A Lei Geral de Proteção de Dados (LGPD) e o padrão ISO 27002 (especialmente quando combinado com a ISO 27001) têm muitos objetivos em comum. Ambos visam mitigar o risco de violações de dados e fortalecer a segurança dos dados.
ISO 27002 representa um padrão internacional de segurança que descreve a estrutura de melhores práticas para gerenciamento de processos, tecnologia e pessoas.
Para cumprir com a LGPD, as organizações devem garantir a integridade, disponibilidade e confidencialidade dos dados pessoais em sua posse. No entanto, há muitas diferenças entre os dois também, e é importante observar que ter a certificação ISO 27001 não é igual a conformidade com a LGPD.
Se ao buscar por conformidade com a LGPD você encontrou ISO 27001 e ISO 27002, pode estar se perguntando qual é a importância entre os dois e se eles funcionam em conjunto. Neste artigo, descrevemos o que é cada padrão e como eles funcionam juntos para ajudá-lo a implementar um sistema de segurança em que você pode confiar.
O que é ISO 27001?
A ISO 27001 é o padrão internacional que estabelece os detalhes e as melhores práticas para o SGSI de uma organização, o que é fundamental para evitar que os controles se tornem desorganizados.
O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gerenciamento documentado que consiste em um conjunto de controles de segurança que protegem a confidencialidade, disponibilidade e integridade dos ativos contra ameaças e vulnerabilidades.
Ao projetar, implementar, gerenciar e manter um SGSI, as organizações podem proteger seus dados confidenciais, pessoais e sensíveis de serem comprometidos. Os principais controles de segurança que envolvem o SGSI dizem respeito aos seguintes temas:
- Políticas de Segurança da Informação.
- Organização da Segurança da Informação.
- Segurança em Recursos Humanos.
- Gestão de Ativos.
- Controle de Acesso.
- Criptografia.
- Segurança Física e do Ambiente.
- Segurança nas Operações.
- Segurança nas Comunicações.
- Aquisição, desenvolvimento e manutenção de sistemas.
- Relacionamento de Fornecedores.
- Gestão de Incidentes de Segurança da Informação.
- Continuidade de Negócios.
Muitas vezes os controles internos são projetados e implementados como paliativos temporários ou soluções pontuais para situações específicas. Assim, é natural que os controles de uma organizações possuam uma natureza mutável e possam facilmente assumir outros propósitos para além do que foi estabelecido inicialmente.
A ISO 27001 pode ser adotada e implementada em qualquer tipo de organização, em qualquer setor, incluindo as seguintes características.
- Com ou sem fins lucrativos;
- Governamental em níveis federal, estadual e local;
- Organizações privadas de qualquer tamanho, pequenas, médias ou globais.
Composta pelos maiores especialistas mundiais em segurança da informação, a ISO 27001 oferece um arcabouço completo para a aplicação e cumprimento de SGSI em uma organização.
Ao seguir a ISO 27001 é possível mitigar violações de dados e infiltrações de sistema, tornando mais fácil a conformidade com outras regulamentações do setor e servir como um atestado de segurança reconhecível.
O que é ISO 27002?
A ISO 27002 é mais um código de prática para controles de segurança. Ela descreve as melhores práticas para aqueles que implementam o SGSI, fornecendo diretrizes sobre a seleção, implementação e gerenciamento de controles levando em consideração os ambientes de risco da organização.
A ISO 27002 também pode ser usada por organizações que planejam implementar as suas próprias diretrizes de gerenciamento de segurança da informação.
O equívoco de que ISO 27002 é um padrão para o qual uma empresa pode realmente se tornar certificada vem de pessoas que acreditam que o padrão ISO 27002 foi simplesmente retrabalhado do ISO 17799.
A ISO 17799 foi uma norma que estabelece um referencial para que as empresas possam desenvolver e avaliar o gerenciamento da TI, promovendo a confiabilidade das transações comerciais e a proteção das informações de negócio como um todo. A ISO 17799 foi atualizada para numeração ISO 27002 em julho de 2007.
Embora muitos profissionais de TI no passado usassem a conformidade com ISO 27002 como um padrão interno, nunca houve uma certificação profissional que uma empresa pudesse receber de acordo com esse padrão.
Em contraste, a ISO 27001 é um padrão certificado. Na verdade, o padrão ISO 27001 foi desenvolvido devido à evolução que a ISO 27002 causou no mercado.
Quais os benefícios da ISO 27002 para os profissionais?
As vantagens proporcionadas pela ISO 27002 são representativas para as empresas, principalmente por serem reconhecidas mundialmente. Conheça alguns benefícios associados à aplicação do padrão:
- Melhor consciência da segurança da informação;
- Maior controle de ativos e informações confidenciais;
- Fornece uma abordagem para implementação de políticas de controle;
- Oportunidade de identificar e corrigir deficiências;
- Reduzir o risco de responsabilidade por não implementar um SGSI ou determinar políticas e procedimentos;
- Torna-se um diferencial competitivo para a conquista de clientes que valorizam as melhores práticas do mercado;
- Melhor organização com processos e mecanismos bem projetados e gerenciados;
- Promove redução de custos com prevenção de incidentes de segurança da informação;
- Conformidade com a legislação e outros regulamentos.
A importância da ISO 27002 para LGPD
A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020. Por isso, as empresas precisam correr contra o tempo para adequarem seus processos e infraestrutura de captação e armazenamento de dados pessoais para as novas exigências.
Esta adequação exige planejamento e execução impecáveis para garantir que o patrimônio da empresa – dados de clientes, colaboradores, fornecedores e parceiros – sejam rigorosamente protegidos.
A LGPD requer uma série de adequações, adoção de práticas e medidas para garantir o correto tratamento de dados pessoais prezando pela privacidade do titular. Essa legislação é aplicável a qualquer empresa que faz o tratamento de dados pessoais de qualquer origem, como dados de clientes, funcionários, fornecedores e entre outros.
Uma boa forma de entender a importância da ISO 27002 para a LGPD é primeiramente compreender como a estrutura da ISO e lei são usadas para garantir a segurança dos dados. Confira logo abaixo.
Escopo e Formato
A principal diferença entre os padrões LGPD e ISO está no escopo e no formato. A LGPD é um regulamento que se concentra na proteção dos dados pessoais, na confidencialidade dos dados e na gestão dos riscos para os direitos dos cidadãos e residentes do país.
Em contrapartida, a ISO 27002 é uma estrutura que oferece orientação sobre como as organizações podem implementar políticas claras e viáveis para reduzir os riscos que geram incidentes de segurança.
Embora alguns requisitos no aspecto de segurança de dados se sobreponham, a LGPD é uma disciplina muito mais ampla que abrange a privacidade e a segurança de dados e prescreve como os dados pessoais devem ser protegidos e tratados.
É igualmente importante observar que LGPD e ISO 27002 não são completamente intercambiáveis.
Segurança de Processamento
A LGPD exige a segurança do processamento por meio da aplicação de medidas técnicas e organizacionais para garantir um nível adequado de proteção de dados.
No entanto, ela não descreve detalhes técnicos relacionados a como as organizações podem manter um nível de segurança de dados e minimizar ameaças externas e internas.
A ISO 27002 aborda essa lacuna, fornecendo medidas viáveis sobre como reduzir os riscos. Isso ajudará muito a garantir que suas medidas de segurança de dados sejam concretas o suficiente para proteger dados confidenciais.
A LGPD não é opcional
É muito importante compreender que fazer com que sua organização esteja em conformidade com a ISO 27001 e siga as melhores práticas da ISO 27002 é voluntário, enquanto a LGPD se aplica a todas as organizações dentro e fora do Brasil, que lidam com dados de cidadãos e residentes no país.
Portanto, a conformidade com a LGPD não é opcional, as empresas são obrigadas a cumpri-la ou corre o risco de penalidades elevadas.
Seguir os princípios da ISO 27002 é uma etapa altamente relevante para implementar a segurança da informação nas empresas.
Nesse sentido, é primordial enfatizar a importância das empresas terem profissionais certificados em suas equipes de segurança, dando maior suporte ao processo de implantação das boas práticas relacionadas à norma, bem como à obtenção da certificação ISO 27001.
Além disso, quando falamos de LGPD e privacidade de dados é importante também ter conhecimento sobre a ISO 27701. Sendo a ISO 27001 uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.
É possível e recomendável implementar ambas em paralelo, porém não é possível implementar somente a ISO 27701 sem implementar a ISO 27001, pois os principais controles relacionados a formação de um sistema de gestão seguro estão na ISO 27001. Leia nosso artigo específico sobre ISO 27000 para entender mais sobre o assunto e saber como seguir com a implementação das certificações.
Se interessou pelo assunto? Que tal investir na capacitação do seu time técnico e colher os benefícios em ter uma equipe atualizada com o mercado? Entre em contato com um dos nossos consultores para um diagnóstico gratuito.