Roadmap para a segurança da informação numa empresa de logística

Uni e sidade do Minho
Escola de Engenha ia
José Luís da Sil a Al es
pa a a Segu ança da In o mação
numa emp esa de Logís ica
junho de 2022
UMinho | 2022 José Luís da Sil a Al es
pa a a Segu ança da In o mação numa emp esa de
Logís ica
Roadmap
Roadmap
José Luís da Sil a Al es
pa a a Segu ança da In o mação
numa emp esa de Logís ica
Disse ação de Mes ado
Mes ado In eg ado em Engenha ia e Ges ão Indus ial
T abalho e e uado sob a o ien ação do
P o esso Dou o Rui Manuel de Sá Pe ei a Lima
P o esso Dou o C is iano de Jesus
Uni e sidade do Minho
Escola de Engenha ia
junho de 2022
Roadmap
ii
DIREITOS DE AUTOR E CONDIÇÕES DE UTILIZAÇÃO DO TRABALHO POR TERCEIROS
Es e é um abalho académico que pode se u ilizado po e cei os desde que espei adas as eg as e
boas p á icas in e nacionalmen e acei es, no que conce ne aos di ei os de au o e di ei os conexos.
Assim, o p esen e abalho pode se u ilizado nos e mos p e is os na licença abaixo indicada.
Caso o u ilizado necessi e de pe missão pa a pode aze um uso do abalho em condições não
p e is as no licenciamen o indicado, de e á con ac a o au o , a a és do Reposi ó iUM da Uni e sidade
do Minho.
Licença concedida aos u ilizado es des e abalho
A ibuição
CC BY
h ps://c ea i ecommons.o g/licenses/by/4.0/
iii
AGRADECIMENTOS
Rese o aqui o espaço pa a ag adece a odos aqueles que, de alguma o ma, di e a ou indi e amen e,
me apoia am e auxilia am pa a a ealização da minha disse ação de mes ado.
Aos meus o ien ado es, P o esso Rui Lima e P o esso C is iano de Jesus, po e em acei ado o papel
de me o ien a , pelos ensinamen os, disponibilidade e espe i a ajuda no desen ol imen o des e p oje o
de disse ação.
Aos meus o ien ado es da emp esa, Engenhei o Miguel Co dei o e Engenhei o Luís Co eia, po me
e em acolhido no seu depa amen o, o ien ado e acompanhado ao longo de odo o p oje o. Um especial
ob igado à Dou o a Ca a ina Aze edo, pela paciência e eno me disponibilidade pa a me ensina odo o
con eúdo que necessi a a pa a o sucesso do p oje o.
Também que o ag adece aos meus amigos pelo incen i o, odas as pala as de mo i ação e
especialmen e pelo con ibu o e p esença ao longo dos cinco anos que equen ei a Uni e sidade do
Minho, o nando-os, assim, nos melho es anos da minha ida.
A odos os p o esso es, u o es e conselhei os que ize am pa e, de algum modo, no meu pe cu so ao
longo des es anos na uni e sidade, pelo que a sua p esença no meu pe cu so, enha con ibuído pa a
minha conclusão i o iosa nes e ciclo.
Po im, um especial ag adecimen o, aos meus pais, i mãs e es an es memb os da amília, pela
anquilidade, o ça e co agem ansmi ida, não só du an e o pe íodo da disse ação e ensino supe io ,
mas ambém po oda a educação que me ansmi i am e que, consequen emen e, con ibui pa a o meu
sucesso escola e p o issional.

i
DECLARAÇÃO DE INTEGRIDADE
Decla o e a uado com in eg idade na elabo ação do p esen e abalho académico e con i mo que não
eco i à p á ica de plágio nem a qualque o ma de u ilização inde ida ou alsi icação de in o mações ou
esul ados em nenhuma das e apas conducen e à sua elabo ação.
Mais decla o que conheço e que espei ei o Código de Condu a É ica da Uni e sidade do Minho.
ROADMAP PARA A SEGURANÇA DA INFORMAÇÃO NUMA EMPRESA DE LOGÍSTICA
RESUMO
A p esen e disse ação oi elabo ada no abi o ge al do g au de mes e em Engenha ia e Ges ão Indus ial,
com o in ui o de desc e e o p oje o de in es igação desen ol ido na
Rangel Logis ics Solu ions
. A
disse ação in i ula-se de “
Roadmap
pa a a segu ança da in o mação numa emp esa de Logís ica”. Es e
p oje o su giu do ac o da emp esa, não só ambiciona a ob enção de uma ce i icação da no ma
in e nacional ISO 27001:2013, mas ambém melho a o ní el de ma u idade de segu ança das TI–
obje i o p incipal des a disse ação - e consequen emen e, ob e uma con o midade o al com o
egulamen o ge al de p o eção de dados.
A me odologia de in es igação seguida oi “In es igação-Ação”. Começando com uma e isão
bibliog á ica, o am abo dados emas elacionados com a segu ança da in o mação,
amewo ks
(IDC,
COBIT, ITIL), no ma ISO 27001 e p o eção de dados. Du an e a análise da si uação a ual com ecu so
a análise de documen os a uais, polí icas, p ocedimen os, ins uções de abalho e ambém eco endo
a en e is as de colabo ado es, iden i ica am-se á ias opo unidades de melho ia, des acando-se a: al a
ges ão de mecanismos, audi o ias in e nas, inexis ência de cul u a de pa icipação a i a no ema, ges ão
de iden idades e acessos, p á icas de ges ão de p oblemas, inexis ência de a aliações á segu ança de
in o mação de pa cei os ex e nos, ausência de abo dagens á ges ão de isco, en e ou as alhas.
Tendo em con a a a aliação da si uação a ual, p ocedeu-se ao desen ol imen o de um plano de
inicia i as. Es as inicia i as o am cons uídas de o ma a cump i os equisi os da no ma in e nacional
ISO 27001 e do RGPD, endo como e e ência o modelo de go e nança COBIT 5 e capaz de p o idencia
um se iço de al a qualidade segundo a es u u a ITIL. A melho ia do ní el de segu ança das ecnologias
de in o mação pe mi i á uma melho ia na e iciência ope acional e inancei a, o cump imen o legal e
egulamen a e aumen o epu acional e come cial, pa a além de melho a a capacidade de espos a a
ameaças, que in e nas e ex e nas, aos sis emas de in o mação.
Após o cump imen o do plano es a égico, de ambos os
oadmap
, espe a-se um aumen o do ní el de
ma u idade de segu ança de 62%, um aumen o da cobe u a da no ma in e nacional ce ca de 144% e
um aumen o da cobe u a do RGPD de 138%.
PALAVRAS-CHAVE
COBIT 5
, ISO 27001, RGPD, Segu ança da In o mação
i
ROADMAP FOR INFORMATION SECURITY APPLIED TO A LOGISTICS ENTERPRISE
ABSTRACT
This disse a ion en i led “Roadmap o In o ma ion Secu i y applied o a Logis ics En e p ise” was w i en
in he con ex o he achie emen o a mas e ´s deg ee in Indus ial Managemen and Enginee ing, o
desc ibe he esea ch p ojec de eloped in Rangel Logis ics Solu ions. This p ojec a ose om he ac
ha he company no only desi ed o acqui e an ISO 27001:2013 in e na ional ce i ica ion, bu also o
imp o e he ma u i y le el o IT secu i y – which is he main objec i e o his disse a ion – and,
consequen ly, ha e o al compliance o he GDPR.
The in es iga ion me hodology ollowed was “Ac ion-Resea ch”. S a ing wi h he li e a u e e iew, opics
ela ed o in o ma ion secu i y, se e al amewo ks (IDC, COBIT, ITIL), ISO 27001 s anda d and da a
p o ec ion we e explo ed. While assessing he cu en s a e by analysing la es documen s, policies,
p ocedu es, wo k ins uc ions and also by in e iewing employees, se e al oppo uni ies o imp o emen
we e iden i ied such as lack o mechanism managemen , lack o in e nal audi s, non-exis ence o ac i e
pa icipa ion cul u e in o ma ion secu i y, lack o iden i y and access p ocesses managemen , lack o
p oblem managemen , non-exis en assessmen o he in o ma ion secu i y o ex e nal pa ne s, and
absence o a isk managemen app oach, among many o he s.
Acco ding o he cu en s a e assessmen , a plan o ini ia i es was de eloped. These ini ia i es we e
c ea ed in o de o comply wi h he ISO 27001 s anda d and GDPR equi emen s, ha ing as a e e ence
he COBIT 5 go e nance amewo k and capable o p o iding high quali y se ices acco ding o he ITIL
amewo k. The imp o emen o he secu i y ma u i y le el o IT will enable a be e ope a ional and
inancial e iciency, legal compliance, and comme cial and epu a ional g ow h, besides imp o ing he
h ea esponse, bo h in e nal and ex e nal, o in o ma ion sys ems.
A e he implemen a ion o he s a egic plan, a g ow h o he secu i y ma u i y le el is expec ed wo h
62%, a g ow h o he in e na ional s anda d co e age wo h a ound 144% and a g ow h o he GDPR
co e age wo h a ound 138%.
KEYWORDS
COBIT 5, GDPR, In o ma ion Secu i y, ISO 27001
ii
ÍNDICE
AGRADECIMENTOS .................................................................................................................................. III
ROADMAP PARA A SEGURANÇA DA INFORMAÇÃO NUMA EMPRESA DE LOGÍSTICA ...................................................... V
RESUMO ............................................................................................................................................... V
ROADMAP FOR INFORMATION SECURITY APPLIED TO A LOGISTICS ENTERPRISE ..................................................... VI
ABSTRACT ............................................................................................................................................ VI
ÍNDICE ................................................................................................................................................ VII
ÍNDICE DE FIGURAS ................................................................................................................................. XI
ÍNDICE DE TABELAS ...............................................................................................................................XIV
LISTA DE ABREVIATURAS, SIGLAS E ACRÓNIMOS ........................................................................................... XV
1. INTRODUÇÃO ................................................................................................................................. 1
1.1 Enquad amen o .................................................................................................................. 1
1.2 Obje i os ............................................................................................................................. 1
1.3 Me odologia de In es igação ................................................................................................ 2
1.4 Es u u a da Disse ação ..................................................................................................... 3
2. REVISÃO BIBLIOGRÁFICA ................................................................................................................... 5
2.1 Segu ança da In o mação .................................................................................................... 5
2.2 A No ma ISO/IEC 27001 e sua O igem ............................................................................... 8
2.2.1 IS0, IEC e a amília ISO/IEC 27000 ............................................................................. 8
2.2.2 NP ISO/IEC 27001:2013 e SGSI ............................................................................... 11
2.3 Regulamen o Ge al de P o eção de Dados (RGPD) ............................................................. 15
2.4 IDC MATURITYSCAPE - IT SECURITY 2.0 ........................................................................... 17
2.4.1 Os ní eis de ma u idade de segu ança dos sis emas de in o mação ........................... 17
2.4.2 As dimensões da es u u a de e e ência .................................................................... 18
2.5 COBIT e COBIT 5 .............................................................................................................. 19
2.5.1 COBIT ....................................................................................................................... 19
2.5.2 Cobi 5 ...................................................................................................................... 19
2.6 ITIL ................................................................................................................................... 21
xi
ÍNDICE DE TABELAS
Tabela 1 - Requisi os dos clien es Rangel e espe i os olumes de negócio
E o ! Bookma k no
de ined.
Tabela 2 - Mé icas dos Obje i os Emp esa iais e Obje i os elacionados com as TI
........................... 36
Tabela 3 - Obje i os dos P ocessos que co espondem ao obje i o elacionado com as TI do COBIT 5 e
espe i as mé icas
........................................................................................................................... 37
Tabela 4 - Opo unidades de melho ia do es ado a ual
...................................................................... 48
Tabela 5 – Obje i os o ganizacionais do g upo Rangel
....................................................................... 57
Tabela 6 - Ações da Inicia i a nº1 e seu mapeamen o
....................................................................... 58
Tabela 7 - Ações da Inicia i a nº2 e seu mapeamen o
....................................................................... 59
Tabela 8 - Ações da Inicia i a nº3 e seu mapeamen o
....................................................................... 60
Tabela 9 - Ações da Inicia i a nº4 e seu mapeamen o
....................................................................... 62
Tabela 10 - Ações da Inicia i a nº5 e seu mapeamen o
..................................................................... 62
Tabela 11 - Ações da Inicia i a nº6 e seu mapeamen o
..................................................................... 64
Tabela 12 - Ações da Inicia i a nº7 e seu mapeamen o
..................................................................... 65
Tabela 13 - Ações da Inicia i a nº8 e seu mapeamen o
..................................................................... 68
Tabela 14 - Ações da Inicia i a nº9 e seu mapeamen o
..................................................................... 69
Tabela 15 - Ações da Inicia i a nº10 e seu mapeamen o
................................................................... 69
Tabela 16 - Ações da Inicia i a nº11 e seu mapeamen o
................................................................... 70
Tabela 17 - Mapeamen o dos obje i os o ganizacionais, opo unidades de melho ia e inicia i as
........ 71
Tabela 18 - Lis a de con olos já implemen ados
............................................................................... 74
Tabela 19 - Lis a de con olos em al a
.............................................................................................. 76
Tabela 20 – Lis a de con olos não aplicá eis
................................................................................... 77
Tabela 21 - Responsá eis po cada inicia i a
..................................................................................... 79
Tabela 22 - Mapeamen o de con olos ISO e a igos RGPD (Es ado A ual)
.......................................... 81
Tabela 23 - Mapeamen o de con olos ISO e A igos RGPD (Inicia i as)
.............................................. 81

x
LISTA DE ABREVIATURAS, SIGLAS E ACRÓNIMOS
ISO/IEC
In e na ional O ganiza ion o S anda diza ion/In e na ional Elec o echnical
Commission
IEC
In e na ional Elec oTechnical Commission
TI Tecnologias de In o mação
SGSI Sis ema de Ges ão de Segu ança da In o mação
PDCA
Plan – Do – Check - Ac
RGPD Regulamen o Ge al de P o eção de Dados
EU União Eu opeia
COBIT
Con ol Objec i es o In o ma ion and ela ed Technology
ISACA
In o ma ion Sys ems Audi and Con ol Associa ion
ITIL
In o ma ion Tecnology In as uc u u e Lib a y
CCTA
Cen al Compu e and Telecomunica ions Agency
OGC
O ice o Go e nmen Comme ce
LoB
Line o Business
B2B
Business- o-business
VoC
Voice o Cos ume
B2C
Business- o-consume
IDC
In e na ional Da a Co po a ion
TCO
To al Cos o Owne ship
ITSM
In o ma ion Technology Se ice Managemen
DPIA
Da a P i acy Impac Assessmen
1
1. INTRODUÇÃO
No p imei o capí ulo da p esen e disse ação se á ealizado o enquad amen o do ema “Roadmap pa a
a Segu ança de In o mação numa emp esa de Logís ica”, e e uada no in ui o de conclusão do plano de
es udos do 5º ano do Mes ado In eg ado em Engenha ia e Ges ão Indus ial. Que os obje i os
p opos os, que a me odologia de in es igação u ilizada pa a es e p oje o e es u u a do documen o, são
ap esen ados de seguida.
1.1 Enquad amen o
Os ní eis de desempenho exigidos às emp esas es ão em cons an e c escimen o, ob igando-as
con inuadamen e encon a o mas de melho ia, de o ma a a ingi a pe eição.
Es a iloso ia, jun amen e com o aumen o das ameaças à segu ança da in o mação, que chegam de
á ias o mas, não só ameaças ex e nas a a és de cibe a aques, mas ambém a aques comuns in e nos,
como iolações aciden ais e e o humano, ob iga as o ganizações a p esencia em-se de um plano capaz
de supo a a con inuidade da a i idade de negócio, como ambém es a em con o midade com os
pa âme os de clien es, pa cei o e da Lei.
A Rangel Logis ics Solu ions, pa ilha essa isão, pelo que, ambém econheceu que es á bas an e
ulne á el, na medida que ap esen a um ní el de ma u idade baixo no âmbi o da segu ança da
in o mação, e, como al, p e ende melho a esse ní el.
1.2 Obje i os
Es a disse ação em como obje i o p incipal, al como o nome mos a, delinea um “
Roadmap
” (um
mapa de es ada, um caminho, pe cu so, de modo a melho a o ní el de segu ança da in o mação de
uma emp esa no se o da logís ica. De modo a cump i es e obje i o ge al do p oje o, o am açados os
seguidos obje i os suplemen a es:
• Iden i icação da isão ge al da o ganização em elação ao cob imen o do plano de segu ança da
in o mação;
• Iden i icação e es abelecimen o dos obje i os o ganizacionais em elação à emp esa e mais
especi icamen e, em elação às ecnologias de in o mação;
2
• A aliação do es ado das ecnologias de in o mação e consequen e diagnós ico da si uação a ual,
iden i icando alhas exis en es;
• P ojeção de um possí el es ado u u o de ma u idade ao ní el da segu ança das ecnologias de
in o mação
• Delineação de inicia i as adap adas ao no o es ado das ecnologias de in o mação;
• Análise do espaçamen o en e o es ado no o u u o e uma cobe u a o al da no ma in e nacional
ISO / IEC 27001:2013;
• Delineação de um no o plano de inicia i as pa a uma con o midade o al da no ma in e nacional
e o imização da con o midade com o Regulamen o Ge al de P o eção de Dados;
Com o cump imen o do obje i o p incipal des e p oje o, é p e endido ob e os seguin es esul ados:
➢ Melho ia do ní el de ma u idade de segu ança dos sis emas de in o mação;
➢ Cobe u a o al dos equisi os e con olos da no ma in e nacional ISO / IEC 27001:2013 e uma
possí el ce i icação u u a;
➢ Con o midade com o Regulamen o Ge al de P o eção de Dados
➢ Aumen a a e iciência do abalho na espos a a inciden es e eduzi cus os associados;
➢ Ob e p ocessos no malizados
1.3 Me odologia de In es igação
O plano de In es igação em causa i á ege -se pela es a égia de in es igação “
Ac ion Resea ch
”, ambém
denominado como “In es igação-Acão”, is o que se a a de uma in es igação a i a ge ada po p opósi o
inse ida num con ex o p á ico (di eção de sis emas de in o mação da Rangel Logis ics Solu ions), e es a
me odologia é ca ac e izado pela esolução de p oblemas ope acionais bem como pela ob enção do
conhecimen o consequen e das á ias ações conc e izadas ao longo do pe íodo de in es igação. Além
disso, segundo Saunde s, Lewis e Tho nhill (Ma k Saunde s, Philip Lewis, 2012), com es a es a égia é
espe ado um ce o en ol imen o do in es igado com a o ganização e alguns dos seus colabo ado es da
o ganização, e i icando-se uma pa icipação a i a no ópico em es udo, c iando-se um ambien e
colabo a i o en e odos pa a p omoção de “mudança” na o ganização. Consequen emen e, espe a-se
obse a as implicações des a pesquisa em p oje os u u os, is o é, os esul ados alcançados de em se
passí eis de se u ilizados nou os con ex os.
Assim, es a me odologia é compos a po cinco ases sequenciais de um ciclo i e a i o (O’B ien, 1998)
ases es as que se i ão de base pa a a elabo ação da disse ação:
3
• Diagnós ico: Es a ase consis e numa análise c í ica e a aliação da ma u idade de segu ança
das ecnologias de in o mação do es ado inicial das ecnologias de in o mação. Como auxílio ao
diagnós ico, o am u ilizadas e amen as de a aliação;
• Planeamen o das ações: Após iden i icadas as opo unidades de melho ia, oi elabo ado um
plano de ações, com is a a alcança o es ado desejado de ma u idade pa a as ecnologias de
in o mação;
• Implemen ação das ações: Implemen ação p á ica das ações delineadas nas inicia i as
p opos as;
• A aliação dos esul ados: Es a ase comp eendeu a análise e a aliação dos esul ados espe ados
com as ações desc i as an e io men e, ealizando-se uma compa ação en e o es ado u u o
desejado e es ado inicial de ma u idade de segu ança das ecnologias de in o mação.
• Especi icação da ap endizagem: Po im, iden i ica-se as descobe as e conclusões ge ais da
in es igação e documen ação de odo o p ocesso ealizado, de modo a pe mi i da con inuidade
a es e abalho u u o.
Inicialmen e, an es de da início ao p oje o de disse ação, deu-se início à e isão da li e a u a, pe mi indo
ao in es igado es a con ex ualizado e ap o unda os seus conhecimen os das emá icas elacionadas
com a á ea de in e enção. Além disso, oi undamen al documen a oda a ap endizagem esul an e do
p oje o ealizado (elabo ação da disse ação), p ocesso es e que se ealizou em simul âneo com as a e as
mencionadas an e io men e.
1.4 Es u u a da Disse ação
O documen o aqui p esen e es á o ganizado em á ios capí ulos, sendo no o al 9: In odução, Re isão
Bibliog á ica, Ap esen ação da Emp esa, Desc ição e Análise do P ocesso, Opo unidades de Melho ia e
Análise do Es ado Fu u o, Inicia i as,
Roadmaps
e equisi os de Con olo, Ações Execu adas e Resul ados
e Conclusões e P opos as de T abalho Fu u o.
O p imei o capí ulo, o a ual – In odução – é cons i uído pelo enquad amen o do ema da disse ação,
obje i os, me odologia de in es igação e a es u u a do documen o (a ual subcapí ulo).
No capí ulo 2, é ei a uma e isão bibliog á ica que con empla os concei os eó icos e undamen ais que
se em de base pa a o p oje o.
O e cei o capí ulo desc e e a o ganização hospedei a des e p oje o: a
Rangel Logis ics Solu ions
, pa a
além da isão da emp esa sob e a emá ica da disse ação.
4
No capí ulo 4, é ei a uma a aliação da si uação a ual das ecnologias de in o mação ao ní el da
segu ança da in o mação.
O quin o capí ulo, es ão ap esen adas as opo unidades de melho ia na o ganização e es abelecimen o
dos no os ní eis pa a um no o es ado de ma u idade das ecnologias de in o mação.
No capí ulo 6 p ocede-se à ap esen ação de p opos as de inicia i as pa a alcança o ní el de ma u idade
es ado u u o.
No sé imo capí ulo, é ap esen ado a p opos a dos espe i os
oadmaps
de modo a cump i as inicia i as
p opos as no capí ulo an e io .
O oi a o capí ulo ap esen a as ações ealizadas de modo a cump i o plano das inicia i as p opos as no
capí ulo 6.
Po im, no úl imo capí ulo (capí ulo 9) são expos as a conclusões inais des e p oje o de in es igação,
incluindo e lexões ace ca do cump imen o dos obje i os, di iculdades/limi ações expe ienciadas e
ambém incluindo suges ões pa a alguns pon os de abalho que me ecem al o de es udo u u amen e.

5
2. REVISÃO BIBLIOGRÁFICA
Nes e capí ulo é cons i uído pela e isão bibliog á ica, que po sua ez ap esen a os concei os
undamen ais que se em como base pa a o desen ol imen o da p esen e disse ação. P imei amen e,
é in oduzido o concei o de segu ança da in o mação, como oco p incipal, uma ez que ambém é o
ema des e p oje o, sendo ap esen ados os seus pila es e a sepa ação en e segu ança da in o mação e
cibe segu ança. De seguida, se ão ap esen ados um enquad amen o da ISO/IEC 27001, à amília de
no mas a que pe ence e o Regulamen o Ge al de P o eção de Dados. Po im, inaliza-se a e isão
bibliog á ica, de o ma se ão ap esen ados alguns
amewo ks
de e e ência, como o
IDC Ma u yscape
,
o
COBIT
e o
ITIL
.
2.1 Segu ança da In o mação
Nos úl imos anos, o e mo Segu ança da In o mação começou a apa ece com maio equência no
escopo das o ganizações, mesmo que, po ezes, o seu concei o e obje i o não sejam o almen e
comp eendidos. No en an o, a segu ança da in o mação é um aspe o c í ico e desempenha um papel de
p o eção de negócio. As o ganizações de em p o ege a sua in o mação e a i os de o ma a sus en a o
alo da emp esa e espe i a epu ação come cial (AlGhamdi e al., 2020). Hoje, os iscos elacionados
com a segu ança da in o mação são um g ande desa io pa a as emp esa, uma ez que alguns desses
iscos podem le a a g a es consequências, incluindo ulne abilidade co po a i a, pe da de c edibilidade,
e dano mone á io (Ca usoglu e al., 2004). Bas a apenas uma iolação da segu ança bem-sucedida pelo
in a o , como um oubo de dados, e o humano, a aque in o má ico ou apenas um í us in o má ico nos
sis emas de in o mação de uma o ganização, podem esul a numa se e a pe da de inancei a e dano
epu acional. Consequen emen e, en idades egulado as, uncioná ios, clien es e o necedo es es ão
p eocupados com a segu ança e p i acidade da in o mação das o ganizações (Ha dy, 2006).
F equen emen e, a segu ança da in o mação é is a como um sinónimo de cibe segu ança e como al
associada a uma emá ica me amen e ecnológica que pode se eduzida à exp essão de comp a e
implemen ação de pla a o mas ecnológicas e que não exis e a necessidade de escala o ema a oda a
o ganização.
Com a in odução de emas como o Regulamen o Ge al de P o eção de Dados (RGPD) ( ambém
in oduzido nes a disse ação num dos capí ulos seguin es) az consigo o bene ício de despole a
momen os de e lexão nas emp esas, e, assim, aze de alguma o ma a consciência que a segu ança
6
de dados e da in o mação, são mui o mais que apenas de con olos écnicos, mas ambém, e
p incipalmen e, compo amen os humanos.
Exis em e idências que equen emen e, p oje os o ganizacionais começam sem qualque abo dagem
em elação à segu ança da in o mação, mesmo quando alguns iscos podem comp ome e a o p oje o
e imagem come cial da o ganização. O p oblema p incipal é que as pessoas con inuam a pensa que os
sis emas e in o mação es ão segu os, apenas pela pelo ac o, de e em ei o algum in es imen o nesses
mesmos sis emas, pelo que, isso cons i ui um g ande e o. Assume-se que, po mui o in es imen o que
se aça pa a man e os sis emas de in o mação a ualizados, pa ece que nunca é su icien e pa a e i a o
oube dados, di ulgação de in o mação, a explo ação de sis emas e ou os iscos que são in ínsecos à
in o mação supo ados po edes e sis emas de in o mação. É um ciclo icioso sem é mino, pelo que é
necessá io se esilien e (de Oli ei a Albuque que e al., 2016). Além disso, e idências empí icas
demons am que o núme o de inciden es elacionados com a segu ança da in o mação es á de ac o, a
aumen a , apesa das o ganizações e em ealizado g ande in es imen o em soluções baseadas em
ecnologia. Uma segu ança de in o mação de sucesso pode alcançada a a és de um in es imen o, que
em ecu sos écnicos, que em ecu sos socio-o ganizacionais.
Assim, segu ança da in o mação pode se de inida como um conjun o de medidas écnicas, humanas e
o ganizacionais que isam assegu a ês p op iedades dos dados e in o mação de ida po uma
o ganização, comumen e conhecida como con idencialidade, in eg idade e disponibilidade, ou ambém
como a íade CIA (
Con iden iali y, In eg i y and A ailabili y
), nome o iginal na língua inglesa. A íade CID
(em língua po uguesa) são os ês pila es ou p incípios da segu ança da in o mação (Samonas & Coss,
2014; Za a e al., 2016):
• Con idencialidade: o e mo “con idencialidade” é de i ado do e mo em la im
“
con ide e
”, que signi ica e o al con iança ou con iabilidade. Con idencialidade é o
p imei o p incípio da segu ança da in o mação. Es a é a p op iedade que concede a
p o eção da in o mação do acesso inde ido de e cei os. Assim, apenas as en idades
au o izadas pelo p op ie á io da in o mação podem acede e abalha com essa mesma
in o mação.
• In eg idade: o e mo “in eg idade” signi ica solidez, o alidade e é de i ado do e mo
em la im “
ange e
”, que signi ica “ oque” ou “ oca ”. Es a p op iedade é di igida à
consis ência, exa idão e c edibilidade dos dados ao longo de odo o seu ciclo de ida,
ga an indo assim, que a in o mação manuseada man ém odas as usa ca ac e ís icas
7
o iginais, assegu ando, assim, que a in o mação e p og amas só são c iados e
modi icados numa manei a especi ica e au o izada;
• Disponibilidade: o e mo “
a ailabili y
” (“disponibilidade” na língua o icial inglesa) é
de i ado do e mo em la im “
ale e
”, que signi ica “ ale ”. Na in o mação da segu ança,
o e mo “disponibilidade” signi ica “acesso e uso opo uno e con iá el da in o mação”.
Es a p op iedade ga an e que a in o mação es eja semp e disponí el pa a o uso legí imo,
aquando de uma en idade au o izada necessi a o seu acesso.
Figu a 1 - The CIA iad (em po uguês, a íade CID)
Fon e:
(Samonas & Coss, 2014)
Apesa de aplicá el a qualque se o de a i idade, enquan o
inpu
de mui os se iços e p odu os, a
in o mação de e se conside ada um a i o es a égico pelos ope ado es logís icos. Ainda que o seu alo
seja di ícil de apu a , a u ilização des e bem in angí el é um dos desa ios pa a es as emp esas, no sen ido
de se adap a em às mac o endências da logís ica, as quais assen am na anspa ência, as eabilidade,
segu ança e o imização. Di e amen e elacionada com a a i idade logís ica, os dados e especialmen e a
in o mação são undamen ais pa a a execução e icien e das ope ações que se con e em em ele ados
ní eis de se iço e como al um elemen o dis in i o pe an e os conco en es. Pa a al, é necessá io um
co e o e adequado modelo de go e nança e um igo oso modelo de ges ão dos sis emas que lidam com
8
a in o mação. Ine iciências ou p oblemas na qualidade e/ou iabilidade dos dados e da in o mação
aduzem-se em pe da de compe i i idade de um ope ado logís ico.
Em o ganizações com as suas ope ações o emen e supo adas em sis emas de in o mação e canais
digi ais na elação com os seus pa cei os, a segu ança dos sis emas de in o mação no sen ido da
sal agua da do seu bom uncionamen o de e se expandida pa a algo mais ab angen e como a
Segu ança da In o mação. Ao longo des e es udo se ão abo dadas e discu idas emá icas de segu ança
das ecnologias de in o mação TI e cibe segu ança, emas mui o especí icos de con olos écnicos pa a
de e minadas disciplinas das TI, po ém como pa es ele an es do âmbi o maio que é a Segu ança da
In o mação.
2.2 A No ma ISO/IEC 27001 e sua O igem
2.2.1 IS0, IEC e a amília ISO/IEC 27000
Fundada em 1946, a ISO é uma o ganização com es ígios em 166 países. Foi c iada po um g upo
ela i amen e pequeno, maio ia engenhei os de o mação, sendo uma p oeminen e pa e deles,
b i ânicos e no e-ame icanos, dando-lhe o nome de
In e na ional O ganiza ion o S anda diza ion
(Acce boni & Sa o , 2019).
A ISO desempenha um papel undamen al no auxílio do a anço ecnológico e indus ial, bem como na
no malização de pad ões de p odução e consumo, apesa de mesmo assim, se uma ins i uição
ela i amen e ocul a. Com sede em Geneb a, Suíça, é uma ins i uição não go e namen al, azendo a
ligação en e os se o es p i ado e público, e além disso, é au o denominada como no ma in e nacional
pa a “negócios, go e no e sociedade”, po meio da sua pe seguição de pad ões olun á ios,
A o ganização em como obje i o a p omoção da ha monização uni e sal, de o ma a elimina ba ei as
que causam en a as no comé cio mundial, exp imindo, assim, um consenso nos di e en es países com
o p opósi o de acili a esse mesmo comé cio. Os memb os ISO são as p incipais o ganizações de
no malização em cada país e há apenas um memb o po país. O ep esen an e em e i ó io nacional é
o Ins i u o Po uguês da Qualidade(Acce boni & Sa o , 2019).
Po ou o lado, o
IEC
-
In e na ional Elec oTechnical Commission
oi undado em S . Louis em 1904,
sendo o p eceden e da ISO. A p imei a eunião oi conduzida pela
B i ish Ins i u ion o Elec ical
Enginee s,
pa icipando apenas 16 países, sendo ês deles não eu opeus, Es ados Unidos da Amé ica,
Canadá e Japão. Em 1947, o IEC esol eu a ilia -se à ISO, começando de imedia o, a coope a como a
di isão elé ica da p óp ia ISO, man endo-se, no en an o, como uma pa e au ónoma. A pa i desse dia,
15
A.10
C ip og a ia
1
2
A.11
Segu ança Física e Ambien al
2
15
A.12
Segu ança de Ope ações
7
14
A.13
Segu ança de Comunicações
2
7
A.14
Aquisição, Desen ol imen o e Manu enção de Sis emas
3
13
A.15
Relações com Fo necedo es
2
5
A.16
Ges ão de Inciden es de Segu ança da In o mação
1
7
A.17
Aspe os de Segu ança da In o mação na Ges ão da Con inuidade de Negócio
2
4
A.18
Con o midade
2
8
A abela 1, enume a odas a cláusulas de con olo de segu ança, obje i os de con olo que engloba e
espe i os con olos do Anexo A na no ma ISSO / IEC 27001:2013.
Po exemplo:
• A cláusula 10, conhecia pelo nome de “C ip og a ia”, é cons i uída po 1 obje i o de con olo
(A.10.1), e 2 con olos de segu ança (A.10.1.1 e A.10.1.2).
• A cláusula 11, conhecia pelo nome de “Segu ança Física e Ambien al” é cons i uída po 2
obje i o de con olo (A.11.1 e A.11.2), e 15 con olos de segu ança.
2.3 Regulamen o Ge al de P o eção de Dados (RGPD)
O Regulamen o Ge al de P o eção de Dados é um egulamen o in oduzido pelo pa lamen o eu opeu,
conselho eu opeu e comissão eu opeia, com en ada em igo a 25 de maio de 2018, como obje i o de
p o ege os dados pessoais de odos os cidadãos eu opeus (Chaudhu i, 2016; Si u e al., 2018). A é a
essa da a, os memb os es ados da união eu opeia seguiam as legislações nacionais de p i acidade, de
modo a segui a di e i a 95/46/EC de 24 de ou ub o de 1995. Ine i a elmen e, as di e en es
in e p e ações o igina am num conjun o de equisi os de con o midade de p o eção semelhan es, mas
não idên icos em oda o espaço eu opeu, o que pe mi iu às o ganizações i a em pa ido dessa an agem
de e i ó ios nebulosos de legislação e, consequen emen e, p ocede am à explo ação do uso des es
dados (Diaman opoulou e al., 2020)
O RGPD pe mi iu melho a o di ei o à p i acidade dos indi íduos e possibili ou que os indi íduos da EU
i essem maio con olo sob e os seus di ei os como o di ei o de acesso aos seus dados, e i icação,
apagamen o, po abilidade, oposição e in o mação.
O egulamen o ob igou as o ganizações que ealiza algumas mudanças conside á eis na implemen ação
da p o eção da p i acidade e como podem lida com a in o mação dos seus clien es. Todos as

16
o ganizações, que pe ença à União eu opeia, que não, que p ocessam e a am de dados pessoais de
indi íduos esiden es na União Eu opeia, de em cump i as ob igações do egulamen o.
Consequen emen e, as o ganizações não-UE e in e nacionais de em cump i , não só com os seus
egulamen os nacionais, mas ambém com o egulamen o eu opeu (Hje ppe e al., 2019).
Con udo, a implemen ação do RGPD p o oca g andes desa ios nas o ganizações de ido à al a de
consciência e comp eensão das mudanças necessá ias e equisi os do p óp io egulamen o. Es es
equisi os possuem á ias implicações p á icas de p ocessos e p á icas o ganizacionais, p ojeção de
sis emas ecnológicos, como ambém eino dos colabo ado es e dis ibuição de no as
esponsabilidades. Todo es e p ocesso global ob iga as o ganizações a ealiza em eno mes es o ços po
pa e dos colabo ado es, como ambém um in es imen o inancei o ele ado (Si u e al., 2018).
Apesa do egulamen o e en ado legalmen e em igo só em maio de 2018, á ias o ganizações o am
mul adas po não con o midade com o RGPD. O egulamen o in oduziu á ios ipos de penalizações
inancei as, supe io es às exis en es an e io men e. Os esponsá eis pelo a amen o pode ão se
condenados em mul as cujo mon an e pode á ascende a 20 milhões de eu os ou a 4% do olume
de negócios anual, a ní el mundial. Exis e um sis ema complexo de penalizações de aco do com a
se e idade da in ação e esponsabilidade do a amen o, exis indo assim di e en es coimas pa a g andes
emp esas, pequenas e médias emp esas e pessoas singula es. Além disso, o egulamen o in oca
esponsabilidade ci il, pe mi indo que qualque i ula de dados que enha so idos danos ma e iais ou
ima e iais em consequência de uma iolação do RGPD em di ei o a se indemnizado pelos danos
so idos, e po ou o lado, esponsabilidade penal (Poli ou e al., 2018).
O RGPD em uma es u u a complexa, sendo cons i uído po 99 a igos ag upados em 11 capí ulos
(Tikkinen-Pi i e al., 2018). Es es úl imos são:
1. Disposições ge ais;
2. P incípios;
3. Di ei os do i ula dos dados;
4. Responsá el pelo a amen o e subcon a an e;
5. T ans e ências de dados pessoais pa a países e cei os ou o ganizações in e nacionais;
6. Au o idades de con olo independen es;
7. Coope ação e coe ência;
8. Vias de ecu so, esponsabilidade e sanções;
9. Disposições ela i as a si uações especí icas de a amen o;
10. A os delegados e a os de execução;
17
11. Disposições inais
2.4 IDC MATURITYSCAPE - IT SECURITY 2.0
A es u u a de e e ência
Ma u i yScape - IT Secu i y
oi c iado pelo
In e na ional Da a Co po a ion
(IDC),
de modo a pe mi i uma a aliação das compe ências da a qui e u a das edes de sis emas de
in o mação, pa a além do ní el de ma u idade das o ganizações, no que diz espei o a cinco dimensões:
isão, ges ão de isco, pessoas, p ocessos e ecnologias de segu ança.
Es e
amewo k
o e ece aos ges o es das o ganizações uma manei a es u u ada, a a és uma explicação
de alhada, pa a iden i ica o es ado a ual que uma o ganização se encon a, sendo possí el ca aloga
desde um es ágio simples e deso denado, o ní el “
ad hoc
”, a é a um es ágio a ançado e sis ema izado,
o ní el “
op imized
” (Gomes, 2018). Na o alidade, exis em cinco ní eis:
ad hoc
,
oppo unis ic
,
epea able
,
managed
e
op imized,
como es á ep esen ado na igu a 4.
Figu a 4 - Es ágios da amewo k IDC Ma u i yScape – IT Secu i y
Fon e:
(Gomes, 2018)
2.4.1 Os ní eis de ma u idade de segu ança dos sis emas de in o mação
Pa a cada es ado ap esen ado é demons ado o que uma de e minada dimensão p ecisa de e olui pa a
p omo e a ma u idade de segu ança da in o mação das ecnologias de in o mação, pe mi indo, assim,
encon a a di e ença en e o ní el a ual e ní el que se deseja es a , de modo a man e o balanço
compe i i o e a ingi supe io idade indus ial. Só assim se á possí el compe i na no a e a da
ans o mação digi al.
•
Ad hoc
18
o
Naï e no ice
: Emp ega medidas básicas de segu ança ope acional e a ua nas
necessidades de segu ança à medida que su gem;
•
Oppo unis ic
o
Reac i e esponde :
Uma equipa a empo in ei o dedica a esponde aos
equisi os de segu ança mais signi ica i os, embo a eco a a on es ex e nas
pa a p o idencia o ien ação.
•
Repea able
o
Complian companion:
Um p og ama sólido de segu ança e
amewo k
de
con olo que esponda a odos necessidade egula ó ias e a aliações de isco
in e nas;
•
Managed
o
P oac i e pa ne :
Um p og ama obus o de segu ança que inclui o e
con o midade e explo ação an ecipada das soluções cus o-bene ício;
•
Op imized
o
P edic i e p o essional
: O isco é econhecido como um elemen o da p opos a
ge al do alo do negócio e a abo dagem es a égica de segu ança p ocu a as
o mas mais e icien es e e icazes de ges ão de segu ança emp esa ial;
2.4.2 As dimensões da es u u a de e e ência
Como e e ido num dos subcapí ulos an e io es, o
Ma u i yScape – I Secu i y
é cons i uído po cinco
dimensões, de alhas de seguida (Managemen , n.d.):
• Visão: P opo ciona o con ex o pa a as o ganizações de modo a inco po a as
subdimensões pa a os obje i os de negócio, obje i os de segu ança, supe isão
egula ó ia e o çamen ação numa numa abo dagem coesa e es a égica pa a a ges ão
de isco ecnológica;
• Ges ão de Risco: Re i a os obje i os es a égicos de negócio da dimensão Visão e
cons ói os equisi os do p og ama de segu ança numa manei a mais especí ica, de
modo a di eciona as subdimensões pa a a abo dagem do isco, me odologias e
medições, elações ex e nas e ambien e de con olo;
19
• Pessoas: En ol e os papéis de lide ança execu i a e cul u al o ganizacional ge al,
desen ol endo ní eis de ma u idade pa a execu i os de segu ança e segu ança
ou sou cing
;
• P ocessos: desc e e as a i idades que uma o ganização emp ega, de o ma a ge i o
isco num ambien e ope acional. Desen ol e-se sob e ní eis de ma u idade em 4
subdimensões: con iança, iden idade, ulne abilidade e ges ão de ameaças;
• Tecnologias de Segu ança: inclui os á ios p og amas de segu ança, de modo a
p o ege os ecu sos a a és de ecnologia em oda a a qui e u a ecnológica pa a as
subdimensões con iança, iden idade, ulne abilidade e ges ão de ameaças:
2.5 COBIT e COBIT 5
2.5.1 COBIT
O COBIT (
Con ol Objec i es o In o ma ion and ela ed Technology
), é uma es u u a de e e ência
econhecida que se posiciona como uma e amen a de go e nança e ges ão de ecnologias da
in o mação (ISACA, 2012; Nabil Almunawa e al., 2011; O hman e al., 2014; Von Solms, 2005). Es a
amewo k
ce i icada oi desen ol ida pela ISACA (
In o ma ion Sys ems Audi and Con ol Associa ion)
e
pelo Ins i u o de Go e nança TI
(IT Go e nance Ins i u e -ITGI) em 1996 (Nabil Almunawa e al., 2011;
O hman e al., 2014) de modo a o e ece às emp esas uma solução obje i a pa a alinha as es a égias
de negócio com os obje i os TI (Amo im e al., 2021).
Assim, es a
amewo k
é a melho e amen a no auxílio da implemen ação de es u u as o ganizacionais,
p incípios, go e nança es u u ada e ges ão de p ocessos, alinhados com a isão da o ganização
enquan o é undamen al na mi igação de iscos e adição de alo (Amo im e al., 2021).
Vis o is o, pode-se conside a o COBIT como um conjun o de e amen as de supo e que pe mi e os
ges o es colma a em o osso en e os equisi os de con olo, ques ões écnicas, iscos de negócio e
ques ões de segu ança (Nabil Almunawa e al., 2011) endo o oco na ges ão e no con olo das
ecnologias da in o mação (Ke & Mu hy, 2013).
2.5.2 Cobi 5
A a ual e mais ecen e e são da
amewo k
, COBIT 5, consolida a e são an e io (COBIT 4.1), VAL IT e
Risk IT, numa só
amewo k
, enquan o é a ualizada pa a alinha com as melho es p á icas como o ITIL
20
e o
The Open Go e nance A chi ec u e F amewo k
(TOGAF). Ambas a e sões (4.1 e 5) podem se
usadas como guia pa a ajus a em o necessá io pa a os p ocessos das emp esas.
O COBIT 5 é conside ado adequado com base no seu espí i o, que é de inido po 5 p incípios lis ados
em baixo (O hman e al., 2014):
• P incípio 1: Sa is aze as necessidades das pa es in e essadas;
• P incípio 2: Cob i odos os pon os
end- o-end
da o ganização;
• P incípio 3: Aplica uma
amewo k
única e in eg ada;
• P incípio 4: P opo ciona uma abo dagem holís ica;
• P incípio 5: Sepa a go e nança de ges ão;
O ISACA desen ol eu es a no a e são pa a ajuda as emp esas a implemen a capaci ado es de
go e nança sólidos, o e ecendo às o ganizações uma o ma obje i a de alinha as es a égias de negócio
com os obje i os TI. Assim, a
amewo k
ab ange 5 p incípios, 7 capaci ado es, 26 unções e 37
p ocessos de ges ão e go e nança e as suas boas p á icas co esponden es, como as 7 ases sequencias
(Amo im e al., 2021):
1. O que são impulsionado es?
2. Onde es amos ago a?
3. Onde que emos es a ?
4. O que é p eciso se ei o?
5. Como é que chegamos lá?
6. Chegamos lá?
7. Como é que man emos es e impulso?

21
Figu a 5 - P incípios COBIT 5
Fon e:
(ISACA, 2012)
2.6 ITIL
2.6.1
In o ma ion Tecnology In as uc u u e Lib a y
(ITIL)
Nos úl imos anos, as unções de ecnologias de in o mação o am ob igadas a o na am-se mais
o ien adas ao se iço po uma con luência de ci cuns âncias (exigências ex e nas, dependência nes as
ecnologias, ec ), pelo que, des e modo, pudessem se o na melho es no alinhamen o dos obje i os
emp esa iais. Uma ITSM (
In o ma ion Technology Se ice Managemen
) é uma es a égia capaz de
ajuda as o ganizações TI o na em-se mais adap á eis, lexí eis, en á eis e o ien ada ao se iço,
espondendo, assim, às exigências do me cado, sendo o ITIL a es u u a de e e ência de eleição (Polla d
& Ca e -S eel, 2009; W. G. Tan e al., 2009).
O concei o ITIL,
In o ma ion Tecnology In as uc u u e Lib a y,
eme giu, uma p imei a e são, nos anos
80’ de ido às sucessi as queixas do go e no b i ânico ela i amen e à qualidade do ní el de se iço TI
o necido, não co esponde às suas necessidades (Iden & Eikeb okk, 2013; McNaugh on e al., 2010).
O iginalmen e desen ol ida pelo go e no b i ânico, mais conc e amen e, pela agência cen al de
compu ado e elecomunicações (
Cen al Compu e and Telecomunica ions Agency
em inglês ou CCTA)
que ago a é o a ual gabine e de comé cio go e namen al (
O ice o Go e nmen Comme ce
na língua
22
o icial inglesa ou OGC) (Polla d & Ca e -S eel, 2009; W. G. Tan e al., 2009), o ITIL e a uma coleção de
li os, ce ca de 40 olumes, cada um cob indo uma p á ica e p á ica especí ica na ges ão de se iços
TI, pa a p omo e ope ações TI e icien es e en á eis nos cen os de compu ação con olados pelo
go e no (Polla d & Ca e -S eel, 2009).
O ITIL é um conjun o de concei os e das melho es p á icas es u u adas e de alhadas pa a a ges ão dos
se iços das ecnologias da in o mação como um odo, na melho qualidade possí el, o dem e
con inuidade, de o ma a ga an i a máxima ha monização en e se iços TI e obje i os da emp esa,
conseguindo, assim, cump i com as expec a i as dos clien es ao mais al o ní el possí el (Ozdemi e al.,
2014; Rezakhani e al., 2011; Wegmann e al., 2008).
O ITIL unciona como um
oadmap
pa a a melho ia de p ocessos de o ma a ajuda os p o issionais de
ecnologias de in o mação a c ia a base pa a um se iço con ínuo de excelência, ao mesmo empo que
cump e os equisi os o çamen ais e egulamen a es (Polla d & Ca e -S eel, 2009).
Po im, o ITIL como qualque ITSM p o idencia á ios bene ícios, en e os quais (Hochs ein, 2005; W.-
G. Tan e al., 2007):
• Melho ia na o ien ação Clien e/Se iço;
• Melho ia na qualidade dos se iços TI;
• Maio e iciência de ido à es anda dização;
• O imização de p ocessos;
• Au omação de p ocessos;
• T anspa ência e compa abilidade po documen ação e moni o ização de p ocessos;
• In aes u u as mais p e isí eis;
• Melho ia na consul o ia com os g upos TI da o ganização;
• Negociações mais anquilas de aco do com o ní el de se iço;
• Se iço
end- o-end
pe ei o;
23
Figu e 6 - Ciclo de ida do Se iço ITIL V3
Fon e:
(Fe ei a e al., 2016)
2.6.2 ITIL V3
O ITIL V3 oi c iado em maio de 2007, o nando numa e são melho ada do ITIL V2, es endendo os
p ocessos do úl imo e es u u á-los num modelo de ciclo de ida. Nes e ciclo de ida, os se iços TI são
p oje ados, c iados, ansacionados pa a um ambien e a i o, supo ados ope acionalmen e,
con inuadamen e melho ados e e i ados no im do seu ciclo de ida (W. G. Tan e al., 2009).
O ITIL V3 é cons i uído po 5 olumes (ou publicações) cada uma o nece o ien ação pa a cada ase
especi ica do ciclo de ida da ges ão de se iços (Polla d & Ca e -S eel, 2009; Sheikhpou & Modi i,
2012):
• Es a égia: Fo nece o ien ação de como p oje a , desen ol e e implemen a ges ão
de se iços de uma pe spe i a de capacidade o ganizacional e a i o es a égico. Ú il no
desen ol imen o de polí icas, di e izes e p ocessos ao longo do ciclo de ida do se iço
ITIL. Também é aplicá el no con ex o de ou as ases do ciclo de ida. O Se iço
Es a égico cob e as seguin es pa es dos sis emas TI: desen ol imen o de me cados,
in e no e ex e no, a i os, ca álogos e implemen ação da es a égia no ciclo de ida do
se iço;
24
• Desenho: É a o ien ação pa a a c iação e desen ol imen o de se iços e p ocessos de
ges ão de se iços. Cob e os p incípios e mé odos de p ojeção de modo a con e e
obje i os es a égicos em po ólios de se iços e a i os de se iço. Inclui mudanças e
melho ias necessá ias pa a aumen a e man e alo pa a os clien es du an e o ciclo de
ida dos se iços, con inuidade dos se iços, ob enção de ní eis de se iço e
con o midade com no mas e egulamen os.
• T ansição: É a o ien ação pa a o desen ol imen o e melho ia das capacidades pa a a
ansição de no os e mudança de se iços pa a ope ações. O ien a como os equisi os
do Se iço Es a égico codi icados no Se iço de Desenho são ealizados e icazmen e no
Se iço de Ope ação enquan o se con ola os iscos de acasso e u u a;
• Ope ação: Inco po a p á icas na ges ão do Se iço de Ope ação. Inclui o ien ação na
ob enção de e icácia e e iciência na en ega e supo e de se iços, de o ma, a assegu a
o alo pa a o clien e e o necedo de se iço. Os obje i os es a égicos são inalmen e
ealizados, o nando-se, assim, numa capacidade c í ica;
• Melho ia con ínua: Inclui o ien ação ins umen al na c iação e manu enção de alo
pa a os clien es po um melho desenho, in odução e ope ação de se iços. Combina
p incípios, p á icas e mé odos de ges ão da qualidade e ges ão da mudança e melho ia
da capacidade. O ganizações ap endem a ealiza melho ias inc emen ais e em la ga
escala no se iço de qualidade, e iciência ope acional e con inuidade de negócio.
No ITIL V3, podemos encon a mais in o mação em elação à o ien ação sob e a ges ão da segu ança,
pois nes a e são, oi incluída no olume de Se iço de Desenho es e p ocesso, endo o obje i o de
alinha a segu ança das ecnologias de segu ança com a segu ança emp esa ial, além de assegu a que
a segu ança da in o mação é ge ida e icazmen e em odos os se iços e a i idades de ges ão de se iços
(Taylo & Eas , 2013). Po isso, es a e são o nece um a amen o mais adequado à segu ança que a
Ve são 2, iden i icando de alhes da es u u a e implemen ação dos p ocessos de ges ão da segu ança
da in o mação jun amen e com as boas p á icas pa a a implemen ação de um SGSI incluído numa no ma
ISO da amília de sé ie 27000 (La ocha e al., 2010).
No o al, as cinco ases do ciclo de ida são cons i uídas po 26 p ocessos e 4 unções.
31
Figu a 13 - Núme os Rela i os ao ano de 2020
3.5 Clien es
Os clien es com as quais a Rangel colabo a pe encem aos mais di e sos se o es de a i idade, com um
o e c escimen o no se o a macêu ico, des acando-se os que se encon am na igu a abaixo.
Figu a 14 - Clien es cons an es da Rangel
3.6 Segu ança da In o mação no g upo RANGEL
A ualmen e, os iscos associados com a Segu ança da In o mação são um eno me desa io pa a as
o ganizações, uma ez que esses iscos podem o igina consequências desas osas, incluindo
esponsabilidade co po a i a, pe da de c edibilidade e danos inancei os. Consequen emen e, assegu a
a segu ança da in o mação o nou-se um dos obje i os p io i á ios de ges ão nas emp esas, an o nas

32
incumben es como nas na i as digi ais ainda que em g aus de p eocupação dis in os median e a
dependência/adoção do digi al pela o ganização.
Hoje em dia, as o ganizações con iam a incadamen e nos sis emas de in o mação, en ão, aspe os como
a esiliência dos sis emas de in o mação, as cibe ameaças e mais ecen emen e pelas ques ões
egula ó ias impos as pelo RGPD, ouxe am pa a as agendas das emp esas o ema, sendo comum
a ualmen e, com especial en oque em de e minados se o de a i idade, que uma es a égia pa a a
Segu ança da In o mação seja um
o de winne
( equisi o alo izado pa a a con a ação, capaz de se
decisi o na con a ação pa a um se iço de logís ico) ou mesmo um
o de quali ie
( equisi o pa a se
conside ado pa a a p es ação do se iço po um clien e).
Depois de bom p ocesso VoC (
Voice o Cos ume
) e lei u a de me cado, o G upo Rangel não é exceção
e algumas ca ac e ís icas o ganizacionais de e minam o ele ado g au de impo ância que a Rangel de e
da à ques ão. Po conseguin e, oi delineado qua o obje i os o ganizacionais: legal,
business con inui y
,
melho ia da e iciência ope acional e inancei a, e come cial e epu acional. Es es obje i os encon am-se
ep esen ados na seguin e imagem
Figu a 15 - Obje i os O ganizacionais
• Legal: a União Eu opeia colocou em igo o RGPD, que in oduz uma base ou conjun o de eg as
pa a as emp esas que manuseiam dados, cujo p op ie á ios são cidadãos eu opeus, mo i ando
assim a Rangel a ado a uma es a égia pa a a segu ança. Es e conjun o de eg as incide sob e
o a amen o de dados pessoais de pa icula es e além disso, nenhuma á ea de negócio da
Rangel, seu
co e business
, é especi icamen e o a amen o desse ipo de dados. Mesmo se
posicionando, maio i a iamen e, como um
playe B2B
, o e ei o c escen e do e-comme ce e do
B2C, ambém impulsionado pela pandemia i ológica de 2019, e e como consequência, o
33
c escimen o dos dados pessoais de pa icula es que são sujei os a a amen o nas a i idades
quo idianas de p es ação de se iços de logís ica.
Adicionalmen e, o G upo Rangel é uma g ande o ganização, ap oximadamen e, com 2300
colabo ado es, in e nos e ex e nos, que ende eça emas de con eúdo sensí el como a medicina
no abalho. Uma es a égia de segu ança da in o mação planeada e implemen ada em oda em
a o ganização é uma o ma sus en ada e obus a de alcança a con o midade com o RGPD.
• Business Con inui y: de ido à ele ada dependência dos sis emas de in o mação, o ema de
con inuidade de negócio e esiliência dos mesmos sis emas é um ema de ele ada signi icância
pa a a Rangel. Is o de e-se ao ac o, de oda a a i idade das á ias
LoB
es em comple amen e
assen es em sis emas de in o mação. Quase odas as ope ações ecnológicas com ecu sos
p óp ios, nomeadamen e, in aes u u as
co e
de
da acen es
,
ne wo king
e comunicações,
mic oin o má ica e desen ol imen o aplicacional, é e e uado, em g ande pa e, in e namen e.
Num passado mais ecen e, adoção de medidas mais écnicas, como soluções na
cloud
,
nomeadamen e,
Saas
, em ido uma exp essão ele an e sendo necessá io assegu a de igual
o ma a ges ão de con a os e moni o ização de ní eis de se iço. O
business con inui y
é um
dos obje i os o ganizacionais da Rangel de ido a 3 mo i os:
o Ele ada dependência nos sis emas de in o mação nas ope ações, pa a além do ac o
de ope a 24 ×7×365;
o G ande dispe são geog á ica, o que le a a á ias di e enças de uso ho á io;
o A logís ica e dis ibuição de p odu os a macêu icos é um se o especí ico, que ege-se
po eg as e boas p á icas mui os especí icas, impos as po lei (di e iz 2013/C/68/01),
o que ob iga a um exigen e con olo de al e ações e disponibilidade;
• E iciência ope acional e inancei a: a no malização e o malização de p ocedimen os
ope acionais in e nos p esen eados pelas boas p á icas de
amewo ks
econhecidas, ans o ma
uma es a égia pa a a segu ança da in o mação em e iciência ope acional e, consequen emen e,
o igina ganhos mone á ios. Es es bene ícios podem se aduzidos e quan i icados a a és de
ganhos inancei os e/ou ganhos ope acionais, pela edução ou eliminação de e abalho e
es o ço na esolução de p oblemas.
• Come cial e Repu acional: al como na a i idade de manu enção dos clien es e pa cei os
logís icos a uais, como na a i idade de cap ação de no os con a os, é signi ica i o o aumen o
da impo ância pelo ema da segu ança da in o mação, pa a além de em alguns se o es de
negócio, um aumen o da p eocupação pela adoção de boas p a icas econhecidas, como po
34
exemplo, a p óp ia ISO 27001:2013, pelo que, uma ce i icação da mesma, unciona como
o de quali ie ou, a é mesmo, o de winne .
Com in ui o de a alia , o impac o do ganho/ pe da come cial e epu acional, oi ealizado um
assessmen ,
a a és da a aliação de uma pequena amos a de um conjun o de 10 clien es (n=10
clien es), de modo a a e i que sis emas de ges ão e am alo izados e/ou eque idos, ob endo
os seguin es esul ados:
Tabela 1 - Requisi os dos clien es Rangel e espe i os olumes de negócio
Clien es
Se o de A i idade
Volume de Negócio em 2019
SI
CN
LoB
F*****
Pha ma & Heal hca e
689 880,00 €
x
x
Con ac ual Logis ics
F*****
Pha ma & Heal hca e
299 364,00 €
x
x
Con ac ual Logis ics
T*****
Pha ma & Heal hca e
303 900,00 €
x
x
Con ac ual Logis ics
T*****
Pha ma & Heal hca e
945 439,00 €
x
Con ac ual Logis ics
T****
Pha ma & Heal hca e
1 008 345,00 €
x
Con ac ual Logis ics
L*****
Pha ma & Heal hca e
1 117 314,00 €
x
Con ac ual Logis ics
E*****
Pha ma & Heal hca e
502 027,00 €
x
Con ac ual Logis ics
G*****
Pha ma & Heal hca e
107 960,00 €
x
x
Con ac ual Logis ics
G*****
T anspo and Logis ics
6 434 054,00 €
x
x
Ai & Sea F eigh
B*****
T anspo and Logis ics
203 244,00 €
x
x
Ai & Sea F eigh
To al
11 611 527,00 €
Legenda: SI – Segu ança da In o mação / CN – Con inuidade do negócio
No a: Pa a e ei os de con idencialidade, o nome dos clien es oi anonimizado.
Como se pode obse a na E o ! Re e ence sou ce no ound., po meio da análise des es
esul ados, pode-se conclui que os clien es do se o a macêu ico c iam uma eno me p essão oque
oca à segu ança da in o mação e à con inuidade de negócio, que pode se assegu ada, no que diz
espei o aos sis emas de in o mação, a a és da adoção de uma es a égia de segu ança. Além disso, a
ecei a anual des a amos a ep esen a um alo supe io a 11,6 M€, sus en ado, des a o ma, a
ele ância que a segu ança da in o mação possui pa a a Rangel.
3.6.1 Alinhamen o dos obje i os o ganizacionais com os obje i os TI segundo o COBIT 5
A es u u a de e e ência econhecida de go e nança de TI,
COBIT 5
, az o alinhamen o c ucial en e os
obje i os emp esa iais com as soluções e se iços TI em elação ao ema de segu ança da in o mação,
assim como iden i ica mé icas pa a a alia a sua aplicação.
De modo a segui os passos do mecanismo de
Goals Cascade
do
COBIT 5
, p imei amen e o am
mapeados os obje i os o ganizacionais da Rangel pa a a segu ança de in o mação com os obje i os
35
emp esa ias (
En ep ise Goals
na língua o icial inglesa) da es u u a. De seguida, no passo seguin e, os
obje i os emp esa iais são mapeados com os obje i os elacionados com as TI (
IT Rela ed goals
na língua
o icial inglesa).
No
Goals Cascade
, os obje i os emp esa iais só podem se alcançados se os obje i os elacionados com
TI o em encon ados, sendo que cada um dos 17 obje i os emp esa iais são mapeados com um núme o
de e minado de obje i os elacionados com as TI.
Po im, no úl imo passo, é necessá io mapea os obje i os elacionados com as TI com os obje i os
p omo o es (
enable s goals
na língua o icial inglesa). De modo a a ingi os IT ela ed goals, um núme o
de
enable s
de em se aplicados com sucesso. Um des es
enable s
é P ocessos. Tal como nos passos
an e io es do
goals cascade
, cada obje i o elacionado com as TI é mapeado com um ou mais p ocessos.
A
amewo k
COBIT 5 em 17 obje i os gené icos que são acilmen e ans o mados em obje i os
emp esa iais, 17 obje i os elacionados com as TI e um o al de 37 p ocessos.
Todo es e p ocesso é ep esen ado abaixo, es ando os p imei os passos ep esen ados na
Figu a 16
.
36
Figu a 16 - Cobi 5 Goals Cascade
Po azões ób ias e isí eis nes e mapeamen o, é de des aca o obje i o elacionado com as TI nº10,
“segu ança da in o mação, p ocessamen o de in aes u u as e aplicações”, como sendo o obje o de
es udo des e p oje o.
Tal como e e ido an e io men e, es e obje i o ambém es á mapeado a um núme o de e minado de
p ocessos, nes e caso, 5 p ocessos.
Nas abelas seguin es es ão iden i icadas as mé icas do obje i o elacionado com as TI nº10 e as
mé icas dos obje i os emp esa iais do COBIT 5 a que lhe co espondem (Tabela 3) e, po im, as
mé icas dos espe i os p ocessos (Tabela 4).
Tabela 1 - Mé icas dos Obje i os Emp esa iais e Obje i os elacionados com as TI
(ISACA, 2012)
Obje i os Emp esa iais
Obje i os elacionados com as TI

37
04. Con o midade com leis e egulamen os ex e nos
10. Segu ança da in o mação, p ocessamen o de
in aes u u as e aplicações
• Cus o de não con o midade com egulamen os,
incluindo aco dos e coimas
• Núme o de p oblemas de não con o midade com
egulamen os p o ocando isualização publica e
publicidade nega i a
• Núme o de p oblemas de não con o midade com
egulamen os sob e con a os com pa cei os de
negócio
• Núme o de inciden es de segu ança p o ocando
pe da inancei a, in e upção de negócio ou
cons angimen o público
• Núme o de se iços TI com equisi os de
segu anças excelen es
• Tempo pa a concede , al e a e emo e
p i ilégios de acesso em compa ação com os
se iços aco dados
• F equência de a alizações à segu ança segundo
as úl imas no mas e o ien ações
07. Con inuidade e disponibilidade de se iços de negócio
• Núme o de in e upções no se iço ao clien e
que p o oca am inciden es
• Cus os de inciden es de negócio
• Núme o de ho as pe didas no p ocessamen o
de ido a in e upções não planeado do se iço
• Pe cen agem de eclamações em unção de
obje i os de disponibilidade de se iço
comp ome ido
Todo es e alinhamen o do mecanismo do
Goal Cascade
se e de guia pa a iden i ica um es ado u u o
de ma u idade ao ní el das ecnologias da in o mação desejá el pela emp esa de o ma a cump i os
obje i os a que se p edispôs, explicado e desc i o nos capí ulos seguin es.
A abela seguin e (Tabela 4), ap esen a os 5 p ocessos que se elacionam com o obje i o elacionado
com as TI de es udo e espe i as mé icas.
Tabela 2 - Obje i os dos P ocessos que co espondem ao obje i o elacionado com as TI do COBIT 5 e espe i as mé icas
(ISACA, 2012)
P ocesso: EDM03 Ga an i a O imização do Risco
Obje i o do p ocesso
Mé icas elacionadas
1. Os limi es do isco são de inidos e
comunicados; Riscos elacionados com
as TI são conhecidos
• Ní el de alinhamen o en e o isco das TI e isco
emp esa ial
• Núme o de iscos po enciais de TI iden i icados e ge idos
• Índice de a ualização do a o de a aliação do isco
2. A o ganização ge e o isco c í icos
elacionados com as TI de o ma e icaz e
e icien e.
• Pe cen agem de p oje os da emp esa que conside am o
isco das TI
• Pe cen agem dos planos de ação do isco das TI
execu ados no empo
38
• Pe cen agem de isco c í ico mi igado e icazmen e
3. Risco elacionado com as TI não excede
• Ní el do impac o da emp esa não espe ado
• Pe cen agem do isco das TI que excede a ole ância de
isco
P ocesso: APO12 Ge i o Risco
Obje i o do p ocesso
Mé icas elacionadas
1. O isco elacionado com as TI é
iden i icado, ge ido e epo ado
• G au de isibilidade e econhecimen o do ambien e a ual
• Núme o de e en os de pe da de ca ac e ís icas cha e
cap u adas nos eposi ó ios
• Pe cen agem de audi o ias, e en os e endências
cap u adas em eposi ó ios
2. Exis e um pe il do isco co en e e
comple o
• Pe cen agem de p ocessos cha e de negócio incluídos no
pe il do isco
• Comple ação dos a ibu os e alo es no pe il do isco
3. Todas as ações signi ican es de ges ão do
isco são ge idas e sob con ole
• Pe cen agem de p opos as de ges ão de isco ejei as
de ido à al a de conside ação de ou os iscos
• Núme o de inciden es signi ican es não iden i icados e
incluídos no po e ólio de ges ão do isco
4. As ações de ges ão de isco são
implemen adas de o ma e icaz
• Pe cen agem dos planos de ação do isco das TI
execu ados como delineados
• Núme o de medidas que não eduzem o isco esidual
P ocesso: APO12 Ge i a Segu ança
Obje i o do p ocesso
Mé icas elacionadas
1. Um sis ema es á no plano que conside a
e abo da de o ma e icaz os equisi os de
segu ança da in o mação da emp esa
• Núme o de papeis ele an es de segu ança de inidos de
o ma cla a
• Núme o de inciden es de segu ança
2. Um plano dessegu ança oi es abelecido,
acei ado e comunicado a oda a
o ganização
• Ní el de sa is ação das pa es in e essadas com o plano
de segu ança em oda a o ganização
• Núme o de soluções de segu ança des ian es do plano
• Núme o de soluções de segu ança des ian es da
a qui e u a da emp esa
3. Soluções de segu ança da in o mação
es ão implemen adas e ope ados
consis en e em oda a o ganização
• Núme o de se iços
• Núme o de inciden es de segu ança p o ocados pela não
ade ença ao plano de segu ança
• Núme o de soluções desen ol idas com
BAI06 Ge i Mudanças
Obje i o do p ocesso
Mé icas elacionadas
39
1. As al e ações au o izadas são ei as em
empo ú il e com o mínimo de e os
• Quan idade de e abalho p o ocado po mudanças
alhadas
• Tempo eduzido e es o ço necessá io pa a mudanças
• Núme o e idade pedidos de mudança em
backlog
2. As a aliações de impac o e elam o e ei o
da mudança em odos componen es
a e ados
• Pe cen agem de al e ações má sucedidas de ido ao
impac o de a aliações inadequadas.
3. Todas as al e ações de eme gência são
e is as e au o izadas após a mudança
• Pe cen agem de al e ações o ais que são epa ações de
eme gências
• Núme o de al e ações de eme gência não au o izadas
após a mudança
4. Os p incipais in e essados são man idos
in o mados de odos os aspe os da
mudança
• Opinião das pa es in e essadas sob e a sa is ação com
comunicações
DSS05 Ge i Se iços de Segu ança
Obje i o do p ocesso
Mé icas elacionadas
1. A segu ança das edes e comunicações
eúne negócios necessidades
• Núme o de ulne abilidades descobe as
• Núme o de iolações de i ewall
2. In o mação p ocessada, a mazenada e
ansmi ida po os disposi i os endpoin
são p o egidos
• Pe cen agem de es es pe iódicos de segu ança
ambien al disposi i os
• Classi icação média pa a a aliações de segu ança ísica
• Núme o de inciden es elacionados com a segu ança
ísica
3. Todos os u ilizado es são iden i icá eis de
o ma única e êm di ei os de acesso de
aco do com o seu papel come cial
• Tempo médio en e a al e ação e a a ualização das con as
• Núme o de con as ( s. núme o de con as au o izadas
u ilizado es/pessoal)
4. Fo am implemen adas medidas ísicas
pa a p o ege in o mação de acesso não
au o izado, danos e in e e ência ao se
p ocessada, a mazenada ou ansmi ida
• Pe cen agem de es es pe iódicos de segu ança
ambien al disposi i os
• Classi icação média pa a a aliações de segu ança ísica
• Núme o de inciden es elacionados com a segu ança
ísica
5. A in o mação ele ónica é de idamen e
p o egida quando a mazenada,
ansmi ido ou des uído
• Núme o de inciden es elacionados com o acesso não
au o izado a in o mação
40
4. DESCRIÇÃO E ANÁLISE DO PROCESSO
Es e capí ulo em o obje i o de ap esen a a ealização de uma análise da á ea de es udo, nes e caso,
uma a aliação aos sis emas de in o mação a a és da es u u a de e e ência. Assim, p ocu ou-se de ini
um modelo que pe mi isse a e i o ní el de ma u idade a ual no plano da segu ança da in o mação, de
modo, que numa segunda ase osse possí el p omo e a e olução da mesma pa a ní eis mais ele ados.
Pa a um melho en endimen o, não só se á ap esen ado o ní el a ual de segu ança das ecnologias de
in o mação, mas ambém se á ap esen ado um es ado u u o da o ganização.
4.1 Diagnós ico da Si uação A ual
Pa a a ealização do diagnós ico do es ado a ual às ecnologias de in o mação do g upo Rangel, oi
u lizada a
amewo k
Ma u i yScpape – IT Secu i y 2
delineada pela IDC, sendo iden i icado pa a cada
uma das dimensões, e espe i as subdimensões, o g au de ma u idade a ual de segu ança das TI,
designado como es ado AS-IS. Es a a aliação oi ealizada a a és do mé odo de en e is a ao di e o do
DSI (Di eção dos Sis emas de In o mação) do g upo Rangel, e ambém, meu o ien ado na emp esa,
Miguel Co dei o.
4.1.1 Análise da dimensão Visão
P imei amen e, oi e e uada a a aliação da dimensão isão. Pa a es e p ocesso, oi ei o a a aliação de
cada uma das suas subdimensões, sendo a ibuído o g au de ma u idade des a dimensão a a és do
cálculo da média do g au de ma u idade de odas as subdimensões. As subdimensões des a dimensão
são:
• Obje i os de negócio
• Obje i os de segu ança
• Fiscalização egula ó ia
• Finança/Economia
47
Figu a 22 - Ní el global de ma u idade do es ado a ual
2,25
2
2
2,25
2,25
2,75
0 1 2 3 4 5
Ma u idade Global
Tecnologias de segu ança
P ocessos
Pessoas
Ges ão de isco
Visão
Ní el de ma u idade A ual

48
5. OPORTUNIDADES DE MELHORIA E ANÁLISE DO ESTADO FUTURO
Nes e capí ulo, se ão ap esen adas as opo unidades de melho ia le an adas no p ocesso de análise ao
es ado a ual das ecnologias de in o mação, e espe i as inicia i as que o am desen ol idas no âmbi o
do p oje o de in es igação.
5.1 Opo unidades de Melho ia
No capí ulo 3, oi ap esen ado o alinhamen o dos obje i os o ganizacionais com os obje i os TI segundo
os obje i os da es u u a de e e ência COBIT. Tendo em con a esse alinhamen o es a égico, na ase de
diagnós ico das ecnologias de in o mação, denominado de ase AS-IS, oi possí el epo a alhas e
si uações que podem jus i ica uma ação, sendo assim, iden i icadas opo unidades de melho ia.
Depois da análise do es ado a ual das ecnologias de in o mação às 5 dimensões, de e minou-se que
exis em 12 opo unidades de melho ia (
Tabela 3
).
Tabela 3 - Opo unidades de melho ia do es ado a ual
Código Opo unidade de melho ia
Desc ição
OM. 01
Não exis e uma abo dagem á ges ão pelo isco no desenho das
soluções de TI pa a supo a as inicia i as de negócio
OM. 02
Não exis em p á icas de audi o ias in e nas po o ma a an ecipa
p oblemas de con o midade
OM. 03
Não exis e a p á ica da quali icação dos p oje os de in es imen o
OM. 04
Não há a aliação à segu ança de in o mação dos pa cei os ex e nos
OM. 05
Não exis e conside ação pelos equisi os de segu ança de in o mação
aquando da ealização de con a os com os pa cei os ex e nos
OM. 06
Não exis e uma cul u a de pa icipação a i a nos emas de segu ança
de in o mação
OM. 07
Não exis e um p ocesso de ges ão de iden idades e acessos
ap imo ado na o ganização
OM. 08
Não exis e uma polí ica ges ão de a ualizações ala gada a odos os
ní eis da a qui e u a das edes dos sis emas de in o mação
OM. 09
Não exis e uma p á ica de segu ança
by design
no p ocesso de
desen ol imen o de so wa e
OM. 10
Não exis em p á icas de ges ão de p oblemas (
p oblem managemen
)
OM. 11
Não exis e moni o ização das a i idades de u ilizado es p i ilegiados
OM. 12
Não exis e uma solução a ançada de segu ança ao ní el das edes,
aplicações e
endpoin s
49
5.2 Análise do Es ado Fu u o
Após a iden i icação das opo unidades de melho ia, é espe ado que es as si am de base pa a
es abelece um es ado ó imo de ma u idade das ecnologias de in o mação, desejado pela adminis ação
do G upo Rangel. Pa a esse p ocesso, eco eu-se no amen e à es u u a de e e ência
IDC
Ma u i yscape – IT Secu i y 2.0
, pelo que, es abeleceu-se assim, no os ní eis pa a cada dimensão e
espe i as subdimensões, ob endo, des a o ma, um no o es ado u u o pa a a o ganização
ela i amen e, à segu ança das TI. Es e no o es ado designa-se po es ado TO-BE.
5.2.1 Análise da dimensão Visão
Tal como no p ocesso de análise an e io , p imei amen e, oi e e uada a a aliação da dimensão isão.
Em con as e, des a ez, a análise é ealizada ao es ado des a dimensão, já com as opo unidades de
melho ia implemen adas.
Pa a es e p ocesso, ambém oi ei o a a aliação de cada uma das suas subdimensões, sendo a ibuído
o g au de ma u idade des a dimensão a a és do cálculo da média do g au de ma u idade de odas as
subdimensões. As subdimensões des a dimensão são:
• Obje i os de negócio
• Obje i os de segu ança
• Fiscalização egula ó ia
• Finança/Economia
Figu a 23 – Es ado Fu u o da dimensão Visão
Rela i amen e ao es ado u u o, o g au de ma u idade inal des a p imei a dimensão analisada é 4, al
como é possí el comp o a a a és da obse ação da
Figu a 23
. Es a classi icação ob ém-se pela ealização
da média dos g aus de ma u idade das espe i as subdimensões, endo a subdimensão “obje i os de
negócio” o ní el 4 (
Managed
), a subdimensão “obje i os de segu ança” o ní el 4 (
Managed
), a
(1) Ad Hoc (2)Oppo unis ic (3) Repea able (4) Managed (5) Op imized
Obje i os de negócio 4
Obje i os de segu ança 4
Fiscalização egula ó ia 4
Finança/Economia 4
Visão
4
Es ágios
50
subdimensão “ iscalização egula ó ia” o ní el 4 (
Managed
) e a subdimensão “ inança/economia” o ní el
4 (
Managed
), ep esen ado na seguin e exp essão:
𝑁í𝑣𝑒𝑙 𝑑𝑒 𝑚𝑎𝑡𝑢𝑟𝑖𝑑𝑎𝑑𝑒 𝑑𝑎 𝑑𝑖𝑚𝑒𝑛𝑠ã𝑜 𝑉𝑖𝑠ã𝑜 = 4 + 4 + 4 + 4
4= 4
Um ní el 4 (
Managed
) na subdimensão “obje i os de negócio” signi ica que a Rangel in eg a es ima i as
de p obabilidade e pe das jun amen e com con olo de cus os ao alinha as necessidades TI pa a as
inicia i as de negócio.
Pa a a subdimensão “obje i os de segu ança”, o ní el de ma u idade man ém-se, ou seja, man ém o
ní el 4 (
Managed
), o que signi ica que a Rangel p ocu a segui os ês pila es da segu ança da
in o mação: con idencialidade, in eg idade e disponibilidade dos ecu sos dados de in o mação, de modo
a p o egê-los con a as ameaças possí eis endo em con a o cus o dos con olos.
Um ní el4 (
Managed
) na subdimensão “ iscalização egula ó ia” signi ica que a Rangel man ém um
p og ama de alhado, pelo qual, a con o midade egula ó ia é assegu ada a a és de inicia i as p ó-a i as.
Rela i amen e à subdimensão “ inança/economia, um ní el 4 (Managed), que dize que a Rangel ealiza
uma condu a quan i a i a de uma análise cus o-bene ício, no que diz espei o a p oje os de segu ança.
5.2.2 Análise da dimensão Ges ão de Risco
De seguida, ambém oi ealizada a a aliação da dimensão ges ão de isco. Des a ez, a análise é
ealizada ao es ado des a dimensão, já com as opo unidades de melho ia implemen adas. Tal como
pa a o diagnós ico do es ado a ual, pa a es e p ocesso, oi ei o a a aliação de cada uma das suas
subdimensões, sendo a ibuído o g au de ma u idade des a dimensão a a és do cálculo da média do
g au de ma u idade de odas as subdimensões. As subdimensões des a dimensão são:
• Abo dagem do isco
• Me odologias/medidas
• Relações ex e nas
• Ambien e de con olo
51
Figu a 24 - Es ado Fu u o da dimensão Ges ão de Risco
Pa a es a dimensão analisada, no que diz espei o ao es ado u u o, o g au de ma u idade inal é 3,75;
al como a
Figu a 24
comp o a. Es a classi icação ob ém-se pela ealização da média dos g aus de
ma u idade das espe i as subdimensões, endo a subdimensão “Abo dagem do isco” o ní el 4
(
Managed
), a subdimensão “Me odologias/medidas” o ní el 4 (
Managed
), a subdimensão “Relações
ex e nas” o ní el 3 (
Repea able
) e a subdimensão “Ambien e de con olo” o ní el 4 (
Managed
),
ep esen ado na seguin e exp essão:
𝑁í𝑣𝑒𝑙 𝑑𝑒 𝑚𝑎𝑡𝑢𝑟𝑖𝑑𝑎𝑑𝑒 𝑑𝑎 𝑑𝑖𝑚𝑒𝑛𝑠ã𝑜 𝐺𝑒𝑠𝑡ã𝑜 𝑑𝑒 𝑅𝑖𝑠𝑐𝑜 = 4 + 4 + 3 + 4
4= 3,75
Pa a a subdimensão “Abo dagem do isco”, a ibuiu-se um ní el 4 (
Managed
), o que signi ica que a
Rangel conduz análises cus o-se iço, pelo que, p ocu a o pon o ó imo de “ isco eduzido po cus o de
unidade”, ela i amen e aos p oje os de segu ança TI.
A ibui um ní el 4 (M
anaged
) na subdimensão “Me odologias/medidas”, signi ica que a Rangel
inco po a uma dis ibuição de cus os inancei os, pe das e p obabilidades em unção das decisões da
ges ão de isco, usando mé icas de p og amas de segu ança e esul ados de con olo pa a a alia a
e icácia.
Rela i amen e à subdimensão “Relações ex e nas”, a ibui um ní el 3 (
Repea able
) que dize que a
Rangel inco po a equisi os de segu ança de TI nos con a os e conduz algumas audi o ias de
diligência, ob ém audi o ias ex e nas e ce i icações pa a pa cei os.
A ibui um ní el 4 (
Managed
) na subdimensão “Ambien e de con olo”, signi ica que a Rangel
emp ega sele i amen e con olos g anula es opo unos em ambien es ísicos e ambien es cibe né icos
com base numa es u u a de e e ência de con olos.
5.2.3 Análise da dimensão Pessoas
A e cei a dimensão a aliada no es ado u u o oi a dimensão pessoas. Em con as e, des a ez, a
análise é ealizada ao es ado des a dimensão, já com as opo unidades de melho ia implemen adas.
(1) Ad Hoc (2)Oppo unis ic (3) Repea able (4) Managed (5) Op imized
Abo dagem do isco 4
Me odologias/medidas 4
Relações ex e nas 3
Ambien e de con olo 4
Ges ão de Risco
3,75
Es ágios
52
Pa a es e p ocesso, ambém oi ei o a a aliação de cada uma das suas subdimensões, sendo a ibuído
o g au de ma u idade des a dimensão a a és do cálculo da média do g au de ma u idade de odas as
subdimensões. As subdimensões des a dimensão são:
• Lide ança execu i a
• Cul u a o ganizacional
• Execu i os de segu ança (CISO)
• Con a ação de e cei os pa a segu ança
Figu a 25 - Es ado Fu u o da dimensão Pessoas
Rela i amen e ao es ado u u o des a dimensão, o g au de ma u idade inal é 3,5; al como é possí el
comp o a a a és da obse ação da
Figu a 25
. Es a classi icação ob ém-se pela ealização da média dos
g aus de ma u idade das espe i as subdimensões, sendo a ibuído à subdimensão “Lide ança
Execu i a” o ní el 4 (
Managed
), à subdimensão “Cul u a o ganizacional” o ní el 3 (
Repea able
), à
subdimensão “Execu i os de segu ança (CISO)” o ní el 4 (
Managed
) e, po im, é a ibuído à
subdimensão “Con a ação de e cei os pa a segu ança” o ní el 3 (
Repea able
), ep esen ado na
seguin e exp essão:
𝑁í𝑣𝑒𝑙 𝑑𝑒 𝑚𝑎𝑡𝑢𝑟𝑖𝑑𝑎𝑑𝑒 𝑑𝑎 𝑑𝑖𝑚𝑒𝑛𝑠ã𝑜 𝑃𝑒𝑠𝑠𝑜𝑎𝑠 = 4 + 3 + 4 + 3
4= 3,5
A classi icação de ní el 4 (
Managed
) na subdimensão “Lide ança Execu i a” signi ica que a Rangel
con ida os execu i os de segu ança pa a a euniões da adminis ação ge al e a i amen e p omo e o seu
en ol imen o em a aliações de isco de ecnologias e cus os de con olos como pa e de decisões de TI.
( eesc e e is o a ama elo)
Pa a a subdimensão “Cul u a o ganizacional”, um ní el 3 (
Repea able
) signi ica que a Rangel
equen emen e no i ica o depa amen o de segu ança sob e odas as p eocupações/dú idas de
segu ança.

53
Um ní el 4 (
Managed
) na subdimensão “Execu i os de segu ança (CISO)” signi ica que a Rangel man ém
os adminis ado es in o mados sob e os indicado es de isco pa a oda a a i idade TI e es es pa icipam
decisões de negócio aplicá eis às TI.
Pa a a subdimensão “Con a ação de e cei os pa a segu ança”, o ní el de ma u idade man ém-se, ou
seja, man ém o ní el 3 (
Repea able
) que dize que a Rangel em um oco p o idencia odas as
necessidades do s a de segu ança, aumen a os con a os de longo p azo e ge i os se iços de
segu ança quando aplicá eis ou necessá ios.
5.2.4 Análise da dimensão P ocessos
A segui , ambém oi ealizada a a aliação da dimensão p ocessos. Des a ez, a análise é ealizada ao
es ado u u o des a dimensão, assumindo que as opo unidades de melho ia o am sup imidas. Tal como
pa a o diagnós ico do es ado a ual, pa a es e p ocesso, oi ei o a a aliação de cada uma das suas
subdimensões, sendo a ibuído o g au de ma u idade des a dimensão a a és do cálculo da média do
g au de ma u idade de odas as subdimensões. As subdimensões des a dimensão são:
• Ges ão de con iança
• Ges ão de iden idade
• Ges ão de ulne abilidades
• Ges ão de ameaças
Figu a 26 - Es ado Fu u o da dimensão P ocessos
Pa a es a dimensão analisada, no que diz espei o ao es ado u u o, o g au de ma u idade inal é 4, al
como a
Figu a 26
comp o a. Es a classi icação ob ém-se pela ealização da média dos g aus de ma u idade
das espe i as subdimensões, endo a subdimensão “Ges ão de con iança” o ní el 4 (
Managed
), a
subdimensão “Ges ão de iden idade” o ní el 5 (
Op imized
), a subdimensão “Ges ão de ulne abilidades”
o ní el 4 (
Managed
) e a subdimensão “Ges ão de ameaças” o ní el 3 (
Repea able
), ep esen ado na
seguin e exp essão:
𝑁í𝑣𝑒𝑙 𝑑𝑒 𝑚𝑎𝑡𝑢𝑟𝑖𝑑𝑎𝑑𝑒 𝑑𝑎 𝑑𝑖𝑚𝑒𝑛𝑠ã𝑜 𝑉𝑖𝑠ã𝑜 = 4 + 5 + 4 + 3
4= 4
(1) Ad Hoc (2)Oppo unis ic (3) Repea able (4) Managed (5) Op imized
Ges ão de con iança 4
Ges ão de iden idade 5
Ges ão de ulne abilidades 4
Ges ão de ameaças 3
P ocessos
4
Es ágios
54
Pa a a subdimensão “Ges ão de con iança”, a ibuiu-se um ní el 4 (
Managed
), o que signi ica que a
Rangel oma decisões baseadas na ges ão de polí icas e e isão de a i idades que encon am p o as
de e icácia.
A ibui um ní el 5 (
Op imized
) na subdimensão “Ges ão de iden idade”, signi ica que a Rangel
emp ega uma iloso ia de p i ilégios mínimos, de modo, a ge i os u ilizado es num con ex o de o al
pe ceção das suas c edenciais, acessos e a i idades.
Rela i amen e à subdimensão “Ges ão de ulne abilidades”, a ibui um ní el 4 (
Managed
) que dize
que a Rangel a alia a elação cus o-e icácia do sis ema de con igu ações e a ualizações; e in eg a na
sua pleni ude a i idades de aplicação de ní eis de segu ança no desen ol imen o de p ocessos.
A ibui um ní el 3 (
Repea able
) na subdimensão “Ges ão de ameaças”, signi ica que a Rangel execu a
uma moni o ização de ale as e e en os 24X7 em odo o ambien e TI, esponde com base numa
análise causa- aiz dos ecu sos a e ados e no i ica de aco do a si uação.
5.2.5 Análise da dimensão Tecnologias de Segu ança
A úl ima dimensão a aliada no es ado u u o oi a dimensão ecnologias de segu ança. Em con as e,
des a ez, a análise é ealizada ao es ado u u o des a dimensão, já com as opo unidades de melho ia
sup imidas.
Pa a es e p ocesso, ambém oi ei o a a aliação de cada uma das suas subdimensões, sendo a ibuído
o g au de ma u idade des a dimensão a a és do cálculo da média do g au de ma u idade de odas as
subdimensões. As subdimensões des a dimensão são:
• Ges ão de iden idade
• Ges ão de ulne abilidades
• Ges ão de ameaças
• Ges ão de con iança
Figu a 27 - Es ado Fu u o da dimensão Tecnologias de Segu ança
(1) Ad Hoc (2)Oppo unis ic (3) Repea able (4) Managed (5) Op imized
Ges ão de iden idade 2
Ges ão de ulne abilidades 4
Ges ão de ameaças 4
Ges ão de con iança 2
Tecnologias de segu ança
3
Es ágios
55
Rela i amen e ao es ado u u o des a dimensão, o g au de ma u idade inal é 3; al como é possí el
comp o a a a és da obse ação da
Figu a 27
. Es a classi icação ob ém-se pela ealização da média dos
g aus de ma u idade das espe i as subdimensões, sendo a ibuído à subdimensão “Ges ão de
iden idade” o ní el 2 (
Oppo unis ic
), à subdimensão “Ges ão de ulne abilidades” o ní el 4 (
Managed
),
à subdimensão “Ges ão de ameaças” o ní el 4 (
Managed
) e, po im, é a ibuído à subdimensão “Ges ão
de con iança” o ní el 2 (
Oppo unis ic
), ep esen ado na seguin e exp essão:
𝑁í𝑣𝑒𝑙 𝑑𝑒 𝑚𝑎𝑡𝑢𝑟𝑖𝑑𝑎𝑑𝑒 𝑑𝑎 𝑑𝑖𝑚𝑒𝑛𝑠ã𝑜 𝑉𝑖𝑠ã𝑜 = 2 + 4 + 4 + 2
4= 3
Pa a a subdimensão “Ges ão de iden idade”, o ní el de ma u idade man ém-se, ou seja, man ém o ní el
2 (
Oppo unis ic
) que dize que a Rangel impulsiona pala as-cha e segu as e en adas únicas pa a
odos os ecu sos. Também u iliza au en icação mul i- a o pa a acessos à dis ância, acessos
p i ilegiados e acessos pa a e cei os.
Um ní el 4 (
Managed
) na subdimensão “Ges ão de ulne abilidades” signi ica que a Rangel u iliza
i ewalls
de mul iní eis e
p oxies
em odas as edes e emp ega écnicas de isolamen o de ca ga de
abalho (como po exemplo,
i ual machines
)
Pa a a subdimensão “Ges ão de ameaças”, um ní el 4 (
Managed
) signi ica que a Rangel de e a ameaças
usando assina u as, de onação
sandbox
, de eção de anomalias e
machine lea ning
nas edes e nas
a i idades do sis ema. Além disso, iden i ica dados sensí eis se em ansmi idos pa a o ex e io .
Um ní el 2 (
Oppo unis ic)
na subdimensão “Ges ão de con iança” signi ica que a Rangel possui
comunicações enc ip adas e a mazenagem
endpoin
(disco comple o), além de implemen a um sis ema
de ges ão cen al.
5.2.6 Ní el Global de Ma u idade do Es ado A ual
Depois de es abelece um ní el de ma u idade pa a cada uma das cinco dimensões, desc i os nos
subcapí ulos an e io es, pelo mesmo mé odo que se de e minou o ní el dessas subdimensões, ambém
oi possí el de e mina o ní el de ma u idade global do es ado u u o de segu ança. Pa a al, a a és do
ní el a ibuído a cada uma subdimensão, ealizou-se a média dos mesmos. Po conseguin e, ob ém-se
a seguin e exp essão:
Ní el de ma u idade global do es ado u u o = 4 + 3,75 + 3,5 + 4 + 3
5= 3,65
Assim, conclui-se que o ní el de ma u idade global do es ado a ual é de 3,65; como se pode obse a
na
Figu a 28
, a ibuindo, des a o ma, o ní el
Repea able
, po ém já com p ocessos de melho ia englobados
no ní el 4 (
Managed
).
56
Figu a 28 - Ní el global de ma u idade do es ado u u o
3,65
3
4
3,5
3,75
4
012345
Ma u idade Global
Tecnologias de segu ança
P ocessos
Pessoas
Ges ão de isco
Visão
Ma u idade Global do Es ado Fu u o
63
cláusulas nos
con a os
A.15.1
Segu ança da in o mação
nas elações com
o necedo es
A . 5, A . 26, A .
27, A . 28
A.15.2
Ges ão da en ega de
se iços pelos
o necedo es
A . 5, A . 26, A .
27, A . 28
2
C ia uma polí ica
de ans e ência
de in o mação
A.13.2.1
Polí icas e p ocedimen os
de ans e ência de
in o mação
A . 5, A . 7, A .
15, A . 20, A . 26
A.13.2.2
Aco dos sob e a
ans e ência de
in o mação
A . 5, A . 7, A .
20, A . 26
A.13.2.3
Mensagens ele ónicas
A . 5, A . 7, A .
20, A . 26
A.13.2.4
Aco dos de
con idencialidade ou de
não di ulgação
A . 5, A . 7, A .
20, A . 26
6.6 Inicia i a nº6 - P og ama de Consciencialização pa a a Segu ança da
In o mação
Como e e ido á ias ezes es e documen o, a dimensão humana é maio ulne abilidade den o duma
o ganização em elação à segu ança da in o mação. Vis o is o, es a inicia i a exige alguma impo ância,
uma ez que isa abo da a componen e do compo amen o humano. Assim, as ações des a inicia i a
de em assegu a uma ges ão do conhecimen o a a és da in odução de boas p á icas no que diz
espei o à segu ança da in o mação.
• Aquando da in eg ação de um no o colabo ado na o ganização, p o idencia o mação na
polí ica e boas p á icas, incluindo o anspo e e ans e ência de dados pa a o a da o ganização;
• Ações de a aliação do conhecimen o e consciencialização dos colabo ado es pa a com o ema,
pa a além de ações como simulac os de a aques e ou os inciden es, campanhas de in o mação
e eino;
• Conhecimen o em ge al e conhecimen o sob e no as ameaças de em se pe iodicamen e
assegu ados;
• Realiza um simulac o pa a es a , em e mos ope acionais, a boa adoção dos p ocedimen os
indicados nas alíneas an e io es;

64
Tabela 10 - Ações da Inicia i a nº6 e seu mapeamen o
Nº
Ação
Ação
ISO 27001
Con olo
P ocesso
ITIL
RGPD
1
Planos de
in eg ação dos
colabo ado es
R.7.1
Recu sos
A . 24
R.7.2
Compe ência
A . 24
A.7.2.2
Consciencialização,
educação e o mação em
segu ança da in o mação
A.9.3.1
U ilização da in o mação
sec e a pa a au en icação
A . 16, A . 17
2
Simulação de
a aques de
phising
R.7.3
Consciencialização
A . 24
A.7.2.2
Consciencialização,
educação e o mação em
segu ança da in o mação
3
Plano anual de
wo kshops de
consciencialização
R.7.3
Consciencialização
A . 24
R.7.4
Comunicação
A . 24
A.7.2.2
Consciencialização,
educação e o mação em
segu ança da in o mação
A.9.3.1
U ilização da in o mação
sec e a pa a au en icação
A . 16, A . 17
4
Inicia i a anual
“Cidadão
Cibe segu o” do
CNCS
R.7.2
Compe ência
A . 24
A.6.1.3
Con ac o com au o idades
compe en es
A . 31, A . 35, A . 36
A.7.2.2
Consciencialização,
educação e o mação em
segu ança da in o mação
5
Fo maliza uma
polí ica de
ans e ência de
in o mação
A.13.2.1
Polí icas e p ocedimen os
de ans e ência de
in o mação
A . 5, A . 7, A . 15,
A . 20, A . 26
A.13.2.2
Aco dos sob e a
ans e ência de
in o mação
A . 5, A . 7, A . 20,
A . 26
A.13.2.3
Mensagens ele ónicas
A . 5, A . 7, A . 20,
A . 26
A.13.2.4
Aco dos de
con idencialidade ou de
não di ulgação
A . 5, A . 7, A . 20,
A . 26
65
6.7 Inicia i a nº7 - Ges ão do Ciclo de Vida Aplicacional
A maio base da sus en ação de ope ações na Rangel de e-se a sis emas aplicacionais, maio i a iamen e
desen ol idas in e namen e. Na o ganização exis em á ias abo dagens ao desen ol imen o aplicacional
que de em se conside adas na Segu ança da In o mação:
• Desen ol imen o e e uado com ecu so às equipas in e nas, com engenhei os de so wa e
in e nos;
• Desen ol imen o e e uado po engenhei os de so wa e ex e nos, em egime de ou sou cing,
mas in eg ados nas equipas de desen ol imen o in e nas, logo sob as p á icas da o ganização;
• Implemen ação de pla a o mas aplicacionais adqui idas a ab ican es ex e nos, po ém com
cus omizações po ezes e e uadas po elemen os in e nos, ou as ezes con a adas a
consul o es ex e nos do p óp io ab ican e ou pa cei os;
• Con a ação do desen ol imen o
end- o-end
a pa cei os ex e nos, podendo a sua manu enção
se assegu ada pelo pa cei o ou po elemen os in e nos;
Em qualque uma das o mas de desen ol imen o acima mencionadas, cabe à Rangel a ges ão dos
equisi os e o con olo de qualidade da aplicação.
Tabela 11 - Ações da Inicia i a nº7 e seu mapeamen o
Nº
Ação
Ação
ISO
27001
Con olo
P ocesso
ITIL
RGPD
1
Polí icas e
p ocedimen os pa a
desen ol imen o de
so wa e
A.14.2.1
Polí ica de desen ol imen o
segu o
A.14.2.4
Res ições sob e al e ações
em paco es de so wa e
A.14.2.5
P incípios de engenha ia
de sis emas segu os
A.14.2.6
Ambien e de
desen ol imen o segu o
2
Polí icas e
p ocedimen os pa a
comp a e in eg ação
A.14.2.1
Polí ica de desen ol imen o
segu o
A.14.2.4
Res ições sob e al e ações
em paco es de so wa e
66
de
so wa e
come cial
A.14.2.5
P incípios de engenha ia
de sis emas segu os
A.14.2.6
Ambien e de
desen ol imen o segu o
3
Polí icas e
p ocedimen os de
ou so cing
A.14.2.1
Polí ica de desen ol imen o
segu o
A.14.2.4
Res ições sob e al e ações
em paco es de so wa e
A.14.2.5
P incípios de engenha ia
de sis emas segu os
A.14.2.6
Ambien e de
desen ol imen o segu o
A.14.2.7
Desen ol imen o
subcon a ado
4
Desenho e
implemen ação de
uma me odologia de
ges ão de mudança
A.12.1.2
Ges ão de al e ações
Ges ão de
mudança
A.12.5
Con olo de
so wa e
em
sis emas de p odução
A.14.2.2
P ocedimen os de con olo
de al e ações aos sis emas
5
Desenho e
implemen ação de
uma me odologia de
alidação o mal de
sis emas
A.14.2.3
Re isão écnica de
aplicações após al e ações
na pla a o ma de p odução
Validação de
se iços e
es es
A.14.2.8
Tes es de segu ança de
sis emas
A.14.2.9
Tes es de acei ação de
sis emas
A.14.3
Dados de es e
6
Desenho e
implemen ação de
uma me odologia de
equisi os
A.14.1.1
Especi icação e análise de
equisi os de segu ança da
in o mação
Coo denação
de design
Ges ão de
ca álogo
Ges ão de
capacidade
A . 5, A . 6, A . 7, A . 9,
A . 10, A . 11, A . 12,
A . 13, A . 14, A . 15,
A . 16, A . 17, A . 18,
A . 19, A . 20, A . 21,
A . 22
A.14.1.2
P o ege se iços
aplicacionais nas edes
públicas
A . 14, A . 16
A.14.1.3
P o ege ansações de
se iços aplicacionais
A . 14, A . 16
67
6.8 Inicia i a nº 8 – Ges ão de Inciden es (in e ace com ges ão de e en os
e p oblemas)
Segundo os p ocessos do ITIL, a ges ão de e en os é conside ada uma boa p á ica e sinal de ma u idade
em e mos de con olo, po isso, de e se implemen ada. A Rangel já aplica no seu quo idiano p á icas
inse idas na ges ão de e en o. Assim, a inicia i a aqui ep esen ada, deco e na in e ace com ges ão de
inciden es. Es a inicia i a inclui a moni o ização, in es igação, in ensi icação e espos a a e en os que
oco em ao ní el das TI e p o oca am uma edução de qualidade desses se iços (de inição de inciden e),
endo como obje i o il a e ca ego iza esses e en os, de modo decidi as ações ap op iadas a oma .
Assim, de o ma ge al, a inicia i a i á compo -se po :
• Iden i ica os a i os (de qualque na u eza écnica/ ecnológica) ele an es pa a con inuidade do
negócio e quais os e en os a moni o iza ;
• Man e um in en á io de odos os a i os (ex. equipamen os que supo am bases de dados
c í icas), associados às a i idades de p ocessamen o de dados pessoais, numa pe spe i a de
“ elações de dependência”, pa a a elabo ação pos e io de um “da a mapping” que pe mi a
uma a uação mais au oma izada e in e enção ápida no caso de alhas ou po enciais queb as
de segu ança de dados;
• De ini p ocedimen os pa a a Ges ão de Inciden es e a alia a c iação de um
Secu i y Ope a ion
Cen e
;
• Ade i e pa icipa na ede de CSIRT, como ó um de pa ilha de in o mação de ca ác e
ope acional que pe mi a melho a a capacidade nacional de espos a a inciden es.
• Es abelece uma classi icação de e en os de aco do com o isco/ameaça;
• C ia mecanismos de egis o, a amen o e
ollow-up
do e en ;
Adicionalmen e, a a és da das boas p á icas de ges ão de e en os inse ida no plano de espos a a
inciden es, a Rangel se á capaz de p e eni inciden es que já acon ece am de acon ece ou a ez e, se
são ine i á eis, se capaz de eduzi o impac o na a i idade de negócio.
• Implemen a uma abo dagem de uma análise causa- aiz, aumen o a e icácia da segu ança da
in o mação.
• A a és do conhecimen o ob ido de p oblemas conhecidos, c iação de p ocedimen os de ação e
lei u a de o ma a minimiza o impac o desses inciden es no negócio.
68
Um plano de espos a a inciden es bem es u u o e implemen ado consegue esponde e cob i odos os
obje i os des a inicia i a.
Tabela 12 - Ações da Inicia i a nº8 e seu mapeamen o
Nº
Ação
Ação
ISO 27001
Con olo
P ocesso
ITIL
RGPD
1
Desenha
me odologia de
ges ão de
inciden es
A.16.1.1
Responsabilidades e
p ocedimen os
Ges ão de
e en os e
p oblemas
A . 12, A . 13, A . 14, A .
17, A . 18, A . 19, A . 21,
A . 22, A . 26, A . 33, A .
34, A . 48
2
Implemen a
pla a o ma
SIEM
A.16.1.2
Repo a e en os de
segu ança da in o mação
Ges ão de
inciden es
(in e ace
com ges ão
de e en os)
A . 12, A . 13, A . 14, A .
17, A . 18, A . 19, A . 21,
A . 22, A . 26, A . 33, A .
34, A . 48
3
De ini os
e en os a
moni o iza
A.16.1.4
A aliação e decisão
sob e e en os de
segu ança da in o mação
A . 12, A . 13, A . 14, A .
17, A . 18, A . 19, A . 21,
A . 22, A . 26, A . 33, A .
34, A . 48
4
Elabo ação do
plano de
espos a a
inciden es
A.16.1.5
Respos a a inciden es de
segu ança da in o mação
Ges ão de
inciden es
(in e ace
com ges ão
de
p oblemas)
A . 12, A . 13, A . 14, A .
17, A . 18, A . 19, A . 21,
A . 22, A . 26, A . 33, A .
34, A . 48
A.16.1.6
Ap ende com os
inciden es de segu ança
da in o mação
A . 12, A . 13, A . 14, A .
17, A . 18, A . 19, A . 21,
A . 22, A . 26, A . 33, A .
34, A . 48
A.16.1.7
Recolha de e idências
A . 12, A . 13, A . 14, A .
17, A . 18, A . 19, A . 21,
A . 22, A . 26, A . 33, A .
34, A . 48
6.9 Inicia i a nº9 - Ges ão de A ualizações
Es a medida em o obje i o de co igi e p o ege os sis emas de in o mação de ulne abilidades no
so wa e e aplicações que são susce í eis de a aques maliciosos, ajudando, assim, a o ganização a
eduzi o isco de segu ança. Es a medida é supo ada po uma me odologia de ges ão e aplicação
con olada de a ualizações nas á ias camadas da a qui e u a ecnológica. Po isso, é necessá io man e
os a i os ecnológicos a ualizados, uma ez que são a p incipal o ma de p o eção con a explo ações.

69
No en an o, a Rangel já possui uma polí ica de a ualizações ao ní el de
endpoin s
, no que diz espei o a
compu ado es, con udo, é undamen al es ende es a polí ica aos es an es a i os da o ganização.
Tabela 13 - Ações da Inicia i a nº9 e seu mapeamen o
Nº Ação
Ação
ISO 27001
Con olo
P ocesso ITIL
RGPD
1
In en a ia de a i os
A.8.1.1
In en á io de a i os
Asse and
con igu a ion
Managemen
A . 5, A . 15
2
Ges ão dos con a os de
manu enção dos a i os
3
P ocedimen os ope acionais
da ges ão de
pa chs
A.12.6.1
Ges ão de
Vulne abilidades
écnicas
6.10 Inicia i a nº10 - Segu ança A ançada de Pe íme o
Es a inicia i a es á mais inse ida no âmbi o na es u u a da es a égia de cibe segu ança, no sen ido que
é linha da en e de de esa con a as ameaças ex e nas e en a i as de in usão a pa i do ex e io ,
ex il ação de dados,
DDoS
(negação de se iços a a és do consume o al dos ecu sos disponí eis),
a aques de í us in o má icos/
malwa es
, en e ou os.
Ob iamen e que es a o ma es u u an e da es a égia de cibe segu ança po si só não assegu a o o al
ní el de segu ança p e endido com o SGSI. Con udo ag upado com ou as inicia i as, é um dos passos
mais c í icos.
Po ém, en ol e in es imen os com alguma dimensão ao ní el de CAPEX e OPEX, nomeadamen e na
aquisição e supo e anual da nex -gen i ewall e na e amen a de p o eção dos endpoin s.
A ualmen e, a Rangel possui já na sua in aes u u a e know-how in e no em ecnologia Checkpoin pelo
que a á sen ido conside a esse endo . Uma solução como a Checkpoin em a an agem de além de
se uma i ewall a ançada com mecanismos de IPS/IDS, possui soluções pa a endpoin s PCs/apa elhos
mó eis (
Sandblas Agen
e
Sandblas mobile
) e ambém pa a soluções
cloud
, nomeadamen e O ice365
usado pela o ganização, o
Cloudgua d SaaS
.
Tabela 14 - Ações da Inicia i a nº10 e seu mapeamen o
Nº Ação
Ação
ISO 27001
Con olo
RGPD
1
Implemen ação de Nex -
Gen i ewalls
A.12.2.1
P o eção con a código malicioso
2
Segmen ação da ede
A.13.1.3
Seg egação das edes
A . 20
3
Polí ica de u ilização
esponsá el dos a i os
A.8.1.3
U ilização acei á el de a i os
A.12.6.2
Res ições sob e a ins alação de
so wa e
70
ecnológicos (ex.:
equipamen os, so wa e, …)
4
Enc ip ação de
end-poin s
e
media s o age
A.10
C ip og a ia
A . 5
5
P o eção local de
endpoin s
(nex -gen AV: mó el, pc)
A.12.2.1
P o eção con a código malicioso
A.12.6.2
Res ições sob e a ins alação de
so wa e
6
De ini polí ica e
p ocedimen os de con olo
pa a a con a ação de
soluções
cloud
A.13.1.2
Segu ança de se iços de ede
A . 20
A.15.1
Segu ança da in o mação nas elações
com os o necedo es
A . 5, A . 26,
A 27, A . 28
A.15.2
Ges ão da en ega de se iços pelos
o necedo es
A . 5, A . 26,
A 27, A . 28
6.11 Inicia i a nº11 - Ges ão de Iden idades e Acessos
Es a medida i á c ia um modelo que limi a o con olo de iden idades na o ganização, espe i os acessos
e p i ilégios a aplicações e dados. Es a inicia i a é cons i uída po duas e en es:
• Uma ez que a Rangel já possui medidas écnicas de con olo de acesso às ede e se iços,
apenas ha e á um e o ço a a és da e cons ução de uma polí ica documen ada de con olo de
acessos.
Tabela 15 - Ações da Inicia i a nº11 e seu mapeamen o
Nº Ação
Ação
ISO 27001
Con olo
P ocesso ITIL
RGPD
1
De ini a polí ica de
con olo de acessos
A.9.1.1
Polí ica de con olo
de acesso
Ges ão de
Acessos
A . 5, A . 16,
A . 17
A.9.4.1
Res ição de acessos
à in o mação
A . 5, A . 16,
A . 17
6.12 Mapeamen o dos Obje i os O ganizacionais, Opo unidades de
Melho ia e Inicia i as
O obje i o des a secção é demons a o mapeamen o das opo unidades de melho ia, com os espe i os
obje i os o ganizacionais e com as inicia i as. Is o é, sabendo classi icação de cada subdimensão das
cinco dimensões do es ado de ma u idade u u o TO-BE, oi co espondido um de e minado obje i o de
o ganizacional. Além disso, pa a cada uma dessas co espondências, não só oi a ibuído uma
opo unidade de melho ia, uma alha que no es ado a ual AS-IS pa a a mesma subdimensão e espe i a
71
dimensão, mas ambém oi a ibuído a espe i a inicia i a, um conjun o de ações de modo com o obje i o
de alcança o es ado u u o ao qual es á mapeado.
Tabela 16 - Mapeamen o dos obje i os o ganizacionais, opo unidades de melho ia e inicia i as
Dimensão
Subdimensão
Es ágio
To-Be
Obje i o
O ganizacion
al
Cód.
OM
Opo unidade de Melho ia
Cód.
In
inicia i a
Visão
Obje i os de
Negócio
(4)
Managed
Business
Con inui y Plan
OM.01
Não exis e uma abo dagem á
ges ão pelo isco no desenho
das soluções de TI pa a
supo a as inicia i as de
negócio
In.01
P omo e a
Segu ança de
In o mação na
O ganização
In.02
Modelo de
Go e nança
In.03
Rea alia a
Me odologia de
Ges ão de
P oje os
Obje i os de
Segu ança
(4)
Managed
Business
Con inui y Plan
Fiscalização
Regula ó ia
(4)
Managed
Legal /
Regula ó io
OM.02
Não exis em p á icas de
audi o ias in e nas po o ma
a an ecipa p oblemas de
con o midade
In.04
Implemen a
P á icas de
Audi o ias
In e nas
Finança/
Economia
(4)
Managed
Pe o mance
Ope acional e
Financei a
OM.03
Não exis e a p á ica da
quali icação dos p oje os de
in es imen o
In.03
Rea alia a
Me odologia de
Ges ão de
P oje os
Ges ão do
Risco
Abo dagem do
Risco
(4)
Managed
Pe o mance
Ope acional e
Financei a
OM.03
Não exis e a p á ica da
quali icação dos p oje os de
in es imen o
In.03
Rea alia a
Me odologia de
Ges ão de
P oje os
Me odologias/
Medidas
(4)
Managed
Business
Con inui y Plan
Pe o mance
Ope acional e
Financei a
Relações Ex e nas
(3)
Repea able
Business
Con inui y Plan
OM.04
Não há a aliação à segu ança
de in o mação dos pa cei os
ex e nos
In.05
Relação com
Te cei os
Legal /
Regula ó io
OM.05
Não exis e conside ação pelos
equisi os de segu ança de
in o mação aquando da
ealização de con a os com
os pa cei os ex e nos
In.05
Relação com
Te cei os
Ambien e de
Con olo
4)
Managed
Business
Con inui y Plan
OM.01
Não exis e uma abo dagem á
ges ão pelo isco no desenho
das soluções de TI pa a
In.10
Segu ança
A ançada de
Pe íme o
72
supo a as inicia i as de
negócio
Pessoas
Lide ança
Execu i a
(4)
Managed
Business
Con inui y Plan
OM.01
Não exis e uma abo dagem á
ges ão pelo isco no desenho
das soluções de TI pa a
supo a as inicia i as de
negócio
In.03
Rea alia a
Me odologia de
Ges ão de
P oje os
Legal /
Regula ó io
Cul u a
O ganizacional
(3)
Repea able
Business
Con inui y Plan
OM.06
Não exis e uma cul u a de
pa icipação a i a nos emas
de segu ança de in o mação
In.06
P og ama de
Consciencializaçã
o pa a a
Segu ança da
In o mação
Legal /
Regula ó io
Execu i os de
segu ança (CISO)
(4)
Managed
Business
Con inui y Plan
OM.06
Não exis e uma cul u a de
pa icipação a i a nos emas
de segu ança de in o mação
In.01
P omo e a
Segu ança de
In o mação na
O ganização
Legal /
Regula ó io
Con a ação de
e cei os pa a
segu ança
(3)
Repea able
P ocessos
Ges ão da
Con iança
(4)
Managed
Legal /
Regula ó io
OM.02
Não exis em p á icas de
audi o ias in e nas po o ma
a an ecipa p oblemas de
con o midade
In.04
Implemen a
P á icas de
Audi o ias
In e nas
Ges ão da
Iden idade
(5)
Op imized
Business
Con inui y Plan
OM.07
Não exis e um p ocesso de
ges ão de iden idades e
acessos ap imo ados na
o ganização
In.11
Ges ão de
Iden idades e
Acessos
Legal /
Regula ó io
Ges ão de
Vulne abilidades
(4)
Managed
Business
Con inui y Plan
OM.08
Não exis e uma polí ica
ges ão de a ualizações
ala gada a odos os ní eis da
a qui e u a das edes dos
sis emas de in o mação
In.09
Ges ão de
A ualizações
OM.09
Não exis e uma p á ica de
segu ança
by design
no
p ocesso de desen ol imen o
de so wa e
In.07
Ges ão do Ciclo
de Vida
Aplicacional
Ges ão de
Ameaças
(3)
Repea able
Business
Con inui y Plan
OM:10
Não exis em p á icas de
ges ão de p oblemas
(
p oblem managemen
)
In.08
Ges ão de
Inciden es
Tecnologias
de
Segu ança
Ges ão de
Iden idade
(2)
Oppo unis ic
Legal /
Regula ó io
OM.11
Não exis e moni o ização das
a i idades de u ilizado es
p i ilegiados
In.11
Ges ão de
Iden idades e
Acessos
Ges ão de
Vulne abilidades
(4)
Managed
Business
Con inui y Plan
OM.12
Não exis e uma solução
a ançada de segu ança ao
ní el das edes, aplicações e
endpoin s
In.10
Segu ança
A ançada de
Pe íme o
79
Tabela 20 - Responsá eis po cada inicia i a
Cód. IN
Designação da Inicia i a
Responsá el
IN. 01
P omo e a segu ança de in o mação na o ganização
GT, CISO, CSI
IN. 02
Modelo de go e nança
GT, CISO, CSI
IN. 03
Rea alia a me odologia de ges ão de p oje os
CISO, CSI
IN. 04
Implemen a p á icas de audi o ias in e nas
CISO
IN. 05
Relação com e cei os
GT, CISO, CSI
IN. 06
P og ama de consciencialização pa a a segu ança da
in o mação
CISO, DEP
IN. 07
Ges ão do ciclo de ida aplicacional
CISO, CSI
IN. 08
Ges ão de inciden es
DEP (DSI)
IN. 09
Ges ão de a ualizações
DEP (DSI)
IN. 10
Segu ança a ançada de pe íme o
DEP (DSI)
IN. 11
Ges ão de iden idades e acessos
DEP (DSI)
7.2 Roadmap dos Con olos em não cobe os
O es ado u u o, TO-BE, não ab ange a implemen ação de con olos su icien es pa a uma possí el
ob enção de uma ce i icação da no ma ISO 27001:2013. Po an o, de modo a e como me a essa
possí el ce i icação, o g upo Rangel p ocedeu um
Gap Analysis
, de modo a iden i ica quais os con olos
que não cobe os nem pelo es ado a ual, AS-IS, nem pelo conjun o de inicia i as que jun amen e com o
es ado AS-IS o iginam o es ado u u o. A iden i icação desses con olos é possí el obse a na abela 20,
no subcapí ulo 7.1.2. De seguida, oi c iado um p og ama pos e io e especí ico, sendo suge ido o início
des e p og ama logo após o é mino do p og ama de implemen ação de inicia i as. É espe ado que es es
dois p og amas em conjun o, alcancem uma cobe u a o al da no ma in e nacional, não sendo um dos
con olos da ISO ( e abela 21 ) aplicá el à a i idade de abalho do g upo Rangel.
Figu a 31 - Roadmap dos con olos não cobe os pelas inicia i as

80
Como é obse á el na igu a acima, o p og ama de implemen ação dos con olos que não o am cobe os
pelo p og ama de inicia i as em uma du ação, ap oximadamen e, de 4 meses, pelo que, no inal desse
pe íodo se á possí el ob e uma ce i icação da no ma in e nacional ISO 27001:2013.
Começando pela implemen ação dos con olos da cláusula de con olo de segu ança A.18, uma ez que
es e ap esen a o maio núme o de con olos em al a (nes e caso, odos os obje i os de con olo - 2 - e
espe i os con olos – 8) e consequen emen e maio ep esen a i idade no mapeamen o dos a igos do
RGPD, sendo mapeados 30 a igos no o al.
Seguidamen e, iniciou-se a implemen ação dos con olos das cláusulas de segu ança A.11 e A.8 com
pe íodos de implemen ação di e en es. Es a di e ença de e-se ambém ao di e en e núme o de con olos
po implemen a em cada um, espe i amen e. A cláusula de con olos de segu ança A.11 em um o al
de 15 con olos de segu ança ( e abela 1) endo já sido implemen ado 10 con olos, icando, des e
modo, 5 con olos po ealiza . Es es 5 con olos em al a não êm qualque co espondência com os
a igos do egulamen o. Rela i amen e à execução dos con olos em al a da cláusula de con olos de
segu ança A.8, oi necessá io execu a 8 con olos, na manei a que es a cláusula ap esen a um o al de
10 con olos ( abela 1, capí ulo 2) e 2 es ão planeados pa a se em implemen ados no plano de inicia i as;
mais conc e amen e na inicia i a nº9 (A.8.1.1) e inicia i a nº10 (A.8.1.3).
Po im, as a e as menos du adou as o am as cláusulas A.7 e A.12, is o que al a am implemen a 2
con olos em ambas. A cláusula de con olos de segu ança A.12 em um o al de 14 con olos ( abela 1,
capí ulo 2) dispe sos po 7 obje i os de con olo, pelo que 6 con olos já inham sido ealizados e ou os
6 o am englobados no plano de inicia i as (inicia i a nº4 - A.12.7.1; inicia i a nº7 - A.12.1.2 e A.12.5.1;
inicia i a nº9 - A.12.6.1; inicia i a nº10 - A.12.2.1 e A.12.6.2). Dis in amen e, a cláusula A.7 ap esen a
6 con olos ( abela1) sendo que des es 6, 4 es ão inse idos no plano de inicia i as (inicia i a nº5 - A.7.1.1,
A.7.1.2 e A.7.2.1; inicia i a nº6 - A.7.2.2).
7.3 Con o midade com o RGDP
Como e e ido e explicado num capí ulo an eceden e des e documen o, (capí ulo 3), um dos obje i os da
sua es a égia é o obje i o o ganizacional Legal/Regula ó io, sendo po si só, já um obje i o de ex ema
ele ância.
Con a iamen e ao que oi ealizado pa a no ma in e nacional ISO/IEC 27001:2013, não é necessá io
aze uma análise quan idade do g au de cobe u a do RGPD no sen ido de alcança qualque ipo de
ce i icação ou cump imen o in eg al. Uma ez que não exis e nenhum ipo de ce i icação pa a o
egulamen o, ambém não é espe ado que as emp esas implemen am odos os 99 a igos do RGPD. Na
81
p á ica, na medida de e i a o uso desnecessá io de ecu sos de uma o ganização, as emp esas apenas
cump em o mínimo de con o midade pa a e i a in es igações, coimas e penalizações que p o ocam
impac os nega i os à o ganização.
Um dos pon os de ação c ucial de o ma a cump i o egulamen o é a ealização de “a aliações de
impac o”, mais conhecidos po DPIAs, na língua o icial inglesa (
Da a P i acy Impac Assessmen
), que
de em semp e se ealizados aquando de uma al e ação o ganizacional ele an e, em a i idades de
p ocessamen o, de modo a iden i ica os iscos de iolação de dados pessoais que possam oco e .
Assim, é p e endida a documen ação, po pa e da en idade con olado a, desc e endo os p ocessos de
a amen o de dados pessoais que podem es a em isco, al como, medidas de sal agua da e con olos
necessá ios pa a a mi igação desses iscos. Es as a i idades ealizam-se, po exemplo, na ecolha de
dados sensí eis dos colabo ado es como a “implemen ação” de e móme os in a e melhos acoplados
a sis emas de ídeo igilância nas en adas das ins alações da Rangel, após o início da epidemia mundial
a ual que acon eceu an es da ealização des e p oje o. Um ou o exemplo, acon eceu na pa ce ia da
Rangel com a Supe bock, emp esa de p odução de ce eja nacional, onde oi exigido po es e pa cei o,
aquando da eceção dos camionis as de me cado ias da Rangel, a ob igação de egis o po imp essão
digi al. Po mo i os e iden es, es a a i idade ap esen a ele ado isco de iolação de di ei os das pessoas,
nes e caso, dos colabo ado es, o que p o oca a ealização de uma a aliação de impac o.
Com es a seção, é p e endido des aca o con ibu o que o Roadmap das Inicia i as, jun amen e com
uma ce i icação pos e io do SGSI, pode o e ece à o ganização em e mos de con o midade com o
egulamen o eu opeu. Es a espos a se á medida pela análise quan i a i a dos a igos mapeados nos
con olos já implemen ados pela Rangel e os que se ão implemen ados e inse idos nas inicia i as.
Na abela 19, na secção 7.1.1, com a análise e a aliação do es ado da ma u idade a ual, é possí el
isualiza os con olos da ISO 27001 já implemen ados pelo G upo Rangel e espe i o mapeamen o dos
a igos do egulamen o.
Tabela 21 - Mapeamen o de con olos ISO e a igos RGPD (Es ado A ual)
Nº de Requisi os + Con olos ISO 27001:2013
36
Nº de A igos do RGPD as eados
16
A a és das inicia i as demons adas na secção 6, pode-se mapea os con olos implemen ados nas
espe i as ações e a igos RGPD co espondes es, ep esen ado na abela abaixo:
Tabela 22 - Mapeamen o de con olos ISO e A igos RGPD (Inicia i as)
Nº de Requisi os + Con olos no os ISO 27001:2013
26 Requisi os + 52 Con olos
82
Nº de A igos no os do RGPD as eados
22
Após a implemen ação das inicia i as e ealização das espe i as ações, é de salien a o mapeamen o
de um o al de 38 a igos, sendo que só na lis a de inicia i as es ão p esen es o o al dos 38, dos quais
22 são a igos no os mapeados, pa a além dos 16 mapeados a análise ao es ado a ual,
ep esen ando, assim, o ní el de cobe u a do es ado u u o, 16 +22 =38.
Depois da implemen ação de odos os conjun os de ações, que azem pa e das inicia i as, depa a-se
com um dé ice de 25 con olos que são necessá ios pa a a possí el ob enção da ce i icação da no ma
in e nacional ISO 27001:2013. Como é possí el obse a na abela 20, no secção 7.1.2, esses con olos
con ibuem com o mapeamen o de 54 a igos do RGPD no o al, dos quais 24 são no os a igos do
RGPD não mapeados an e io men e, nem no es ado a ual nem no plano de inicia i as. Assim, a inge-se
um o al de 62 a igos mapeados do RGPD, 38 +24 =62.
Na ealização des e mapeamen o é quase ob iga ó io des aca os con olos A.18.1.1 e A.18.1.4, uma
ez que são os con olos que espondem a mais a igos no os do RGPD, con ibuindo assim pa a o
aumen o da espos a, sendo o úl imo con olo com oco especí ico à p i acidade e p o eção de dados
pessoais.
Figu a 32 - E apas da espos a ao RGPD
O g á ico ilus ado acima, a a és do mapeamen o dos a igos com os espe i os con olos da
ISO27001:2013 que o am implemen ados ao longo da es a égia, ep esen a a e olução da espos a
ao RGPD e o aumen o da ma u idade da segu ança de in o mação da Rangel, pe mi indo assim, conclui
010 20 30 40 50 60 70
Ce i ição
Depois das Inicia i as
Es ado A ual
16
16
16
22
22
24
Nº de a igos mapeados
A igos Ras eados do RGPD
83
que a adoção dos con olos da no ma con ibui de o ma sus en ada, igo osa e asse i a uma espos a
ao RGPD.
Apesa de uma ce i icação da no ma in e nacional ou adoção pa cial dos con olos da mesma, não
assegu a au oma icamen e o cump imen o dos equisi os da no ma, as o ganizações que ap esen am
a ce i icação da no ma es ão “a meio caminho” da con o midade com o RGPD. Po an o, o ganizações
que já ap esen am uma es u u a de e e ência ISO 27001:2013, não so e ão a duplicação de es o ço
ou e abalho, cus os adicionais e empo de o ma a cump i os equisi os do egulamen o.
Po ou o lado, exis em equisi os especí icos do egulamen o não cobe os pelos con olos da no ma
associados com a p i acidade de dados elacionado com os di ei os do i ula dos dados, sendo eles:
➢ Consen imen o (Capí ulo 2, A igo 7 do RGPD);
➢ Di ei o de po abilidade dos dados (Capí ulo 3, Secção 3, A igo 20 do RGPD);
➢ Cump imen o dos di ei os ARCO:
o Di ei o de acesso à in o mação (Capí ulo 3, Secção 2, A igos 15 do RGPD);
o Di ei o de e i icação (Capí ulo 3, Secção 3, A igos 16 do RGPD);
o Di ei o ao apagamen o dos dados (“di ei o de se esquecido”) (Capí ulo 3,
Secção 3, A igo 17 do RGPD);
o Di ei o de oposição (Capí ulo 3, Secção 4, A igo 21 do RGPD);
➢ Di ei o à limi ação do a amen o (Capí ulo 3, Secção 3, A igo 18 do RGPD);
➢ T ans e ências de dados pessoais pa a países e cei os ou o ganizações in e nacionais
(Capí ulo 5 do RGPD);
Pa a além des es di ei os do i ula dos dados, exis em ou os equisi os especí icos que a Rangel
necessi a de ende eça :
• A aliação de impac o das ope ações de a amen o susce í eis de implica um ele ado
isco pa a os di ei os e libe dades das pessoas singula es (Capí ulo 4, Secção 3, A igo
35 do RGPD);
• Elabo ação de um plano de comunicação (ao i ula dos dados e au o idades de con olo)
de iolações de dados pessoais (Capí ulo 4, Secção 2, A igos 33 e 34 do RGPD);
• Nomeação de um DPO;
Es e úl imo, oi um equisi o p on amen e aba ido pela Rangel a a és da nomeação de uma colabo ada
ex e na pa a o ca go - Ca a ina Aze edo - licenciada em Di ei o com pós-g aduação em segu ança da
in o mação.
• Cump imen o dos equisi os de a amen o de ca ego ias especiais de dados pessoais;
84
• Cump imen o dos p incípios ela i os ao a amen o de dados pessoais, ais como:
lici ude, lealdade e anspa ência, limi ação das inalidades, minimização dos dados,
exa idão, limi ação da conse ação, in eg idade e con idencialidade e esponsabilidade
do esponsá el pelo a amen o;

85
8. AÇÕES EXECUTADAS E RESULTADOS*
Nes e capí ulo é demons ado a ealização de algumas ações inse idas no plano de ações das inicia i as
p opos as no capí ulo 6, de o ma a execu a o Roadmap p opos o (secção 7.1), pelo que é espe ado
uma melho ia no ní el de ma u idade dos sis emas de in o mação e, consequen emen e, uma maio
con o midade com o RGPD.
Aqui, se á possí el obse a odas as ações conc e izadas ao longo do pe íodo de in es igação na Rangel.
8.1 Ações ealizadas pa a a Inicia i a nº1
De manei a a cump i o plano de ações da inicia i a nº1 - P omo e a Segu ança de In o mação na
O ganização – iquei esponsá el na pa icipação da elabo ação da polí ica (Apêndice 2). Não só a polí ica
pa a a segu ança da in o mação é uma g ande passo pa a o aumen o do ní el de ma u idade de
segu ança e mui o impo an e pa a a execução do Roadmap p opos o, mas ambém, é um documen o
que pe ence ao conjun o de documen os ob iga ó ios no SGSI pa a a ce i icação da no ma.
Es a a e a oi execu ada pela DPO e pelo in es igado , sob a supe isão do Engenhei o-che e Luís
Co eia, e es ando concluída, es a ica, assim, a cump i o equisi o R.5.2 e o con olo de segu ança da
no ma A.5.1.1.
Adicionalmen e a es a ação, uma ou a ação complemen a su giu no âmbi o aumen a a ma u idade de
segu ança da in o mação e, consequen emen e, de o ma a ga an i um maio alinhamen o com o RGPD.
• Re e Ins uções/Poli icas pa a a adoção de boas p á icas quan o ao uso de e amen as
co po a i as (ex. po á il, co eio ele ónico, con ac os, e c.), endo em is a p omo e o desuso
do email pa a ins pessoais e o egis o e a mazenamen o de con ac os e ichei os localmen e.
A ualmen e, cada colabo ado possui os “seus” con ac os no Ou look (e os disposi i os mó eis
es ão sinc onizados) o que inc emen a o isco de pe da ou exposição;
De o ma a cump i a ealização des a ação, oi elabo ado duas ins uções de abalho (Apêndice 3)
sob e o uso da e amen a co po a i a
Oned i e
, com o im de esponde à ação p opos a em cima, e
uma a ualização na polí ica de disposi i os mó eis.
8.2 Ações ealizadas pa a a Inicia i a nº2
À luz do plano de ações da inicia i a nº2 - Modelo de Go e nança – oi es abelecido um plano de
comunicações que ga an e o con ac o pe manen e en e odas as pa es in e essadas, equipa in e na os
seus congéne es nos subcon a ados e a en idade de con olo (CNPD). Pos e io men e, es e plano é
inco po ado e ele an e no plano de espos a a inciden es, pelo que na iden i icação de inciden es, caso
86
exis a a iolação de dados pessoais (ex. uga de dados) o mesmo p ocedimen o ap esen ado no Apêndice
4 de e se seguido.
• Desen ol e um plano de comunicação que ga an a o con a o pe manen e en e a equipa
in e na, os seus congéne es nos subcon a ados e a en idade de con olo (CNPD)
8.3 Ações ealizadas pa a a Inicia i a nº6
De manei a a cump i o plano de ações da inicia i a nº6 - P og ama de Consciencialização pa a a
Segu ança da In o mação – p imei amen e, oi delineado que pa a cada no o colabo ado que osse
admi ido na o ganização, e ia que pa icipa , não só numa o mação sob e o egulamen o ge al de
p o eção de dados, como ambém numa o mação sob e segu ança da in o mação.
A p imei a o mação é p esen eada pela DPO, onde o pa icipan e ica a pa sob e os concei os ge ais
do egulamen o, que en ou em igo a pa i de maio de 2018, como os p incípios, consen imen o,
dados pessoais, dados sensí eis, in e enien es, suas ob igações e esponsabilidades, e po im as
coimas. Po exemplo, a o mação eponde a algumas pe gun as como:
• O que é o RGPD?
• Quem de e cump i o egulamen o?
• A di e ença en e p o eção de dados e Cibe segu ança;
• O que são dados pessoais? E exemplos;
• O que são a i idades de a amen o?
• Quando é que se pode ecolhe e a a dados?
• Quais são os di ei os dos i ula es?
• En e ou as
A segunda o mação ambém se inse e no plano de o mação inicial de um no o colabo ado p esen eada
po um elemen o da equipa de segu ança da in o mação. Es a o mação ab ange á ios campos da
segu ança da in o mação com o obje i o de in o ma o pa icipan e de uma o ma ge al. Nes a o mação
são abo dados emas como os p incípios da segu ança da in o mação, a aques in o má icos, suas o mas
e obje i os, pa a além de cuidados a e e exemplos de boas p á icas em di e sas ocasiões e locais:
• Pala as-passe e o acesso à in o mação;
• Pos o de abalho (“
Clean desk
”);
• Compu ado Pessoal;
• Documen os;
• Co eio ele ónico;
87
• Na egação na in e ne ;
• Comunicação;
• Disposi i os mó eis;
• In e ação com pa cei os ex e nos (an es do con a o, du an e a elação de negócio;
e minada a elação de negócio);
• Des uição de dados,
• Acesso emo o e ele abalho;
• Redução de iscos (compo amen o segu o e indícios suspei os)
Adicionalmen e, de modo a cump i o plano de ações da inicia i a, oi c iado um simulac o pa a es a ,
em e mos ope acionais, a boa adoção dos p ocedimen os e p á icas dos colabo ados ap endidos nas
o mações indicadas an e io men e. Es e es e desen ol e-se no âmbi o de a alia a capacidade de
denúncias e epo a compo amen os e indícios suspei os nas a i idades de co eio ele ónico. Vis o is o,
o simulac o de ine-se po um en io de um e-mail po uma en idade ex e na, ou seja, uma en a i a
Phising
, a aze -se passa po um colabo ado da Rangel de um depa amen o di e en e, nes e caso dos
ecu sos humanos da o ganização.
Figu a 33 - Simulac o - En io de email malicioso
88
P imei amen e, oi ealizado um es e inicial a odos os elemen os da equipa de segu ança de in o mação.
De odos as mensagens ele ónicas en iadas, nes e caso, um o al de 7, odas as 7 o am epo adas
co e amen e.
Figu a 34 - P ocedimen o co e o de denúncia Phising
Pode-se conclui que odos os elemen os da equipa de segu ança de in o mação encon am-se a pa das
boas p á icas de segu ança da in o mação, uma ez que 100% das en a i as de in il ação o am
deligadas co e amen e. Con a iamen e, quando o es e oi, pos e io men e, p opos o a ou os
colabo ados, um o al de 150 colabo ado es de á ias LoB escolhidos alea o iamen e, apenas 71
colabo ados o am capazes de epo a co e amen e. Cu iosamen e, des es 150 colabo ado es, 38
colabo ado es clica am no link que supos amen e os concedia mais 1 dia de é ias que não inham a é
ao momen o des u ado, assumindo assim, que os es an es 41 colabo ado es igno am o e-mail, o que
po um lado, não é e ado, uma ez que assim, não coloca em isco di e amen e a segu ança da
o ganização, no en an o, não é a melho p á ica. Assim, os dados inais des e es e, apon am que 47%dos
colabo ados denuncia am co e amen e sob e es a en a i a de in il ação, 25% dos colabo ados não
es ão amilia izados com a boas p a icas de denuncias de a i idades suspei as e ou os 27% igno a am
ou decidi am olun a iamen e não denuncia nem clica no link inse ido no e-mail malicioso.
95
Depois da ob enção da ce i icação da no ma, é necessá io man e e cump i as ações que azem pa e
do plano de moni o ização do SGSI, nomeadamen e, a ealização de a aliações de isco egula es, planos
de eino e o mação, cump i o plano de audi o ias in e nas, ea aliações ambém egula es e en e
ou as ações. Só des e modo é que se possí el man e e um SGSI uncional e e icaz.

96
REFERÊNCIAS BIBLIOGRÁFICAS
Acce boni, F., & Sa o , M. (2019).
Quali y Managemen : Tools, Me hods, and S anda ds
.
AlGhamdi, S., Win, K. T., & Vlahu-Gjo gie ska, E. (2020). In o ma ion secu i y go e nance challenges and
c i ical success ac o s: Sys ema ic e iew.
Compu e s and Secu i y
,
99
, 102030.
h ps://doi.o g/10.1016/j.cose.2020.102030
Amo im, A. C., Mi a da Sil a, M., Pe ei a, R., & Gonçal es, M. (2021). Using agile me hodologies o
adop ing COBIT.
In o ma ion Sys ems
,
101
, 101496. h ps://doi.o g/10.1016/j.is.2020.101496
Becke s, K., Cô é, I., Faßbende , S., Heisel, M., & Ho baue , S. (2013). A pa e n-based me hod o
es ablishing a cloud-speci ic in o ma ion secu i y managemen sys em: Es ablishing in o ma ion
secu i y managemen sys ems o clouds conside ing secu i y, p i acy, and legal compliance. In
Requi emen s Enginee ing
(Vol. 18, Issue 4). h ps://doi.o g/10.1007/s00766-013-0174-7
Ca usoglu, H., Mish a, B., & Raghuna han, S. (2004). The e ec o in e ne secu i y b each
announcemen s on ma ke alue: Capi al ma ke eac ions o b eached i ms and in e ne secu i y
de elope s.
In e na ional Jou nal o Elec onic Comme ce
,
9
(1), 70–104.
h ps://doi.o g/10.1080/10864415.2004.11044320
Chaudhu i, A. (2016). In e ne o hings da a p o ec ion and p i acy in he e a o he Gene al Da a
P o ec ion Regula ion.
Jou nal o Da a P o ec ion & P i acy
,
1
(1), 64–75.
h ps://www.ingen aconnec .com/con en /hsp/jdpp/2016/00000001/00000001/a 00009
de Oli ei a Albuque que, R., Ga cía Villalba, L. J., Sando al O ozco, A. L., de Sousa Júnio , R. T., & Kim,
T. H. (2016). Le e aging in o ma ion secu i y and compu a ional us o cybe secu i y.
Jou nal o
Supe compu ing
,
72
(10), 3729–3763. h ps://doi.o g/10.1007/s11227-015-1543-4
Diaman opoulou, V., Tsohou, A., & Ka yda, M. (2020). F om ISO/IEC27001:2013 and
ISO/IEC27002:2013 o GDPR compliance con ols.
In o ma ion and Compu e Secu i y
,
28
(4),
645–662. h ps://doi.o g/10.1108/ICS-01-2020-0004
Dis e e , G. (2013).
ISO / IEC 27000 , 27001 and 27002 o In o ma ion Secu i y Managemen
.
2013
(Ap il), 92–100.
Eiche , L. D., Kue , W., Ma échal, R., G ey, V., F on a d, R., S u en, O., Tho , A., & Ba chie o, R. (1997).
Recollec ions om ISO ’ s i s i y yea s
. h p://www.iso.o g/iso/home/abou / he_iso_s o y.h m
En, N. P. (2015).
No o m ma Po o u ugu uesa a
.
Fe ei a, C., Ne y, A., & Pinhei o, P. R. (2016). A Mul i-C i e ia Model in In o ma ion Technology
In as uc u e P oblems.
P ocedia Compu e Science
,
91
(Decembe ), 642–651.
h ps://doi.o g/10.1016/j.p ocs.2016.07.161
Gomes, J. (2018).
In o ma ion Sys em Ma u i y Models in Heal hca e
.
Ha dy, G. (2006). Using IT go e nance and COBIT o deli e alue wi h IT and espond o legal, egula o y
and compliance challenges.
In o ma ion Secu i y Technical Repo
,
11
(1), 55–61.
h ps://doi.o g/10.1016/j.is .2005.12.004
Hje ppe, K., Ruohonen, J., & Leppänen, V. (2019). The gene al da a p o ec ion egula ion: Requi emen s,
a chi ec u es, and cons ain s.
P oceedings o he IEEE In e na ional Con e ence on Requi emen s
Enginee ing
,
2019
-
Sep embe
, 265–275. h ps://doi.o g/10.1109/RE.2019.00036
Hochs ein, A. (2005).
Se ice O ien ed IT Managemen
: Bene i , Cos and Success Fac o s
.
Iden, J., & Eikeb okk, T. R. (2013). Implemen ing IT Se ice Managemen : A sys ema ic li e a u e e iew.
In e na ional Jou nal o In o ma ion Managemen
,
33
(3), 512–523.
h ps://doi.o g/10.1016/j.ijin omg .2013.01.004
ISACA. (2012). Enabling P ocesses. In
Cobi 5
.
Ke , D. S., & Mu hy, U. S. (2013). The impo ance o he CobiT amewo k IT p ocesses o e ec i e
in e nal con ol o e inancial epo ing in o ganiza ions: An in e na ional su ey.
In o ma ion and
Managemen
,
50
(7), 590–597. h ps://doi.o g/10.1016/j.im.2013.07.012
97
Ku nian o, A., Isnan o, R., & Widodo, A. P. (2018). Assessmen o In o ma ion Secu i y Managemen
Sys em based on ISO/IEC 27001:2013 On Subdi ec o a e o Da a Cen e and Da a Reco e y Cen e
in Minis y o In e nal A ai s.
E3S Web o Con e ences
,
31
, 0–5.
h ps://doi.o g/10.1051/e3scon /20183111013
La ocha, E. R., Mingue , J. M., Díaz, G., Cas o, M., & Va a, A. (2010). Filling he gap o In o ma ion
Secu i y Managemen inside ITIL®: P oposals o posg adua e s uden s.
2010 IEEE Educa ion
Enginee ing Con e ence, EDUCON 2010
, 907–912.
h ps://doi.o g/10.1109/EDUCON.2010.5492480
Lopes, I. M., Gua da, T., & Oli ei a, P. (2019). Implemen a ion o ISO 27001 S anda ds as GDPR
Compliance Facili a o .
Jou nal o In o ma ion Sys ems Enginee ing & Managemen
,
4
(2), 2–9.
h ps://doi.o g/10.29333/jisem/5888
Mahy, Y., Ouzzi , M., & Bou agba, K. (2017). Suppo ing ITIL p ocesses implemen a ion using business
p ocess managemen sys ems.
P oceedings - 2016 3 d In e na ional Con e ence on Sys ems o
Collabo a ion, SysCo 2016
, 31–34. h ps://doi.o g/10.1109/SYSCO.2016.7831338
Managemen , I. (n.d.).
IT GOVERNANCE IN DIGITAL TRANSFORMATION A COBIT 5 o e iew acco ding
IDC Ma u i yscape Ana Ca a ina Saldanha Je ónimo
.
Ma k Saunde s, Philip Lewis, A. T. (2012). Resea ch me hods o business s uden s. In
In e na ional
Jou nal o he His o y o Spo
(Vol. 30, Issue 1). h ps://pd co ee.com/ esea ch-me hods- o -
business-s uden s-7 h-edi ion-2015-ma k-n-k-saunde s-philip-lewis-ad ian- ho nhill-pd - ee.h ml
McNaugh on, B., Ray, P., & Lewis, L. (2010). Designing an e alua ion amewo k o IT se ice
managemen .
In o ma ion and Managemen
,
47
(4), 219–225.
h ps://doi.o g/10.1016/j.im.2010.02.003
Nabil Almunawa , M., Susan o, H., & Chee Tuan, Y. (2011). In o ma ion secu i y managemen sys em
s anda ds: A compa a i e s udy o he big i e.
In e na ional Jou nal o Elec ical & Compu e
Sciences IJECS-IJENS
,
11
.
O’B ien, R. (1998). An o e iew o he me hodological app oach o ac ion Resea ch.
Uni e si y o To on o
,
1–15.
O hman, M., Ahmad, M. N., Suliman, A., A shad, N. H., & Maidin, S. S. (2014). COBIT p inciples o
go e n lood managemen .
In e na ional Jou nal o Disas e Risk Reduc ion
,
9
, 212–223.
h ps://doi.o g/10.1016/j.ijd .2014.05.012
Ozdemi , Y., Basligil, H., Alcan, P., & Kandemi li, B. M. (2014).
E alua ion and Compa ison o Cobi , I il
and Iso27K1 / 2 S anda ds Wi hin he
.
11
(11), 22–24.
PMI. (2017).
Agile P ac ice Guide
(P ojec Managemen Ins i u e (ed.); Fi s Edi ). P ojec Managemen
Ins i u e, Inc.
Poli ou, E., Alepis, E., & Pa sakis, C. (2018). Fo ge ing pe sonal da a and e oking consen unde he
GDPR: Challenges and p oposed solu ions.
Jou nal o Cybe secu i y
,
4
(1), 1–20.
h ps://doi.o g/10.1093/cybsec/ yy001
Polla d, C., & Ca e -S eel, A. (2009). Jus i ica ions, s a egies, and c i ical success ac o s in success ul
ITIL implemen a ions in U.S. and Aus alian companies: An explo a o y s udy.
In o ma ion Sys ems
Managemen
,
26
(2), 164–175. h ps://doi.o g/10.1080/10580530902797540
Quse , A., A a a , M., & Al-Tahe , S. (2018). O ganiza ional managemen ole in in o ma ion secu i y
managemen sys em.
ACM In e na ional Con e ence P oceeding Se ies
.
h ps://doi.o g/10.1145/3231053.3231064
Rezakhani, A., Hajebi, A., & Mohammadi, N. (2011). S anda diza ion o all In o ma ion Secu i y
Managemen Sys ems.
In e na ional Jou nal o Compu e Applica ions
,
18
(8), 4–8.
h ps://doi.o g/10.5120/2307-2592
Samonas, S., & Coss, D. (2014). The CIA s ikes back: ede ining con iden iali y, in eg i y and a ailabili y
in secu i y.
Jou nal o In o ma ion Sys em Secu i y - JISSec
,
10
(3), 21–45. www.jissec.o g
98
Sheikhpou , R., & Modi i, N. (2012). A bes p ac ice app oach o in eg a ion o ITIL and ISO/IEC 27001
se ices o in o ma ion secu i y managemen .
Indian Jou nal o Science and Technology
,
5
(2),
2170–2176. h ps://doi.o g/10.17485/ijs /2012/ 5i3.1
Si u , S., Nu se, J. R. C., & Webb, H. (2018). A e we he e ye ? Unde s anding he challenges aced in
complying wi h he Gene al Da a P o ec ion Regula ion (GDPR).
P oceedings o he ACM Con e ence
on Compu e and Communica ions Secu i y
,
iii
, 88–95.
h ps://doi.o g/10.1145/3267357.3267368
Tan, W.-G., Ca e -S eel, A., Toleman, M., & Seanige , R. (2007). Associa ion o In o ma ion Sys ems AIS
Elec onic Lib a y (AISeL) Implemen ing Cen alised IT Se ice Managemen : D awing Lessons om
he Public Sec o .
Acis 2007
, 10. h p://aisel.aisne .o g/acis2007
Tan, W. G., Ca e -S eel, A., & Toleman, M. (2009). Implemen ing i se ice managemen : A case s udy
ocussing on c i ical success ac o s.
Jou nal o Compu e In o ma ion Sys ems
,
50
(2), 1–12.
h ps://doi.o g/10.1080/08874417.2009.11645379
Taylo , G., & Eas . (2013). Running Head: I il V3 Imp o es In o ma ion Secu i y Managemen .
Jou nal o
Chemical In o ma ion and Modeling
,
53
(9), 1689–1699.
Tikkinen-Pi i, C., Rohunen, A., & Ma kkula, J. (2018). EU Gene al Da a P o ec ion Regula ion: Changes
and implica ions o pe sonal da a collec ing companies.
Compu e Law and Secu i y Re iew
,
34
(1),
134–153. h ps://doi.o g/10.1016/j.cls .2017.05.015
Von Solms, B. (2005). In o ma ion Secu i y go e nance: COBIT o ISO 17799 o bo h?
Compu e s and
Secu i y
,
24
(2), 99–104. h ps://doi.o g/10.1016/j.cose.2005.02.002
Wegmann, A., Rege , G., Ga e , G. A., & Ma échal, F. (2008). Speci ying se ices o ITIL se ice
managemen .
2008 In e na ional Wo kshop on Se ice-O ien ed Compu ing: Consequences o
Enginee ing Requi emen s, SOCCER’08
, 8–14. h ps://doi.o g/10.1109/SOCCER.2008.7
Za a , H., Ko, M. S., & Osei-B yson, K. M. (2016). The alue o he CIO in he op managemen eam on
pe o mance in he case o in o ma ion secu i y b eaches.
In o ma ion Sys ems F on ie s
,
18
(6),
1205–1215. h ps://doi.o g/10.1007/s10796-015-9562-5
99
APÊNDICE 1 – COMPARAÇÃO ENTRE O ESTADO ATUAL AS-IS E O ESTADO FUTURO TO-BE
Figu a 36 – Compa ação do es ado de ma u idade global en e o es ado a ual e o es ado u u o da dimensão Visão
Figu a 37 – Compa ação en e o es ado a ual e o es ado u u o pa a as subdimensões da dimensão Visão
2,75
4
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Ma u ida Global da Dimensão
Dimensão Visão
Es ado A ual Es ado Fu u o
0
1
2
3
4
5
Obje i os de negócio
Obje i os de segu ança
Fiscalização egula ó ia
Finanças/Economia
Es ados de Ma u idade das Sub-dimensões de Visão
Es ado A ual Es ado Fu u o
100
Figu a 38 - Compa ação do es ado de ma u idade global en e o es ado a ual e o es ado u u o da dimensão Ges ão do Risco
Figu a 39 – Compa ação en e o es ado a ual e o es ado u u o pa a as subdimensões da dimensão Ges ão do Risco
2,25
3,75
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Ma u ida Global da Dimensão
Dimensão Ges ão do Risco
Es ado A ual Es ado Fu u o
0
1
2
3
4
5
Obje i os de negócio
Obje i os de segu ança
Fiscalização egula ó ia
Finanças/Economia
Es ados de Ma u idade das Sub-dimensões de Ges ão do
Risco
Es ado A ual Es ado Fu u o

101
Figu a 40 - Compa ação do es ado de ma u idade global en e o es ado a ual e o es ado u u o da dimensão Pessoas
Figu a 41 – Compa ação en e o es ado a ual e o es ado u u o pa a as subdimensões da dimensão Pessoas
2,25
3,5
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Ma u ida Global da Dimensão
Dimensão Pessoas
Es ado A ual Es ado Fu u o
0
1
2
3
4
5
Lide ança Execu i a
Cul u a o ganizacional
Execu i os de segu ança
(CISO)
Con a ação de e cei os
pa a segu ança
Es ados de Ma u idade das Sub-dimensões de Pessoas
Es ado A ual Es ado Fu u o
102
Figu a 42 – Compa ação do es ado de ma u idade global en e o es ado a ual e o es ado u u o da dimensão P ocessos
Figu a 43 – Compa ação en e o es ado a ual e o es ado u u o pa a as subdimensões da dimensão P ocessos
2
4
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Ma u ida Global da Dimensão
Dimensão P ocessos
Es ado A ual Es ado Fu u o
0
1
2
3
4
5
Ges ão de con iança
Ges ão de iden idade
Ges ão de ulne abilidades
Ges ão de ameaças
Es ados de Ma u idade das Sub-dimensões de P ocessos
Es ado A ual Es ado Fu u o
103
Figu a 44 – Compa ação do es ado de ma u idade global en e o es ado a ual e o es ado u u o da dimensão Tecnologias de Segu ança
Figu a 45 – Compa ação en e o es ado a ual e o es ado u u o pa a as subdimensões da dimensão Tecnologias de Segu ança
2
3
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
Ma u ida Global da Dimensão
Dimensão Tecnologias de Segu ança
Es ado A ual Es ado Fu u o
0
1
2
3
4
5
Ges ão de iden idade
Ges ão de ulne abilidades
Ges ão de ameaças
Ges ão de con iança
Es ados de Ma u idade das Sub-dimensões de Tecnologias
de Segu ança
Es ado A ual Es ado Fu u o
104
APÊNDICE 2 – POLÍTICA DE PRIVACIDADE, PROTEÇÃO DE DADOS E SEGURANÇA
Figu a 46 - Polí ica de P i acidade, p o eção de dados e segu ança (página 1/7)
111
APÊNDICE 4 – PROCEDIMENTO DE COMUNICAÇÃO NUMA VIOLAÇÃO DE DADOS
Figu a 53 - P ocedimen o de comunicação em caso de uma iolação de dados (página 1/2)

112
Figu a 54 - P ocedimen o de comunicação em caso de uma iolação de dados (página 2/2)
113
APÊNDICE 5 – INSTRUÇÃO DE TRABALHO PARA O PLANO DE CONTINUIDADE DE NEGÓCIO
Nes e apêndice, são ap esen adas as ins uções de abalho pa a a con inuidade de negócio. Na Figu a
55 es á ep esen ado o Disas e Reco e y do Da acen e . Po mo i os de con idencialidade, apenas é
ap esen ado a p imei a página de um o al de 10.
Figu a 55 - Ins ução de abalho - Disas e Reco e y do Da acen e
114
A ins ução de abalho “Ges ão de Backups de Dados” es á ep esen ada na Figu a 56 e Figu a 57.
Figu a 56 - Ins ução de abalho - Ges ão de Backups de Dados (página 1/2)
115
Figu a 57 - Ins ução de abalho - Ges ão de Backups de Dados (página 2/2)
116
ANEXO 1 – OBJETIVOS DE CONTROLO E CONTROLOS DA ISO/IEC 27001:2013
Figu a 59 - Anexo A - ISO 27001:2013 (página 16/32)
Figu a 58 - Anexo A - ISO 27001:2013 (página 17/32)

117
Figu a 61 - Anexo A - ISO 27001:2013 (página 18/32)
Figu a 60 - Anexo A - ISO 27001:2013 (página 19/32)
118
Figu a 63 - Anexo A - ISO 27001:2013 (página 20/32)
Figu a 62 - Anexo A - ISO 27001:2013 (página 21/32)
119
Figu a 64 - Anexo A - ISO 27001:2013 (página 22/32)
Figu a 65 - Anexo A - ISO 27001:2013 (página 23/32)
120
Figu a 66 - Anexo A - ISO 27001:2013 (página 24/32)
Figu a 67 - Anexo A - ISO 27001:2013 (página 25/32)