1. Visão do Cargo — Estratégia e Descoberta de Dados
1.1 Foco Principal do Perfil
• Atuar como referência sênior em estratégia de proteção de dados, com visão sistêmica sobre o
ecossistema corporativo, cloud e assistencial.
• Identificar oportunidades, gaps e exposições no ambiente de dados e traduzi-las em estratégia de proteção
acionável (regras, políticas, casos de uso, priorização de remediação).
• Orquestrar o portfólio de ferramentas — atuais (DLP, CASB, M365 Purview, Guardium, Databricks) e
futuras (DSPM, AI Security) — enxergando como se complementam ao longo do ciclo de vida do dado.
• Priorizar iniciativas por valor de negócio (impacto regulatório, financeiro e reputacional), não por volume
de alertas.
1.2 Perfil Esperado
• Profissional com visão estratégica e analítica sobre dados — não necessariamente com atuação hands-on
profunda em cada ferramenta.
• Capaz de dialogar com áreas de negócio, Privacidade, Compliance, Dados/Analytics e TI para desenhar
controles viáveis.
• Habilidade de transformar achados de descoberta em decisões de proteção (bloqueio, coaching,
remediação priorizada).
2. Segurança de Dados em Cloud e Ambientes Analíticos
2.1 Conhecimentos Obrigatórios
• Fundamentos de proteção de dados em cloud — classificação, criptografia, controle de acesso, segregação
de ambientes.
• Noções de governança de dados em ambientes analíticos (ex.: Databricks / Unity Catalog, lineage,
mascaramento).
• Familiaridade com M365 / Purview (rótulos de sensibilidade, DLP nativo, Insider Risk) — em nível
conceitual e de estratégia, não operacional profundo.
• Entendimento de riscos de shadow data e proliferação de cópias em ambientes cloud e SaaS.
2.2 Desejável• Vivência em ambientes multi-cloud (Azure, AWS, GCP) com foco em dados sensíveis.
• Conhecimento de CASB (ex.: Netskope) e padrões de proteção em SaaS.
• Familiaridade com IaC (Terraform, Bicep) no contexto de hardening de dados.
2.3 Certificações Valorizadas (Cloud / Data)
Prioritárias Complementares
Microsoft SC-400 (Information Protection Administrator) AWS Certified Data Analytics — Specialty
Microsoft SC-100 (Cybersecurity Architect) Databricks Certified Data Engineer Associate
Google Professional Cloud Security Engineer
3. Inteligência Artificial Aplicada à Segurança de Dados
3.1 Conhecimentos Obrigatórios
• Compreensão de como IA/ML apoia a classificação automática, descoberta de dados sensíveis e priorização
de exposição.
• Entendimento dos riscos de dados sensíveis expostos a copilots, LLMs e agentes autônomos.
• Noções de AI Governance aplicada a dados — inventário de casos de uso, controles preventivos e
monitoramento.
3.2 Desejável
• Vivência com plataformas modernas de DSPM que incorporam IA para descoberta e priorização (Varonis,
Cyera, Concentric ou similar).
• Familiaridade com controles de proteção em pipelines de IA (Databricks AI, Azure AI Foundry, Copilot for
M365).
• Conhecimento de guidelines emergentes (NIST AI RMF, ISO/IEC 42001).
4. Governança e Estratégia de Proteção de Dados (Foco Principal)
4.1 Conhecimentos Obrigatórios
• Definição e manutenção da taxonomia de classificação de dados (rótulos de sensibilidade, identificadores
customizados de saúde: CID, carteirinha, guia TISS, prontuário, CPF, exames).
• Tradução de fluxos de negócio em requisitos de política de proteção (faturamento, autorização,
credenciamento, relacionamento com prestadores).
• Estruturação de roadmap de evolução DLP/DSPM/AI Security, com critérios de sucesso claros para PoCs.
• Priorização por risco (sensibilidade × exposição × impacto ao negócio) e SLAs de remediação acordados
com áreas.
• Métricas executivas de risco de dados (cobertura de classificação, MTTR, exposição, tendência de
exfiltração).
4.2 Experiência Comprovada em Estratégia
• Construção de business cases para novas plataformas de proteção de dados (ex.: DSPM).
• Participação em iniciativas de evolução do ecossistema — não apenas operação de ferramenta única.
• Interlocução com DPO/Privacidade em RIPD/DPIA e evidências regulatórias.
• Suporte a auditorias internas/externas (ANS, ANPD) com narrativa técnica clara.4.3 Certificações Valorizadas (Governança / Privacidade)
Prioritárias Complementares
CDPSE (ISACA — Certified Data Privacy Solutions Engineer) ISO 27701 Lead Implementer / Auditor
CIPM ou CIPT (IAPP) CDMP (Certified Data Management Professional)
DAMA-CDMP
5. DSPM — Data Security Posture Management (Visão de Futuro)
5.1 Conhecimentos Desejáveis
• Conceitos fundamentais de DSPM — descoberta contínua, classificação automática, priorização de
exposição, remediação orientada a risco.
• Plataformas de mercado — familiaridade com pelo menos uma: Varonis, Cyera, Concentric, Sentra, IBM
Guardium Insights ou similar.
• Casos de uso críticos — shadow data, dados sensíveis com acesso excessivo, compartilhamento externo
aberto, dados sensíveis em ambientes não produtivos.
• Integração DSPM com DLP e SIEM/SOAR — como enriquecer detecção e resposta com contexto de dados.
• Métricas de postura de dados — cobertura de classificação, exposição por sensibilidade, redução de risco
ao longo do tempo.
• Modelo de rollout progressivo — monitorar → alertar → orientar → remediar/bloquear, minimizando
impacto operacional.
5.2 Certificações Valorizadas (DSPM)
Prioritárias Complementares
Certificações de fornecedores de DSPM (Varonis, Cyera) Cloud Security Alliance CCSK
IAPP CIPT (com foco em privacy engineering)
6. Experiência Comprovada
6.1 Obrigatória
• Experiência sólida de 8+ anos em Segurança da Informação, com pelo menos 4 anos em disciplinas de
proteção de dados, privacidade ou governança.
• Atuação em ambientes corporativos de médio/grande porte — desejável em setores regulados (saúde,
financeiro, seguros).
• Vivência em iniciativas de estratégia de proteção de dados — não apenas operação de ferramentas.
• Interlocução comprovada com áreas de negócio, Privacidade, Compliance, Dados/Analytics e Auditoria.
• Participação em ciclos de descoberta, classificação e priorização de exposição de dados sensíveis.
6.2 Desejável
• Experiência com implantação ou evolução de DSPM.
• Participação em programas de AI governance e proteção de dados em pipelines de IA.
• Atuação em cenários de incidentes de vazamento com condução estratégica pós-incidente.
• Vivência em ambientes multi-plataforma (M365, cloud pública, ambientes analíticos, SaaS).
7. Certificações — Visão Consolidada7.1 Prioritárias
• CDPSE (ISACA — Certified Data Privacy Solutions Engineer)
• CIPM ou CIPT (IAPP)
• Microsoft SC-400 (Information Protection Administrator)
• Microsoft SC-100 (Cybersecurity Architect)
7.2 Complementares Relevantes
• CISSP ou CISM — sinaliza maturidade, mais relevante para sênior
• ISO 27701 Lead Implementer / Auditor
• Certificações de fornecedores de DSPM (Varonis, Cyera)
• Cloud Security Alliance CCSK
• ISO/IEC 42001 (AI Management System) — desejável no médio prazo
• CDMP ou DAMA-CDMP — governança de dados
8. Formação e Requisitos Gerais
8.1 Formação Acadêmica
• Ensino superior completo em Tecnologia da Informação, Engenharia da Computação, Sistemas de
Informação, Ciência de Dados ou áreas correlatas.
• Desejável pós-graduação ou especialização em Segurança da Informação, Privacidade ou Governança de
Dados.
8.2 Habilidades Comportamentais
• Pensamento estratégico e visão sistêmica do ecossistema de dados.
• Capacidade de traduzir riscos técnicos em linguagem executiva e de negócio.
• Influência sem autoridade formal — negocia controles apresentando risco e alternativas ("não pode" →
"pode, desta forma").
• Equilíbrio entre segurança e operação — entende que em saúde bloqueios indevidos impactam
atendimento assistencial.
• Rigor e disciplina — documenta decisões, versiona políticas e mede resultado.
• Autonomia com accountability — conduz frentes com pouca supervisão e reporta progresso
proativamente.
• Curiosidade e atualização contínua — acompanha a evolução acelerada de DSPM, AI Security e regulação.
9. Mapa de Competências — Resumo
|
Bloco |
Classificação |
Ferramentas / Temas-Chave |
|
Visão Estratégica de Dados |
Obrigatório |
Identificação de gaps e oportunidades, roadmap de evolução, priorização por risco |
|
Fundamentos de Proteção de Dados |
Obrigatório |
Classificação, ciclo de vida, criptografia, minimização |
|
Ecossistema de Ferramentas |
Obrigatório |
DLP, CASB, Purview, Guardium, Databricks (visão de portfólio) |
|
Governança de Dados |
Obrigatório |
Taxonomia, lineage, Unity Catalog, controle de acesso |
Regulação Aplicada Obrigatório LGPD, ANS, CFM, obrigações setoriais
de saúde
GRC de Dados Obrigatório ISO 27001/27701, NIST, métricas
executivas, apoio ao DPO
DSPM Moderno Desejável Varonis, Cyera, Sentra — descoberta,
priorização, remediação orientada a
risco
AI Security aplicada a Dados Desejável Proteção de dados em pipelines de IA,