O PDSI é o documento estratégico que define onde a organização está em termos de segurança da informação, onde precisa chegar e o caminho para chegar lá, com prioridades aprovadas pela liderança, recursos alocados e responsáveis definidos. Sem ele, investimentos em ferramentas e projetos tendem a se sobrepor, ser abandonados ou nunca produzir resultados coerentes.

Empresas sem PDSI costumam gastar mais, proteger menos e ter dificuldade em demonstrar maturidade a clientes, auditores e reguladores. O PDSI resolve isso ao alinhar segurança à estratégia do negócio, com prioridades viáveis e roadmap de implementação.

Este é um dos engajamentos mais comuns na IT SECURE. Ajudamos a organização a entender o que contratar, como montar a função internamente ou via terceirização, quais controles são prioritários para seu porte e setor, e como estruturar o processo seletivo para um CISO — inclusive apoiando o RH com critérios técnicos.

A sequência recomendada começa com um diagnóstico de maturidade, seguido da definição do modelo operacional de segurança (interno, terceirizado ou híbrido) e da elaboração do PDSI.

Sim. O setor de saúde tem características únicas: dados de saúde são dados sensíveis sob a LGPD (exigindo base legal específica), a ANPD monitora o setor com atenção especial, e a continuidade de operações tem impacto direto sobre vidas. Nossa consultoria para saúde endereça LGPD, ISO 27001, ISO 22301 e a integração entre segurança da informação e sistemas hospitalares.

Sim, o setor financeiro é nossa origem. Nossos sócios têm décadas de experiência em bancos, fintechs e infraestruturas de mercado. Trabalhamos com as resoluções do BACEN (4.658/19 e 4.893/21), normas da CVM, LGPD aplicada ao setor financeiro e frameworks como NIST CSF e ISO 27001. Também apoiamos fintechs em fase de licenciamento regulatório que precisam demonstrar maturidade em segurança para o BACEN.

As seguradoras que operam apólices de seguro cibernético exigem cada vez mais que as empresas demonstrem controles mínimos de segurança para terem acesso à cobertura — e a ausência desses controles pode invalidar a indenização em caso de sinistro. Ajudamos organizações a revisar sua postura de segurança antes da contratação ou renovação do seguro, identificando lacunas que podem afetar a cobertura.

A ISO 27001 é a norma internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Ela define os requisitos para estabelecer, implementar, manter e melhorar continuamente a segurança da informação em uma organização. A certificação é um diferencial competitivo relevante — especialmente para empresas que fornecem para grandes corporações, órgãos públicos ou clientes internacionais.

A certificação formal não é obrigatória por lei no Brasil, mas muitos contratos e processos de due diligence passam a exigi-la. Mesmo sem certificar, implantar a ISO 27001 eleva estruturalmente a maturidade da organização.

A ISO 27001 trata de segurança da informação de forma ampla. A ISO 27701 é uma extensão da 27001 especificamente para gestão de privacidade e proteção de dados pessoais — ela adiciona ao SGSI os controles necessários para operadores e controladores de dados sob a LGPD (e equivalentes como o GDPR europeu).

Para a maioria das organizações que tratam dados pessoais em escala, ter as duas normas integradas é a abordagem mais eficiente: uma base de segurança sólida (27001) com uma camada de privacidade estruturada em cima (27701), sem duplicar esforços.

A ISO 22301 é a norma internacional para Sistemas de Gestão de Continuidade de Negócios (SGCN). Ela ajuda organizações a se prepararem para interrupções — ataques cibernéticos, desastres naturais, falhas críticas de infraestrutura — e a retomarem operações dentro de prazos definidos e toleráveis.

É especialmente relevante para infraestruturas críticas (energia, saúde, água, telecomunicações), serviços financeiros (onde reguladores exigem planos de continuidade) e qualquer empresa que tenha clientes com contratos de nível de serviço (SLA) exigentes.

A ISO 42001 é a primeira norma internacional para Sistemas de Gestão de Inteligência Artificial. Ela fornece um framework para que organizações gerenciem os riscos específicos de IA — viés algorítmico, opacidade, segurança, privacidade e responsabilidade — de forma estruturada e auditável.

Com a crescente adoção de IA em processos críticos e o avanço de regulações específicas (como o AI Act europeu), a ISO 42001 já começa a aparecer como requisito em contratos e processos de auditoria. Implementá-la antes que se torne mandatória é uma decisão estratégica.

Um Sistema de Gestão Integrado (SGI) unifica múltiplas normas ISO sob uma estrutura comum — por exemplo, ISO 27001 (segurança), ISO 27701 (privacidade), ISO 22301 (continuidade) e ISO 37301 (compliance) em um único sistema com políticas, auditorias e revisões compartilhadas.

Faz sentido quando a organização precisa atender a mais de uma norma: o SGI evita duplicação de esforços, reduz custo de manutenção e facilita auditorias de certificação. Nossa abordagem integra as normas pelo estrutura de alto nível (HLS) da ISO, que é projetada exatamente para isso.

A ISO 37301 é a norma para Sistemas de Gestão de Compliance. Ela estrutura o programa de conformidade da organização com leis, regulamentos e normas internas — incluindo a LGPD, normas setoriais e obrigações contratuais relacionadas à segurança da informação. Integrada com a ISO 27001 e a ISO 27701, forma uma base robusta de governança corporativa.

A LGPD exige que a organização adote medidas técnicas e administrativas para proteger os dados pessoais que trata. Isso significa que um projeto de adequação que se limita ao mapeamento de dados e à elaboração de políticas jurídicas, sem implementar controles técnicos de segurança, está incompleto — e não protege a empresa em caso de incidente.

A conformidade com a LGPD exige três competências distintas e integradas: jurídica (base legal, contratos, direitos dos titulares), técnica (segurança da informação, controles de acesso, criptografia, gestão de incidentes) e de gestão (processos, cultura, treinamento). Nossa atuação cobre a dimensão técnica, frequentemente em parceria com escritórios de advocacia.

Sim. Atuamos como parceiro técnico de escritórios de advocacia que conduzem projetos de adequação à LGPD para seus clientes. O escritório mantém a relação com o cliente e conduz a dimensão jurídica; a IT SECURE cuida da parte técnica — mapeamento de fluxos de dados em sistemas, avaliação de controles de segurança, gestão de incidentes, suporte ao DPO e implementação de medidas técnicas exigidas pela lei.

Esse modelo white label fortalece a entrega do escritório sem conflito com a relação cliente-advogado.

A LGPD (art. 48) e a Resolução CD/ANPD nº 4/2023 obrigam o controlador a comunicar a ANPD e os titulares afetados quando um incidente puder acarretar risco ou dano relevante. O prazo é de 3 dias úteis a partir da ciência do incidente para a comunicação preliminar à ANPD.

Isso exige que a organização tenha um processo de resposta a incidentes funcional antes que o incidente aconteça — com fluxos de triagem, critérios de notificação, template de comunicação à ANPD e lista de contatos de crise. Estruturamos esse processo como parte do nosso serviço de consultoria em resposta a incidentes.

Um Risk Assessment (avaliação de riscos) é uma análise estruturada dos ativos de informação da organização, das ameaças e vulnerabilidades associadas, e da probabilidade e impacto de cada risco materializar-se. O resultado é uma visão priorizada dos riscos que a organização precisa tratar.

Um pentest (teste de invasão) é uma avaliação técnica que simula ataques reais para identificar vulnerabilidades exploráveis em sistemas específicos. Os dois se complementam: o Risk Assessment dá a visão estratégica e abrangente; o pentest vai fundo em superfícies técnicas específicas. Para a maioria das organizações, o Risk Assessment vem primeiro.

A ISO 27005 e o NIST CSF recomendam que a avaliação de riscos seja um processo contínuo, com revisões formais ao menos uma vez por ano — e sempre que ocorrer uma mudança significativa no ambiente (novo sistema, fusão ou aquisição, mudança regulatória, incidente relevante, adoção de IA ou expansão de nuvem).

Na prática, muitas organizações fazem um Risk Assessment robusto a cada dois anos e mantêm um processo de monitoramento contínuo dos riscos identificados entre os ciclos formais.

Oferecemos treinamentos customizados para diferentes públicos dentro da organização: equipes técnicas de TI e segurança, equipes jurídicas e de compliance, liderança executiva e conselhos, e colaboradores em geral. Os temas cobrem segurança da informação, proteção de dados e LGPD, governança e riscos de IA, continuidade de negócios e resposta a incidentes.

Todos os treinamentos são desenvolvidos a partir do contexto real da empresa — não são módulos genéricos. Isso aumenta o engajamento e a retenção do conteúdo.

CSIRT (Computer Security Incident Response Team) é a equipe responsável por detectar, analisar, conter e recuperar a organização de incidentes de segurança da informação. Ter uma equipe estruturada — com papéis definidos, playbooks prontos e exercícios regulares — é a diferença entre uma resposta controlada e um caos em momentos de crise.

Nosso programa de estruturação de CSIRT combina consultoria (definição de processos, papéis e ferramentas) com capacitação prática (simulações, tabletop exercises e o programa “Brigada de Incêndio Digital”).

A mentoria é voltada a profissionais de segurança da informação em momentos de aceleração de carreira: CISOs em seus primeiros anos no cargo, líderes de segurança que precisam desenvolver visão estratégica e comunicação com o board, profissionais que estão migrando de funções técnicas para funções de liderança, e candidatos a certificações como CISSP e CDPSE.

Os temas típicos incluem: como estruturar e apresentar o programa de segurança para a liderança, como priorizar investimentos com base em risco, como conduzir avaliações de risco, como se preparar para certificações internacionais e como navegar conflitos entre segurança e negócio.

Não. A IT SECURE é uma consultoria independente — não representamos, revendemos nem recebemos comissão de nenhum fabricante ou fornecedor de tecnologia. Isso é estrutural e intencional: nosso único interesse é o do cliente.

Quando recomendamos uma ferramenta ou plataforma, a recomendação é baseada exclusivamente no contexto, nos requisitos e no perfil de risco da organização — não em acordos comerciais. Esse posicionamento é um dos pilares do nosso modelo de trabalho.

Os projetos são conduzidos pelos próprios sócios-diretores: Carlos A. I. Bernardo (CISSP, MBA GRC, ISO 22301 Lead Implementer) e Rafael de Queiroz Batista (CDPSE, ISO 27701 Lead Implementer, Mestre pela FGV). Ambos têm décadas de experiência no setor financeiro — o mais exigente em segurança no Brasil — e atuam como professores na FGV, ABNT, Instituto Mauá de Tecnologia e Fundação Vanzolini.

Esse modelo garante que o cliente sempre fale com quem tem a responsabilidade e a experiência para conduzir o projeto — sem intermediários ou equipes juniores entregando o trabalho que o sócio vendeu.

A conversa inicial é sem custo e sem compromisso. Você fala diretamente com um dos sócios — sem formulários intermináveis ou SDRs intermediando. O objetivo da primeira conversa é entender o contexto da sua organização (setor, porte, desafios e o que motivou a busca por consultoria) e identificar as prioridades mais relevantes para o seu caso.

Essa conversa em si já tem valor prático: frequentemente os clientes saem com uma visão mais clara do problema que precisam resolver.

Sim. Atuamos como extensão técnica especializada de escritórios de advocacia, consultorias de gestão, firmas de auditoria e integradores de tecnologia que precisam de expertise em segurança da informação sem montar uma equipe própria. O parceiro mantém a relação com o cliente final; a IT SECURE entrega a substância técnica.

Esse modelo é comum em projetos de LGPD (escritórios de advocacia), due diligence de segurança (fundos de PE e M&A) e implementações de ISO (consultorias de gestão).