Objetivo:

Estruturar governança, processos e indicadores para alinhar segurança e privacidade aos objetivos de negócio e conformidade.

• Definir modelo de governança (comitês, RACI, três linhas de defesa, indicadores).

• Operar gestão de riscos (catálogo, avaliação, tratamento, aceite/exceções).

• Conectar GRC a SecOps, projetos, terceiros e privacidade (LGPD/27701).

• Construir pacotes executivos (one-pager, heatmap, decisões).

• Estabelecer ciclo de auditorias e melhoria contínua.

Carga Horária:

5 horas

Conteúdo:

1- Fundamentos de GRC em Segurança

1.1- Conceitos e escopo de GRC; relação com governança corporativa e de TI (COBIT)

1.2- Papéis e responsabilidades (Alta Direção, Comitês, CISO, DPO, Risk Owners)

1.3- Três Linhas de Defesa aplicadas à segurança e privacidade

2- Normas e Frameworks de Referência

2.1- ISO/IEC 27001 e 27002 (controles)

2.2- ISO/IEC 27005 e ISO 31000 (gestão de riscos)

2.3- NIST CSF 2.0 e CIS Controls v8

2.4- ISO/IEC 27701 (privacidade)

2.5- ISO 22301 (BCM) e ISO/IEC 27031 (prontidão TIC)

2.6- LGPD e panorama regulatório setorial (visão geral)

3- Estrutura de Governança de Segurança e Privacidade

3.1- Políticas, normas, procedimentos e padrões técnicos

3.2- Comitês de Segurança/Privacidade e reporte à Alta Direção

3.3- Gestão de identidades de papéis (RACI) e accountability

3.4- Cultura, conscientização e treinamento contínuo

4- Gestão de Riscos Cibernéticos

4.1- Critérios: apetite, tolerância, impacto e probabilidade

4.2- Processo ISO 27005/ISO 31000 (contexto → tratamento)

4.3- Catálogo de ameaças, cenários e análise de controles existentes

4.4- Risco de terceiros e cadeia de suprimentos (inclui cloud)

4.5- Riscos de privacidade e avaliação de impacto (RIPD/DPIA)

4.6- Risco operacional e de continuidade (BIA, dependências críticas)

4.7- Priorização e roadmap (qualitativo/semiquantitativo)

5- Conformidade (Compliance) e Auditorias

5.1- Mapeamento de requisitos legais, regulatórios e contratuais

5.2- SOA (Statement of Applicability) e matriz de controles

5.3- Evidências, trilhas de auditoria e gestão de exceções

5.4- Auditoria interna/externa, não conformidades e ações corretivas

6- Controles, Métricas e Maturidade

6.1- Seleção e priorização de controles baseada em risco (ISO/NIST/CIS)

6.2- KPIs, KRIs e OKRs executivos; painéis e storytelling de risco

6.3- Modelos de maturidade e ciclos de melhoria contínua

6.4- Governança de dados, classificações e ciclo de vida da informação

7- Gestão de Terceiros e Contratos

7.1- Due diligence, critérios de criticidade e avaliações periódicas

7.2- Requisitos contratuais de segurança/privacidade e SLAs

7.3- Monitoramento contínuo, evidências e offboarding de fornecedores

8- Integração GRC ↔ SecOps e Engenharia

8.1- Gestão de vulnerabilidades e patches orientada a risco

8.2- Gestão de incidentes, lições aprendidas e mudanças

8.3- Inventário/CMDB, hardening e DevSecOps (ponte com times técnicos)

9- Continuidade, Resiliência e Crise

9.1- BIA e estratégias de continuidade (ISO 22301)

9.2- Prontidão TIC (ISO/IEC 27031), DRP e testes

9.3- Gestão de crises, comunicação e stakeholders

10- Privacidade no Programa de GRC

10.1- Programa de privacidade (LGPD): bases legais, direitos, princípios

10.2- Privacy by design/default, minimização e retenção

10.3- Governança de consentimento, direitos do titular e incidentes de DP

11- Comunicação Executiva e Engajamento

11.1- Relatórios ao Conselho/Diretoria, heatmaps e cenários

11.2- Business cases, priorização de investimentos e ROI de segurança

12- Treinamento e Conscientização em Segurança e Privacidade

12.1 Fundamentos e referências

12.2 Estratégia do programa

12.3 Matriz de trilhas por perfil

12.4 Currículo mínimo e conteúdos-chave

12.5 Metodologias e formatos

12.6 Simulações e prática

12.7 Comunicação e engajamento

12.8 Métricas, eficácia e melhoria contínua

12.9 Governança e evidências

12.10 Implantação e operação

12.11 Artefatos do curso

13- Oficina e Artefatos Práticos

13.1- Construção de matriz de riscos e critérios

13.2- SOA e matriz de conformidade (exemplo guiado)

13.3- Plano de tratamento e roadmap trimestral

13.4- Modelo de dashboard executivo de riscos e conformidade

13.5- Modelos: Política de SI, Matriz RACI, Due diligence de terceiros, Checklists de auditoria, RIPD