Como a ISO 27001 pode ajudar a sua empresa com a LGPD
Longinus Timochenco, CISO – Chief Information Security Officer
A LGPD exige que as organizações adotem medidas técnicas e organizacionais apropriadas para proteger os dados pessoais que processam. Saiba como a ISO 27001 pode ajudar nesse processo.
A LGPD – Lei Geral de Proteção de Dados exige que as organizações adotem medidas técnicas e organizacionais apropriadas, incluindo políticas, procedimentos e processos, para proteger os dados pessoais que processam.
A ISO 27001, o padrão internacional para um SGSI – Sistema de Gerenciamento de Segurança da Informação, fornece um excelente ponto de partida para alcançar os requisitos técnicos e operacionais necessários para reduzir o risco de uma violação.
O padrão especifica os requisitos e fornece orientações para estabelecer, implementar, manter e melhorar continuamente um SGIP – Sistema de Gerenciamento de Informações de Privacidade) com base nos requisitos, objetivos e controles, estendido por um conjunto de requisitos específicos da privacidade, objetivos e controle.
As organizações que implementaram a ISO 27001 poderão usar a ISO 27701 para estender o seu SGSI para cobrir o gerenciamento de privacidade, incluindo o processamento de dados.
A implementação de ambos os padrões ajudará você a cumprir e demonstrar sua conformidade com os requisitos de privacidade e segurança da informação da LGPD.
A LGPD obriga as empresas a examinar as melhores práticas e recomendações existentes, como a ISO 27001, para minimizar o risco de violação de dados.
Prezados colegas, gosto de reforçar que não devemos trabalhar em função de cumprimentos das regulamentações e gerenciarmos o incidente. É fundamental as instituições compreenderem que aplicando boas práticas preditivamente, como essas citadas, é possível conquistar inúmeros benefícios para o negócio como o aumento de lucratividade, disponibilidade, transparências a todos, credibilidade e, sem dúvida, maior segurança e menos fraude.
Trabalhos desse gênero se iniciam nesta ordem Pessoas, Processos e Tecnologia (sem hesitar). Quanto mais desenvolvermos a “educação com responsabilização” aplicada a todos, maiores serão os benefícios. E acreditem: é possível.
Por que as medidas técnicas não são suficientes para a conformidade com o LGPD?
As empresas, muitas vezes, acreditam erroneamente que a adição de camada sobre camada de tecnologia de ponta os ajudará a evitar uma violação de dados. Eles não poderiam estar mais errados. Por quê?
A resposta é simples: sem um programa abrangente de segurança da informação que também considere pessoas e processos, a sua tecnologia não fornecerá a proteção adequada.
Os maus processos das empresas e os problemas relacionados à equipe estão entre os pontos mais comuns de falha na segurança dos dados.
Sem o compromisso da liderança (um critério essencial para a conformidade com a ISO 27001), os melhores planos de segurança da informação serão comprovados como falhos.
A conformidade com a ISO 27001 significa que a empresa está constantemente revisando e atualizando o seu SGSI, de acordo com as mudanças no ambiente de ameaças e nos desenvolvimentos dos negócios.
Sem um sistema de gerenciamento eficaz, os controles geralmente são deixados em isolamento, tornando-se redundantes e disfuncionais.
A obtenção da certificação na ISO 27001 ajuda a empresa a obter uma avaliação externa especializada da eficácia de seus planos de segurança da informação, garantindo, assim, que as medidas implementadas estejam funcionando.
Os riscos à privacidade são reais e, portanto, há exigências e especificações em alguns pontos cruciais que, a partir de agora, precisam ser levados em consideração com muita segurança da informação. Para tanto, é preciso um elevado nível de trabalho e atenção de todos nós (pessoas, empresas e instituições de diversas áreas) para realizar ações efetivas para a devida proteção dos dados. Esse é o objetivo da LGPD, que tem movimentado todo o mercado brasileiro. É preciso reconhecer também a manutenção da garantia da liberdade e o respeito à privacidade das informações. E, fundamentalmente, ter conhecimento do que estabelece a LGPD.
A LGPD está batendo nas portas das empresas com vigor e a sua adequação no ambiente corporativo deve ser implementada com a urgência que o tema requer. Os desafios são muitos.
Ignorar ou deixar de cumprir totalmente o LGPD pode ser caro para a sua organização. Um ISMS – Information Security Mnagement System alinhado à ISO 27001 pode ajudar a sua empresa a alcançar a conformidade com o LGPD de maneira econômica e inteligente.
É CISO – Chief Information Security Officer & Diretor de Governança Corporativa na KaBuM!. Tem mais de 25 anos de experiência em tecnologia e possui forte atuação em defesa, governança corporativa, risco & fraude, compliance e gestão de TI. Membro do Comitê Brasil de Segurança da Informação ISO IEC JTC1 SC 27 na ABNT Brasil, Timochenco desenvolveu uma série de trabalhos junto a consultorias e grandes corporações globais no gerenciamento de projetos estratégicos, auditorias e combate a crimes cibernéticos. Premiado – Security Leaders Brasil 2014 e 2016.
