Skip to main content

Para atender às demandas da nova Lei Geral de Proteção de Dados (LGPD), muitas empresas buscam padrões de segurança da informação, como a certificação ISO (International Organization for Standardization) 27001 para utilizar como aliado no processo de conformidade. 

A ISO 27001 é um padrão internacional para implementação do Sistema de Gestão de Segurança da Informação (SGSI), que tem como base a gestão e tratamento dos riscos com objetivo de proteger a integridade, disponibilidade e confidencialidade das informações. 

Para explicar como a ISO 27001 pode ajudar as empresas brasileiras a estabelecer uma base sólida para também estar em conformidade com a LGPD, exploramos os principais requisitos.

1. Classificação da informação

A classificação de dados é uma primeira etapa na segurança da informação, pois ajuda a ordenar e priorizar os dados com base na sensibilidade. O principal objetivo é mitigar riscos de vazamentos de dados ou acesso indevido a partir de proteções extras para informações mais sensíveis, de acordo com a classificação criada.

Algumas dicas para implementar a classificação da informação são: 

  • Avaliação dos impactos operacionais e financeiros para ajudar na priorização do tratamento de segurança; 
  • Análise da necessidade de obter e utilizar informações; 
  • Classificação das informações de acordo com a sensibilidade (ex: restrita, privada e pública). 

2. Segurança da informação 

O tópico de segurança da informação é abordado de forma comum entre a ISO 27001 e a LGPD pois trata de processos e políticas para manter a privacidade dos dados pessoais. 

Algumas das especificações comuns para a segurança da informação são: 

  • Pseudonimização e criptografia de dados pessoais para manter a confidencialidade das informações pessoais na rede, em trânsito ou em repouso;
  • Controle de acesso para que apenas indivíduos com um direito legítimo possam acessar informações de acordo com o princípio do privilégio mínimo;
  • Restauração da disponibilidade e acesso aos dados pessoais em tempo hábil em casos de incidentes físicos ou técnicos;
  • Testes e avaliações das medidas técnicas e organizacionais para a segurança do processamento de dados pessoais.

3. Gerenciamento de incidentes de segurança

A implementação do controle de gerenciamento de incidentes da ISO 27001 é um dos processos chave de segurança, pois auxilia a organização a adotar uma abordagem consistente para responder a incidentes e direciona a comunicação que deve ser feita sobre violações de dados pessoais, uma das exigências da LGPD. 

A LGPD exige que a organização notifique violações de dados às autoridades de supervisão, sem atrasos indevidos e até 72 horas após o conhecimento de uma violação. 

Alguns dos processos de gerenciamento de incidentes de segurança para ajudar no plano de gerenciamento de incidentes são:

  • Definição das responsabilidades do time de resposta a incidentes.
  • Criação da matriz RACI que identifica a pessoa responsável, a autoridade, consultada ou informada pelas atividades definidas antes e depois de um incidente. 
  • Adoção de procedimentos de coleta de evidências como logs.
  • Coleta de métricas e visibilidade dos dados para a gestão.

4.Avaliação de risco 

A avaliação de riscos é uma etapa fundamental na implementação dos requisitos da ISO 27001, pois integra a segurança em todo o ciclo de vida do sistema. 

Além disso, a LGPD trata a avaliação de risco no Artigo 50 que estabelece que as organizações devem “levar em consideração, em relação ao tratamento e aos dados, a natureza, escopo, finalidade, probabilidade e gravidade dos riscos”. 

A LGPD não faz menção a uma estrutura específica para realizar a avaliação de risco, mas estes pontos são fundamentais para ter conhecimento dos riscos e da gravidade de determinada ameaça e poder prevenir algum vazamento de dados.

5. Treinamento e conscientização

Para disseminar a cultura de proteção de dados, é necessário ter um olhar amplo, não apenas em relação à organização, mas também sobre a importância dos dados pessoais como indivíduos em sociedade.

Por esse motivo, a conscientização também está como um dos controles de segurança da informação previstos na ISO 27001 e na LGPD.  Com o treinamento, a empresa poderá ter uma base sólida para responder de forma efetiva aos incidentes de segurança. 

6. Gestão de fornecedores

A LGPD identifica controladores e operadores de dados e obriga os controladores a manter negócios apenas com operadores que comprovem que os processos estão em conformidade com o gerenciamento da privacidade de dados pessoais. 

Esta é uma abordagem semelhante a usada na ISO 27001 para gerenciar fornecedores e terceiros. Esses requisitos devem ser documentados e estar de acordo entre controladores e processadores.

7. Utilize um produto de cloud security 

Os benefícios de seguir um framework de segurança da informação como a ISO 27001 incluem desde a otimização de controles internos de proteção dos dados até a facilidade no processo de conformidade com a LGPD. 

E para empresas que possuem dados sensíveis em nuvem pública, utilizar um produto de cloud security que analisa mais de 300 vulnerabilidades pode ajudar. 

O CleanCloud Score realiza verificações periódicas de conformidade para a nuvem AWS, Azure e Google Cloud de acordo com os principais frameworks e regulações do mercado, inclusive LGPD e ISO 27001. 

Close Menu

Selecione o produto que deseja acessar