lo clicando em Salvar.

Se você editar um risco já existente, ao salvar, você deverá inserir uma justificativa para aprovar a alteração dos eixos de impacto ou probabilidade do risco.

...

Você poderá adicionar também arquivos para a justificativa.

Também é possível realizar a impressão dos riscos clicando no botão a direita da tela.

...

Ao acessar a tela, é possível selecionar um plano de ação já existente, bem como atrelar a outro plano:

...

Ao selecionar ‘Criar novo plano’:

...

Criando campos personalizados dentro do Mapa de Riscos

Sentiu falta de algum campo? Alguma informação que você quer complementar? Isso é possível na plataforma da Privacy Tools.

Para acessar a funcionalidade basta acessar o módulo: Governança & Compliance >> Incidentes >> Registro e Acompanhamento >> Selecionar o incidente >> Campos Personalizados.

...

A tabela que deverá ser selecionada é a de Riscos, porém caso queira criar um campo personalizável para os riscos dentro de incidentes, fornecedores e entidades, deverá ser criado também um campo personalizável para cada um deles dentro de suas tabelas.

...

Após selecionar a tabela, clique em “Adicionar”.

...

Há diversos campos para serem configurados como:

  • Label do campo:

  • Ordenação:

  • Tipo de campo:

    • Texto simples;

    • Texto grande;

    • Número;

    • Checkbox;

    • Seletor.

  • Publicado?:

  • Obrigatório?:

  • Expressão Regular:

Após preencher as informações clique em “Salvar”

...

Note que as informações dos campos que foram preenchidos aparecem na lista de campos customizados.

Você pode adicionar quantos campos quiser.

Voltando aos riscos, após selecionar um risco, clique em “Campos Personalizados” e lá estará o campo criado.

...

Na aba “Registros de alteração” irá aparecer a seguinte tela:

...

Será possível visualizar o histórico do risco ao longo do prazo:

  • Quem solicitou a alteração

  • Quem aprovou

  • Data da solicitação

  • Data da Aprovação

...

O que é:

Na Gestão de Riscos, você poderá visualizar e gerir todos os riscos associados aos mais diversos processos de tratamento de dados pessoais de sua empresa.

Na tela de Dashboards haverá uma visão geral dos riscos criados separados por categorias distintas

Já em Mapa de riscos é possível acessar uma lista com opções de filtros e uma opção de criação de um novo risco.

...

Passo a Passo:

Table of Contents
minLevel2
maxLevel3
outlinefalse
typelist
printablefalse

...

Seleção de tela

Acima dos campos de dashboards há a opção de alternar entre a pagina de Dashboards e a pagina de mapas de risco.

Info

Caso queira detalhes da tela de mapa de riscos acesse: Mapa de risco

Dashboard:

Aqui será apresentado os dashboards de todos os riscos do sistema:

...

Podemos buscar os riscos pela sua origem selecionando a opção de busca “Origemserá listado um checkbox com as opções de busca:

  • Ativos

  • Atividades de tratamento

    • Ao selecionarmos o sistema habilita o campo de busca Área Responsável.

  • Fornecedores

  • Entidades

  • Incidentes

  • Avaliações

  • Iniciativas de ESG

  • Independente

...

Total de riscos: Apresenta o total dos riscos na plataforma

Riscos por impacto: Informa a porcentagem de riscos divididos pelo impacto

Riscos por probabilidade: Demonstra a porcentagem dos riscos por sua probabilidade

Quantidade de riscos na Matriz de Risco: Apresenta um mapa de calor com o impacto x probabilidade

Riscos por Categoria: Apontam os riscos conforme sua categoria

...