Os requisitos da ISO 27001 compõem um framework para segurança da informação. A ISO 27001 se concentra nas pessoas, processos e tecnologia de uma organização e garante que uma estrutura seja implementada para evitar violações. Além disso, a norma é usada para garantir que um mecanismo adequado seja criado para relatar, registrar incidentes e manter o ambiente de segurança da informação de uma organização.
De acordo com a LGPD (Lei Geral de Proteção de Dados Pessoais), os dados pessoais são toda e qualquer informação relacionada a pessoa natural identificada ou identificável, e são consideradas informações críticas que todas as organizações brasileiras precisam proteger. Os requisitos da ISO 27001 fornecem um framework para proteção de informações que é básico para alcançar a conformidade com a LGPD, ajudando a garantir que as empresas brasileiras possam manter a confiança do cliente em sua capacidade de gerenciar os seus dados pessoais de forma adequada e segura.
Este artigo tem como objetivo ajudar a explicar como o framework ISO 27001 pode ajudar as empresas brasileiras a estabelecer uma base sólida para conformidade com a LGPD. Apresentamos como alguns requisitos da ISO 27001 podem ser relacionados com os princípios de proteção de dados e como isso acelera o seu processo de conformidade com a LGPD.
Continue a leitura deste artigo para complementar seu conhecimento sobre a norma ISO 27001 e faça um autodiagnóstico gratuito da sua empresa disponibilizado ao fim do texto.
Requisitos da ISO 27001
A norma ISO 27001 é usada para implementação de um Sistema de Gestão de Segurança da Informação (SGSI). A formação de um SGSI permite que as organizações demonstrem que os riscos de segurança estão sendo continuamente revisados, gerenciados e tratados.
Um SGSI é a estrutura perfeita para gerenciar riscos para todos os ativos, incluindo dados pessoais, e pode fornecer a garantia de que a organização leva a sério a conformidade com os requisitos da ISO 27001 e a LGPD.
Em alguns casos, os requisitos podem ser mapeados com precisão para artigos da LGPD, em que ambos compartilham conteúdo muito parecido. Em outros casos, os requisitos precisam de algum trabalho adicional para atingir a conformidade com a LGPD. Mesmo quando a LGPD diverge dos requisitos encontrados no framework ISO 27001, os objetivos principais não diferem radicalmente.
Continue a leitura e conheça alguns requisitos da ISO 27001 que podem ser adequados aos controles exigidos pela LGPD.
Classificação da Informação
A classificação de dados é uma primeira etapa natural porque fornece a maneira ideal de ordenar e priorizar os dados com base em sua sensibilidade. Um requisito fundamental para organizações que desejam obter a conformidade com os requisitos da ISO 27001 é a necessidade de desenvolver um inventário de ativos que o ajudará a entender quais informações você possui e quem é responsável por elas (ou seja, quem é o proprietário).
A ISO 27001 não prescreve os níveis de classificação (permite que você defina suas próprias regras). Isso é algo que você deve desenvolver por conta própria, com base no que é comum em seu setor. Quanto maior e mais complexa for sua organização, mais níveis de confidencialidade haverá. No entanto, a ISO 27001 coloca a responsabilidade sobre o proprietário do ativo. Isso geralmente é feito com base nos resultados da avaliação de risco: quanto maior o valor da informação (quanto maior a consequência da violação da confidencialidade), maior será o nível de classificação.
Segurança da Informação Vs Proteção de Dados
O framework ISO 27001 recomenda a implementação de uma política de proteção de dados especificando requisitos para proteção de dados apoiados por procedimentos de retenção e destruição de dados. Enquanto isso, a LGPD fornece recomendações específicas para quais ações devem ser consideradas para a proteção e privacidade de dados pessoais, incluindo:
- Pseudonimização e criptografia de dados pessoais.
- A capacidade de garantir a continuidade da confidencialidade, integridade, disponibilidade dos sistemas e serviços de processamento de dados
- A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de uma ocorrência física ou incidente técnico.
- Um processo para testar regularmente, avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais.
Vários requisitos da ISO 27001 podem ser usados para dar suporte à conformidade com a LGPD no que diz respeito à proteção de dados pessoais.
Por exemplo, vejamos os requisitos referentes à criptografia. O uso de criptografia ou pseudonimização pode manter a confidencialidade das informações pessoais, seja na rede, em trânsito ou em dispositivos móveis.
O tópico sobre controle de acesso pode garantir que apenas indivíduos com um direito legítimo possam acessar informações de acordo com seu nível de privilégio. Além disso, os sistemas de TI devem ser suficientemente resilientes a ataques externos. Outro controle do framework ISO 27001 exige que as empresas realizem testes de vulnerabilidade e testes de penetração com o devido cuidado, para que os sistemas testados não sejam comprometidos.
O requisito para gerenciar vulnerabilidades técnicas sob a ISO 27001 exige que as organizações apliquem patches aos sistemas, mantenham um registro de logs e outros procedimentos de segurança da informação.
Incidentes de Segurança Vs Vazamentos de Dados
A LGPD exige que as organizações notifiquem sobre uma violação de dados pessoais sem atrasos indevidos e no máximo 72 horas após terem tomado conhecimento de uma violação de dados pessoais. A implementação do controle Gerenciamento de Incidentes da ISO 27001 garantirá “uma abordagem consistente e eficaz para o gerenciamento de incidentes de segurança da informação, incluindo comunicação sobre eventos de segurança”.
O gerenciamento de incidentes é um dos processos-chave para garantir a eficácia de qualquer operação comercial. O gerenciamento de incidentes é parte integrante das políticas e procedimentos de segurança de uma organização relacionados a backup, continuidade de negócios, recuperação de desastres, gerenciamento de risco e gerenciamento de configuração.
Para atingir esse estado de maturidade, os seguintes processos de gerenciamento de incidentes de segurança devem ser incluídos no plano de respostas a incidentes:
- Funções e responsabilidades claramente definidas para a equipe de resposta a incidentes.
- Matriz RACI que identifica a pessoa que é responsável, autoridade, consultada ou informada pelas atividades definidas antes e depois de um incidente.
- Programa de treinamento para todas as atividades definidas na prática de gerenciamento de incidentes de segurança.
- Checklists e modelos para manutenção operacional.
- Procedimentos de coleta de evidências como parte do gerenciamento de incidente de segurança.
- Aprender com o incidente e atualizar a base de conhecimento de vulnerabilidade e risco.
- Métricas e relatórios relevantes para a gestão.
A adesão aos requisitos da ISO 27001 garantirá que as organizações estejam em uma posição para detectar rapidamente e gerenciar com eficácia uma violação de dados pessoais.
Avaliação de Risco Vs Avaliações de Impacto de Privacidade
Um dos requisitos da LGPD é a implementação de avaliações de impacto de proteção de dados, onde as empresas terão que primeiro analisar os riscos à sua privacidade. A adoção do Privacy by Design, outro requisito da LGPD, torna-se obrigatória no desenvolvimento de produtos e sistemas.
A ISO 27001 ajuda a garantir que “a segurança da informação é uma parte integrante dos sistemas de informação em todo o ciclo de vida.” Quando uma nova tecnologia está sendo implantada e pode afetar os direitos e privacidade dos indivíduos, uma avaliação do impacto da privacidade se torna necessária. A avaliação também deve conter uma descrição das medidas previstas para lidar com os riscos. A avaliação (e tratamento) dos riscos é a etapa mais importante no início de um projeto de implementação dos requisitos da ISO 27001, ela define as bases para a segurança da informação em sua empresa.
Treinamento e Conscientização
A ISO 27001 promove uma cultura e consciência de segurança da informação nas organizações. A segurança da informação não se trata apenas de tecnologia, mas também de pessoas.
Gestão de Fornecedores Vs Operador de Dados
A LGPD identifica controladores e operadores de dados, obrigando os controladores a manter negócios apenas com operadores que forneçam uma comprovação de que os processos estão em conformidade com o gerenciamento da privacidade de dados pessoais.
Esta é uma abordagem semelhante usada na ISO 27001 para gerenciar fornecedores e terceiros. Esses requisitos devem ser documentados e acordados entre controladores e processadores.
Considerações Finais
Na busca pela conformidade com a LGPD, muitas empresas pesquisam por informações e descobrem a ISO 27001 e ISO 27701 nessa jornada. A norma ISO 27001 é uma norma para implementação de um sistema de gestão com foco em segurança da informação, enquanto a norma ISO 27701 é uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.
Dessa forma, recomendamos a norma ISO 27001 como um ponto de partida para as empresas que buscam a conformidade com a LGPD, pois esta norma contém os processos básicos de segurança da informação. Assim, quando a ISO 27001 é combinada com a ISO 27701, o seu projeto de conformidade com a LGPD torna-se fluido, justamente porque a ISO 27701 apresenta regras e processos específicos para o tratamento da privacidade dos dados, sendo o principal objetivo da LGPD.
É importante ressaltar que ao certificar a ISO 27001 + ISO 27701, a empresa não está automaticamente aderente à LGPD. No entanto, essa certificação demonstra que a empresa possui um sistema de gestão robusto e preocupado com a privacidade dos dados pessoais, seguindo as melhores práticas do mercado para gestão de segurança da informação e privacidade de dados.
Caso a sua empresa esteja interessada na conformidade com os requisitos da ISO 27001, saiba que a ProMove pode auxiliar sua empresa nessa jornada.
A ProMove possui anos de experiência em implementação e adequação de processos utilizando as normas ISO como base. Além disso, nossos profissionais são certificados em Segurança da Informação e Proteção de Dados que podem ajudar sua empresa a ficar aderente às normas de segurança com o menor esforço possível.
Antes de se adequar à LGPD você precisa saber como está o Sistema de Gestão de Segurança da Informação (SGSI) da sua empresa de acordo com a ISO 27001. Clique na imagem abaixo e realize um autodiagnóstico gratuitamente e comece seu processo de conformidade hoje mesmo.