Rua Barão de Itapetininga, 124 - CJ 122 - São Paulo-SP +55 11 5062-3521 Español English Português

GESTÃO DA SEGURANÇA DA INFORMAÇÃO – ISO/IEC 27001 E LGPD

Em uma época onde a troca de informações em todos os níveis ocorre quase que exclusivamente por meios virtuais, a privacidade é um ativo extremamente valorizado, e uma preocupação onipresente nas pessoas físicas e jurídicas em todo o mundo. De modo cada vez mais frequente assistimos a episódios de vazamento de informações, acidentais ou deliberados, que colocam em risco a segurança dos dados particulares, e expõem informações que podem ter o poder de arruinar negócios e reputações em diversos níveis.

Apesar de a maioria das organizações supor que suas informações são seguras, a tecnologia utilizada por invasores e ladrões de dados é extremamente evoluída e constantemente renovada, o que coloca em dúvida a real eficácia dos sistemas de gestão de segurança da informação atualmente implantados nessas organizações.

GESTÃO DA SEGURANÇA DA INFORMAÇÃO – ISO/IEC 27001 E LGPD

ISO/IEC 27001 – REQUSITOS PARA SISTEMAS DE GESTÃO DA SEGURANÇA DA INFORMAÇÃO

A ISO/IEC 27001 – Tecnologia da Informação – Técnicas de Segurança – Sistemas de Gestão da Segurança da Informação – Requisitos é um padrão internacional que estabelece os requisitos mínimos para que uma organização identifique, previna, detecte e reaja adequadamente a eventos que possam por em risco a segurança das informações da organização, dos seus funcionários, clientes e demais partes interessadas.

A estrutura desta norma é alinhada com as demais normas da família ISO, respeitando a HLS (High Level Structure, Estrutura de Alto Nível) desenhada no Anexo SL. Desta forma, a sua integração com as normas ISO 9001 (qualidade), ISO 22301 (Continuidade dos Negócios), ISO 37001 (Gestão Antissuborno) e demais normas correlatas é perfeitamente aplicável, aproveitando os elementos comuns entre todas as normas.

Os seguintes elementos são aqueles considerados chave para implementação e manutenção eficaz de um Sistema de Gestão de Segurança da Informação baseado na ISO/IEC 27001:

  • Comprometimento da Liderança e Alta Direção - Nenhum Sistema de Gestão de Segurança da Informação baseado na ISO/IEC 27001 tem chance de sucesso se a Alta Direção da Organização e a Liderança dos processos estiver engajada nos objetivos do SGSI.
  • Gestão de Riscos - A identificação, prevenção, detecção e tratamento dos riscos à segurança da informação é o conceito fundamental presente na ISO/IEC 27001.
  • Competência dos Recursos Humanos - definição de elementos de qualificação (competência) quanto à formação, experiência, habilidades e conhecimentos específicos necessários e treinamentos (integração, treinamento on-the-job e reciclagem) para completo exercício das funções previstas cada colaborador.
  • Planejamento e Implementação dos Controles Operacionais - A determinação dos controles aplicáveis à organização está definida predominantemente no Anexo A (Referência aos Controles e Objetivos dos Controles), evidenciada através da emissão de uma Declaração de Aplicabilidade, cuja sigla em inglês é SoA – Statement of Applicability, emitida pela organização sujeita a verificação por partes interessadas (clientes, por exemplo).
  • Comprometimento da Cadeia de Fornecimento - A extensão dos requisitos aplicáveis à organização aos seus parceiros de negócio é fundamental para a Gestão da Segurança das Informações, pois as brechas por onde as informações podem ser acessadas e eventualmente vazadas podem estar em qualquer etapa da cadeia de fornecimento.

LGPD – Lei Geral de proteção de dados – Lei N° 13.709/18

A 13.709 de 20018, mais conhecida como Lei Geral de Proteção de Dados é fortemente inspirada na GDPR (General Data Protection Regulation) aplicável aos membros da União Europeia, e contem as diretrizes para o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

As principais etapas para implementação e atendimento a esta lei são:

  • Realizar diagnóstico das práticas adotadas e procedimentos implantados (gap analysis)
  • Treinar equipe de implantação
  • Estudo da LGPD e demais leis que regulamentam o negócio
  • Mapear a entrada e o tratamento dos dados pessoais
  • Mapear os riscos e elaborar o Relatório de Impacto
  • Criar a Política de Proteção de Dados e adaptar os documentos internos
  • Gerenciar os pedidos dos titulares e dos órgãos
  • Treinamento das equipes que tratam / lidam com os dados sensíveis
  • Gerenciar a aplicação dos procedimentos
  • Estender os procedimentos e políticas aplicáveis aos fornecedores
  • Realizar auditoria interna (gap analysis) com referência à LGPD
  • Realizar análise crítica dos resultados e planejar novo ciclo

Existe uma afinidade muito grande entre da LGPD – Lei Geral de Proteção de Dados e a ISO/IEC 27001 - Sistema de Gestão de Segurança da Informação, sendo que a certificação nesta última praticamente garante o atendimento à legislação.

OUTROS PADRÕES DE SEGURANÇA DA INFORMAÇÃO QUE FAZEM PARTE DA FAMÍLIA ISO/IEC 27001

Além da ISO/IEC 27001 outras normas fazem parte da família de padrões que definem requisitos para a adoção de sistemas de gestão de proteção das informações, entre eles:

  • ISO/IEC 27003 – Tecnologia da informação – Técnicas de segurança – Diretrizes para implantação de um sistema de gestão da segurança da informação.
  • ISO/IEC 27004 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Monitoramento, medição, análise e avaliação.
  • ISO/IEC 27701 – Técnicas de segurança — Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação — Requisitos e diretrizes.

Nós podemos ajudá-lo

A PM Analysis assessora diversos clientes na implantação ou melhoria do seu sistema de gestão de segurança da informação. Os projetos são baseados em diagnósticos precisos e planejamento exaustivo, orientando a condução dos trabalhos de forma monitorada e eficaz.

As atividades de assessoria são conduzidas por consultores qualificados e experientes, com competência para propor soluções simples e eficazes para os diversos processos que compõem o Sistema de Gestão de Segurança da Informação da sua organização.

Simplicidade, criatividade, respeito à cultura e aos recursos disponíveis em cada empresa são as nossas principais premissas nas decisões tomadas em conjunto com o cliente.

Para saber mais consulte em nossa seção de artigos outros textos sobre o tema.

Solicite um orçamento