Capa do Ebook gratuito LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

Novo curso

16 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Preservação de evidências, registro de decisões e prontidão para auditoria

Capítulo 15

Tempo estimado de leitura: 13 minutos

+ Exercício

Preservação de evidências: por que existe e o que deve cobrir

Preservar evidências é garantir que informações relevantes para demonstrar conformidade, apurar fatos e sustentar decisões permaneçam disponíveis, íntegras, rastreáveis e compreensíveis ao longo do tempo. Em LGPD e Segurança da Informação, evidência não é apenas “log” ou “documento”: é qualquer artefato que comprove que uma atividade ocorreu (ou não ocorreu), em qual contexto, com quais responsáveis, sob quais critérios e com qual resultado.

Na prática, a preservação de evidências serve a três objetivos principais: (1) suportar auditorias internas e externas, (2) sustentar investigações e análises forenses quando necessário, e (3) demonstrar diligência e responsabilidade (accountability) perante a ANPD, titulares e parceiros. Isso exige disciplina operacional: saber o que coletar, como proteger, por quanto tempo manter, como localizar rapidamente e como explicar o significado de cada evidência.

Um erro comum é tratar evidência como “arquivo guardado em pasta”. Evidência útil precisa de contexto: data, origem, responsável, versão, relação com um processo e com uma decisão. Sem isso, o material pode existir, mas não “prova” nada com segurança.

Tipos de evidências mais comuns em conformidade e segurança

  • Evidências de governança e gestão: atas de comitês, registros de aprovação de políticas, designações de papéis e responsabilidades, planos de ação e acompanhamento.
  • Evidências de operação: tickets de mudanças, registros de execução de rotinas, checklists de controles, relatórios de varreduras e testes, evidências de treinamento aplicado (lista de presença, trilhas concluídas, avaliações).
  • Evidências de risco e decisão: análises de risco, avaliações de impacto quando aplicável, justificativas de exceção, pareceres e recomendações, decisões e seus critérios.
  • Evidências técnicas: configurações exportadas, relatórios de ferramentas, snapshots de parâmetros, evidências de integridade (hash), registros de eventos relevantes, capturas de tela controladas e datadas quando necessário.
  • Evidências contratuais e de relacionamento: aditivos, aprovações de cláusulas, registros de due diligence, comunicações formais sobre requisitos.

Princípios práticos para evidências que “se sustentam” em auditoria

Integridade e imutabilidade (quando necessário)

Integridade significa que a evidência não foi alterada desde sua coleta. Para itens críticos (por exemplo, evidências usadas em investigação), é recomendável aplicar mecanismos de imutabilidade: armazenamento WORM (write once, read many), trilhas de versionamento, assinaturas digitais, carimbo do tempo e cálculo de hash (ex.: SHA-256) registrado em local separado. Nem toda evidência precisa ser imutável, mas deve ser possível demonstrar controle de alterações e histórico de versões.

Cadeia de custódia

Cadeia de custódia é o registro de quem coletou, acessou, transferiu e armazenou uma evidência, quando e por quê. Ela reduz disputas sobre autenticidade e evita contaminação (alteração acidental, perda de contexto, acesso indevido). Mesmo em ambientes corporativos, uma cadeia de custódia simples (formulário e trilha de aprovações) já aumenta muito a robustez do processo.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

Reprodutibilidade e verificabilidade

Uma evidência forte permite verificação independente. Exemplos: um relatório exportado com identificador único e parâmetros de geração; um print acompanhado do link para o registro original; um arquivo de configuração acompanhado do comando usado para exportação e do hash do arquivo.

Proporcionalidade e minimização de exposição

Preservar evidências não significa coletar “tudo” nem replicar dados pessoais sem necessidade. Evidências devem ser proporcionais ao risco e ao objetivo. Sempre que possível, preserve metadados e indicadores (por exemplo, IDs, timestamps, status) em vez de conteúdo sensível. Quando a evidência inevitavelmente contiver dados pessoais, aplique controles de acesso, segregação e mascaramento quando aplicável, além de registrar a finalidade daquela preservação.

Passo a passo: como estruturar um processo de preservação de evidências

1) Defina o escopo e a taxonomia de evidências

Crie um catálogo simples de evidências por processo (ex.: gestão de mudanças, gestão de acessos, gestão de riscos, atendimento ao titular, gestão de incidentes, gestão de terceiros). Para cada item, descreva: nome, objetivo, formato (PDF, CSV, export, ticket), fonte, responsável por gerar, periodicidade e criticidade.

Exemplo prático: para “aprovação de exceção de controle”, defina que a evidência mínima inclui: formulário de solicitação, análise de risco, aprovação do responsável, prazo de validade da exceção e plano de mitigação.

2) Padronize metadados obrigatórios

Sem metadados, a evidência vira “arquivo solto”. Defina campos obrigatórios para indexação e busca: processo relacionado, data/hora, sistema de origem, responsável, classificação (confidencialidade), retenção, e referência a ticket/ID de decisão.

Dica operacional: use um padrão de nomenclatura e um formulário de registro para evidências críticas. Mesmo que o armazenamento seja automatizado, o registro deve permitir localizar rapidamente “o que prova o quê”.

3) Estabeleça um repositório controlado e trilha de acesso

Centralize evidências em repositórios com controle de acesso por função, versionamento e registro de acesso. Evite armazenar evidências em dispositivos pessoais, e-mails ou chats. Para evidências sensíveis, use áreas segregadas e acesso temporário com justificativa.

Exemplo prático: evidências de auditoria ficam em uma biblioteca com permissões por grupo (Auditoria, Segurança, Jurídico), com logs de acesso e bloqueio de exclusão sem aprovação.

4) Defina critérios de coleta e “gatilhos”

Nem tudo precisa ser coletado continuamente. Defina gatilhos: mudanças relevantes, exceções, falhas de controle, eventos de risco, auditorias agendadas, solicitações regulatórias. Para cada gatilho, determine o que coletar e quem aciona o processo.

Exemplo prático: ao aprovar uma mudança em sistema que trata dados pessoais, o gatilho exige anexar evidências de testes, aprovação e validação do controle afetado, além de registrar a decisão e o racional.

5) Proteja a evidência contra alteração e perda

Aplique controles de backup, retenção, criptografia em armazenamento quando aplicável, e restrições de edição. Para itens críticos, registre hash e utilize carimbo do tempo. Garanta também disponibilidade: evidência inacessível em auditoria é equivalente a evidência inexistente.

6) Teste a recuperabilidade (prontidão real)

Prontidão para auditoria exige simulações: selecione amostras e tente recuperar evidências dentro de um prazo curto (por exemplo, 24–72 horas), com o contexto completo. Registre falhas: evidência sem metadados, arquivo corrompido, acesso excessivamente restrito, dependência de pessoa específica.

Registro de decisões: transformando escolhas em evidências auditáveis

Registro de decisões é a prática de documentar escolhas relevantes de privacidade e segurança, incluindo alternativas avaliadas, critérios, responsáveis, riscos aceitos e condições. Em auditoria, muitas não conformidades surgem não porque a decisão foi “errada”, mas porque não é possível demonstrar por que foi tomada e como foi controlada.

O que caracteriza uma decisão “auditável”

  • Clareza do objeto: o que foi decidido (ex.: aceitar uma exceção, aprovar um fornecedor, alterar um fluxo de dados, definir retenção de evidência de um processo).
  • Contexto e motivação: qual problema/necessidade motivou a decisão.
  • Alternativas consideradas: pelo menos duas opções e por que foram rejeitadas/aceitas.
  • Critérios: requisitos legais, risco, impacto operacional, custo, prazo, dependências.
  • Responsáveis e aprovações: quem recomendou, quem aprovou, data e nível de autoridade.
  • Condições e validade: prazo de revisão, controles compensatórios, marcos de acompanhamento.
  • Risco residual e aceite: o que permanece como risco e quem assumiu formalmente.

Modelo prático de registro de decisão (template)

Registro de Decisão (RD) - ID: RD-2026-00123  Data: 2026-01-12  Processo: Gestão de Mudanças / Privacidade e Segurança

1. Assunto:
- Ex.: Exceção temporária para uso de componente legado sem suporte

2. Contexto e motivação:
- Ex.: Necessidade de manter operação por 90 dias até migração

3. Alternativas analisadas:
A) Substituir imediatamente (prazo/custo inviável)
B) Manter legado com controles compensatórios (opção escolhida)
C) Desativar funcionalidade (impacto alto no negócio)

4. Critérios e evidências usadas:
- Relatórios técnicos, análise de risco, parecer jurídico, requisitos internos

5. Decisão:
- Ex.: Aprovar exceção por 90 dias com controles X, Y, Z

6. Riscos e controles compensatórios:
- Risco residual, monitoramento, restrições de acesso, plano de mitigação

7. Aprovações:
- Recomendado por: (nome/cargo)
- Aprovado por: (nome/cargo)

8. Validade e revisão:
- Data de expiração, data de revisão, responsável por reavaliar

9. Referências:
- Tickets, documentos, links para evidências no repositório

Esse registro pode ser implementado como formulário em ferramenta de tickets, documento controlado ou item em sistema de governança. O ponto central é: ser padronizado, rastreável e ligado às evidências que sustentam a decisão.

Decisões que merecem registro formal (exemplos)

  • Aceite de risco e exceções a controles.
  • Escolha de arquitetura que afeta exposição de dados pessoais (ex.: centralizar vs. distribuir).
  • Definição de critérios de acesso a dados sensíveis por área/função.
  • Escolha de método de autenticação para um processo crítico.
  • Definição de critérios de auditoria e amostragem.
  • Priorização de correções e mitigação quando há restrições de prazo.

Prontidão para auditoria: operar como se a auditoria fosse amanhã

Prontidão para auditoria é a capacidade de demonstrar, sob demanda, que controles existem, são executados e são eficazes, com evidências consistentes e facilmente recuperáveis. Não se trata de “preparar uma pasta” quando a auditoria é anunciada; trata-se de manter processos e registros em estado de inspeção contínua.

Componentes de um programa de prontidão

  • Mapa de evidências por requisito: para cada requisito interno/regulatório, quais evidências demonstram atendimento.
  • Rotina de coleta e validação: periodicidade, responsáveis e checagens de qualidade.
  • Gestão de pendências: não conformidades, planos de ação, prazos e responsáveis.
  • Trilha de decisões: decisões relevantes vinculadas a riscos e controles.
  • Capacidade de resposta: quem responde a auditor, como extrair evidências, como aprovar divulgações.

Passo a passo: construir um “audit pack” vivo

1) Liste os temas auditáveis e os “itens de prova”

Crie uma matriz simples com colunas: tema, requisito interno, evidência primária, evidência secundária, localização, responsável, periodicidade, última atualização.

Exemplo prático: tema “gestão de exceções” → evidência primária: registros RD aprovados; evidência secundária: relatórios de revisão de exceções e evidências de controles compensatórios.

2) Defina SLAs de recuperação de evidências

Estabeleça prazos internos para localizar e entregar evidências (por exemplo, 48 horas para evidências operacionais e 24 horas para evidências críticas). Auditores frequentemente testam prontidão pedindo amostras inesperadas; o SLA força organização e reduz dependência de “heróis”.

3) Faça controle de qualidade das evidências

Implemente uma checagem periódica: evidência está completa? tem metadados? está legível? tem versão? está no local correto? está coerente com o período solicitado? Falhas típicas incluem relatórios sem data, prints sem origem, documentos sem aprovação e arquivos que não abrem.

4) Treine o “roteiro de auditoria” com as áreas

Prontidão envolve pessoas. Defina porta-vozes por tema (Segurança, Privacidade, TI, Operações, Jurídico) e um fluxo de comunicação. Simule entrevistas: como explicar um controle, como apontar a evidência, como demonstrar rastreabilidade entre requisito → controle → execução → evidência → decisão.

5) Controle a divulgação e a confidencialidade

Auditorias podem exigir compartilhamento de documentos sensíveis. Defina um procedimento para: aprovar o que será compartilhado, aplicar tarjas/mascaramento quando cabível, registrar o que foi enviado, para quem, quando e sob qual base contratual/escopo. Isso evita vazamento de informações e mantém consistência.

Integração entre evidências, decisões e auditoria: rastreabilidade ponta a ponta

Os três temas se reforçam: decisões geram evidências; evidências sustentam auditoria; auditoria retroalimenta melhorias e ajustes de decisão. O elemento que costura tudo é a rastreabilidade. Uma boa prática é garantir que cada decisão relevante tenha um identificador único e que evidências associadas referenciem esse ID.

Exemplo de rastreabilidade

  • Decisão: RD-2026-00123 aprova exceção por 90 dias.
  • Evidências associadas: análise de risco (AR-778), plano de mitigação (PM-332), validação de controle compensatório (VC-119), revisão ao final do prazo (REV-90D).
  • Auditoria: amostra seleciona a exceção; em minutos é possível abrir o RD e navegar para todos os anexos e registros de execução.

Procedimentos específicos para preservação em situações sensíveis

Preservação para investigações internas

Quando há suspeita de violação de política, fraude ou acesso indevido, a preservação deve ser mais rigorosa. Recomenda-se: limitar imediatamente o acesso às evidências, registrar cadeia de custódia, coletar cópias forenses quando aplicável e evitar manipulação direta do material original. Também é importante separar “evidência” de “análise”: a evidência é o dado bruto preservado; a análise é o relatório interpretativo, que pode evoluir.

Preservação em mudanças e projetos

Projetos e mudanças geram decisões e evidências em alta velocidade. Para não perder rastreabilidade, defina que o ticket de mudança (ou item equivalente) é o “container” de evidências: anexos, aprovações, registros de testes, justificativas e validações. O objetivo é que uma auditoria posterior consiga reconstruir a linha do tempo do que foi alterado e por quê.

Indicadores e rotinas para manter o programa funcionando

Sem medição, a prontidão degrada. Use indicadores simples para acompanhar saúde do programa:

  • % de evidências com metadados completos (amostragem mensal).
  • Tempo médio de recuperação (do pedido até entrega).
  • % de decisões relevantes registradas (comparando com volume de exceções/mudanças).
  • % de evidências com controle de versão e histórico de aprovação.
  • Número de achados recorrentes em simulações de auditoria (mesmo tipo de falha repetida).

Operacionalmente, estabeleça uma rotina curta e repetível: revisão mensal do catálogo de evidências, auditoria interna por amostragem, e revisão trimestral do template de registro de decisão para incorporar lições aprendidas (por exemplo, campos que sempre faltam ou aprovações que não ficam claras).

Agora responda o exercício sobre o conteúdo:

Qual prática melhor garante que uma evidência realmente se sustente em auditoria ao longo do tempo?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

A evidência precisa ser compreensível e rastreável: metadados (origem, data, responsável, relação com processo/decisão), repositório com controle e logs, e mecanismos de integridade e histórico de alterações (ou imutabilidade quando necessário).

Próximo capitúlo

Métricas, indicadores e melhoria contínua dos controles de privacidade e segurança

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store