Para atender às demandas da nova Lei Geral de Proteção de Dados (LGPD), muitas empresas buscam padrões de segurança da informação, como a certificação ISO (International Organization for Standardization) 27001 para utilizar como aliado no processo de conformidade.
A ISO 27001 é um padrão internacional para implementação do Sistema de Gestão de Segurança da Informação (SGSI), que tem como base a gestão e tratamento dos riscos com objetivo de proteger a integridade, disponibilidade e confidencialidade das informações.
Para explicar como a ISO 27001 pode ajudar as empresas brasileiras a estabelecer uma base sólida para também estar em conformidade com a LGPD, exploramos os principais requisitos.
1. Classificação da informação
A classificação de dados é uma primeira etapa na segurança da informação, pois ajuda a ordenar e priorizar os dados com base na sensibilidade. O principal objetivo é mitigar riscos de vazamentos de dados ou acesso indevido a partir de proteções extras para informações mais sensíveis, de acordo com a classificação criada.
Algumas dicas para implementar a classificação da informação são:
- Avaliação dos impactos operacionais e financeiros para ajudar na priorização do tratamento de segurança;
- Análise da necessidade de obter e utilizar informações;
- Classificação das informações de acordo com a sensibilidade (ex: restrita, privada e pública).
2. Segurança da informação
O tópico de segurança da informação é abordado de forma comum entre a ISO 27001 e a LGPD pois trata de processos e políticas para manter a privacidade dos dados pessoais.
Algumas das especificações comuns para a segurança da informação são:
- Pseudonimização e criptografia de dados pessoais para manter a confidencialidade das informações pessoais na rede, em trânsito ou em repouso;
- Controle de acesso para que apenas indivíduos com um direito legítimo possam acessar informações de acordo com o princípio do privilégio mínimo;
- Restauração da disponibilidade e acesso aos dados pessoais em tempo hábil em casos de incidentes físicos ou técnicos;
- Testes e avaliações das medidas técnicas e organizacionais para a segurança do processamento de dados pessoais.
3. Gerenciamento de incidentes de segurança
A implementação do controle de gerenciamento de incidentes da ISO 27001 é um dos processos chave de segurança, pois auxilia a organização a adotar uma abordagem consistente para responder a incidentes e direciona a comunicação que deve ser feita sobre violações de dados pessoais, uma das exigências da LGPD.
A LGPD exige que a organização notifique violações de dados às autoridades de supervisão, sem atrasos indevidos e até 72 horas após o conhecimento de uma violação.
Alguns dos processos de gerenciamento de incidentes de segurança para ajudar no plano de gerenciamento de incidentes são:
- Definição das responsabilidades do time de resposta a incidentes.
- Criação da matriz RACI que identifica a pessoa responsável, a autoridade, consultada ou informada pelas atividades definidas antes e depois de um incidente.
- Adoção de procedimentos de coleta de evidências como logs.
- Coleta de métricas e visibilidade dos dados para a gestão.
4.Avaliação de risco
A avaliação de riscos é uma etapa fundamental na implementação dos requisitos da ISO 27001, pois integra a segurança em todo o ciclo de vida do sistema.
Além disso, a LGPD trata a avaliação de risco no Artigo 50 que estabelece que as organizações devem “levar em consideração, em relação ao tratamento e aos dados, a natureza, escopo, finalidade, probabilidade e gravidade dos riscos”.
A LGPD não faz menção a uma estrutura específica para realizar a avaliação de risco, mas estes pontos são fundamentais para ter conhecimento dos riscos e da gravidade de determinada ameaça e poder prevenir algum vazamento de dados.
5. Treinamento e conscientização
Para disseminar a cultura de proteção de dados, é necessário ter um olhar amplo, não apenas em relação à organização, mas também sobre a importância dos dados pessoais como indivíduos em sociedade.
Por esse motivo, a conscientização também está como um dos controles de segurança da informação previstos na ISO 27001 e na LGPD. Com o treinamento, a empresa poderá ter uma base sólida para responder de forma efetiva aos incidentes de segurança.
6. Gestão de fornecedores
A LGPD identifica controladores e operadores de dados e obriga os controladores a manter negócios apenas com operadores que comprovem que os processos estão em conformidade com o gerenciamento da privacidade de dados pessoais.
Esta é uma abordagem semelhante a usada na ISO 27001 para gerenciar fornecedores e terceiros. Esses requisitos devem ser documentados e estar de acordo entre controladores e processadores.
7. Utilize um produto de cloud security
Os benefícios de seguir um framework de segurança da informação como a ISO 27001 incluem desde a otimização de controles internos de proteção dos dados até a facilidade no processo de conformidade com a LGPD.
E para empresas que possuem dados sensíveis em nuvem pública, utilizar um produto de cloud security que analisa mais de 300 vulnerabilidades pode ajudar.
O CleanCloud Score realiza verificações periódicas de conformidade para a nuvem AWS, Azure e Google Cloud de acordo com os principais frameworks e regulações do mercado, inclusive LGPD e ISO 27001.