Neste episódio do programa "Cibersegurança, Privacidade e Sociedade", Edison Fontes, especialista em gestão de segurança da informação e privacidade, aborda os aspectos críticos na classificação da informação. Muitas organizações concentram-se apenas no Sigilo, mas Fontes explora outras dimensões igualmente relevantes, como Integridade e Disponibilidade, que são essenciais para uma gestão eficaz e completa da informação. Ele também incentiva os espectadores a personalizarem esses critérios de classificação, adaptando-os às necessidades e especificidades do ambiente organizacional de cada um, promovendo uma abordagem mais estratégica e personalizada para a segurança da informação.

Neste episódio do programa "Cibersegurança, Privacidade e Sociedade", Edison Fontes, especialista em gestão de segurança da informação e privacidade, explora a importância da segurança em ambientes de computação em nuvem. Embora a migração para a nuvem traga benefícios imediatos para muitas empresas, isso não garante automaticamente a conformidade com os critérios de cibersegurança e proteção de privacidade. Fontes apresenta os 13 domínios de controle estabelecidos pela CSA e aprimorados pela ENISA, que são essenciais para garantir uma gestão segura e eficiente da informação no ambiente de nuvem. Este episódio é um guia indispensável para aqueles que buscam entender as melhores práticas de segurança e privacidade no ambiente digital.

Neste episódio do programa "Cibersegurança, Privacidade e Sociedade," Edison Fontes explora a fundo a Lei Geral de Proteção de Dados Pessoais (LGPD) e sua aplicação prática, especialmente no contexto de condomínios. Desde sua promulgação em 2018 até a entrada em vigor em 2020, a LGPD oferece aos cidadãos o direito à proteção de dados pessoais. A Autoridade Nacional de Proteção de Dados (ANPD), criada para regulamentar e aplicar sanções, só implementou penalidades em 2023. Vamos destacar os controles obrigatórios da LGPD e os principais desafios para condomínios.

SOC 2, ou Controle de Organização e Serviços, é uma estrutura desenvolvida para ajudar empresas de prestação de serviços a demonstrar que aplicam rigorosamente práticas de segurança da informação, continuidade e proteção da privacidade em suas operações. Este controle é fundamental para garantir a confiança e a segurança no relacionamento com os clientes e no tratamento dos seus dados.
O SOC 2 foi desenvolvido pelo American Institute of Certified Public Accountants (AICPA), a associação profissional nacional dos contadores públicos certificados nos EUA. A AICPA também teve um papel crucial na criação e definição dos controles da Lei Sarbanes-Oxley (SOX).
Este procedimento de auditoria visa assegurar que os fornecedores de serviços tratem os dados de seus clientes de forma segura, protegendo os interesses da organização e garantindo a privacidade e segurança dos dados. Neste episódio, apresento os principais controles de segurança da informação exigidos para a conformidade com o SOC 2 nos Estados Unidos.

O Processo de Segurança da Informação deve ser contínuo, existindo enquanto a organização existir e, em muitos casos, até mesmo após o término das atividades da empresa. Já tive a experiência de preparar controles e procedimentos para os dados de uma organização que deixou o Brasil, mas que, por conformidade legal e contratual, precisou manter os dados acessíveis para autoridades judiciais ou clientes que receberam o serviço, caso houvesse qualquer demanda futura.
Pensando em uma situação mais comum, o Processo de Segurança da Informação deve ser eficiente, eficaz e sustentável ao longo do tempo. Para garantir essa longevidade, é essencial a implementação de macrocontroles que possibilitem a proteção contínua da informação. Como isso pode ser alcançado? Acredito que é possível e viável implementar esses macrocontroles, desde que a organização trate o processo de segurança da informação com o devido profissionalismo.
Neste episódio, faço recomendações que considero obrigatórias para garantir uma Segurança da Informação Sustentável.

De uma maneira simplificada, podemos distinguir entre o Ambiente Matemático de Tecnologia de Inteligência Artificial Público e o Ambiente Matemático de Tecnologia de Inteligência Artificial Corporativo. Para facilitar, vamos nos referir a ambos como Inteligência Artificial (IA), conforme a mídia popularmente os denomina.
No ambiente público, a IA muitas vezes opera com menos compromissos e uma maior flexibilidade. Porém, quando falamos de IA no contexto corporativo, é imperativo que sejam seguidos princípios rigorosos. O uso da IA no ambiente corporativo exige que a organização considere direcionadores específicos que garantam que a tecnologia tenha um impacto positivo nos negócios e contribua para o alcance dos objetivos corporativos.
Neste episódio, destacamos os principais controles que devem ser aplicados para garantir que a IA corporativa seja confiável e segura.

Muitas organizações e profissionais experientes confundem os objetivos da função governança e da função gestão. Tenho encontrado em muitas organizações a função de governança (pelo menos no nome) totalmente errada, com nível hierárquico e autonomia equivocados. Quando encontro esta situação, na minha experiencia, 100% a organização tem problemas de estrutura e responsabilidades. Neste caso o processo de segurança da informação, privacidade, continuidade e confiança digital está em uma maturidade baixa, necessitando urgente melhoria.
Neste episódio exploramos o conceito de Gestão e Governança, com base em Direcionadores de referencia como Normas ISO ou o NIST

Fornecedores, prestadores de serviços, parceiros ou qualquer outra nomenclatura utilizada, são entidades externas que desempenham um papel crucial na operacionalização do negócio e no alcance dos objetivos corporativos de uma organização. Quando o foco é segurança da informação, proteção da privacidade e continuidade, é essencial que esses fornecedores sejam submetidos ao mesmo rigor (ou até maior) que os controles internos da organização. Não deve haver distinção entre entidades; todos devem operar como uma única organização comprometida em atingir os objetivos corporativos com segurança.
Neste episódio, apresentamos os principais controles de segurança da informação que devem ser aplicados na Gestão de Fornecedores, garantindo que todos os envolvidos estejam alinhados com as práticas de segurança e privacidade da organização.