Conheça 6 requisitos da ISO 27001 para conformidade com a LGPD . Parte 1
Os requisitos da ISO 27001 compõem um framework para segurança da informação. A ISO 27001 se concentra nas pessoas, processos e tecnologia de uma organização e garante que uma estrutura seja implementada para evitar violações. Além disso, a norma é usada para garantir que um mecanismo adequado seja criado para relatar, registrar incidentes e manter o ambiente de segurança da informação de uma organização.
De acordo com a LGPD (Lei Geral de Proteção de Dados Pessoais), os dados pessoais são toda e qualquer informação relacionada a pessoa natural identificada ou identificável, e são consideradas informações críticas que todas as organizações brasileiras precisam proteger. Os requisitos da ISO 27001 fornecem um framework para proteção de informações que é básico para alcançar a conformidade com a LGPD, ajudando a garantir que as empresas brasileiras possam manter a confiança do cliente em sua capacidade de gerenciar os seus dados pessoais de forma adequada e segura.
Este artigo tem como objetivo ajudar a explicar como o framework ISO 27001 pode ajudar as empresas brasileiras a estabelecer uma base sólida para conformidade com a LGPD. Apresentamos como alguns requisitos da ISO 27001 podem ser relacionados com os princípios de proteção de dados e como isso acelera o seu processo de conformidade com a LGPD.
Continue a leitura deste artigo para complementar seu conhecimento sobre a norma ISO 27001 e faça um autodiagnóstico gratuito da sua empresa, disponibilizado ao fim do texto.
Requisitos da ISO 27001
A norma ISO 27001 é usada para implementação de um Sistema de Gestão de Segurança da Informação (SGSI). A formação de um SGSI permite que as organizações demonstrem que os riscos de segurança estão sendo continuamente revisados, gerenciados e tratados.
Um SGSI é a estrutura perfeita para gerenciar riscos para todos os ativos, incluindo dados pessoais, e pode fornecer a garantia de que a organização leva a sério a conformidade com os requisitos da ISO 27001 e a LGPD.
Em alguns casos, os requisitos podem ser mapeados com precisão para artigos da LGPD, em que ambos compartilham conteúdo muito parecido. Em outros casos, os requisitos precisam de algum trabalho adicional para atingir a conformidade com a LGPD. Mesmo quando a LGPD diverge dos requisitos encontrados no framework ISO 27001, os objetivos principais não diferem radicalmente.
Continue a leitura e conheça alguns requisitos da ISO 27001 que podem ser adequados aos controles exigidos pela LGPD.
Classificação da Informação
A classificação de dados é uma primeira etapa natural porque fornece a maneira ideal de ordenar e priorizar os dados com base em sua sensibilidade. Um requisito fundamental para organizações que desejam obter a conformidade com os requisitos da ISO 27001 é a necessidade de desenvolver um inventário de ativos que o ajudará a entender quais informações você possui e quem é responsável por elas (ou seja, quem é o proprietário).
A ISO 27001 não prescreve os níveis de classificação (permite que você defina suas próprias regras). Isso é algo que você deve desenvolver por conta própria, com base no que é comum em seu setor. Quanto maior e mais complexa for sua organização, mais níveis de confidencialidade haverá. No entanto, a ISO 27001 coloca a responsabilidade sobre o proprietário do ativo. Isso geralmente é feito com base nos resultados da avaliação de risco: quanto maior o valor da informação (quanto maior a consequência da violação da confidencialidade), maior será o nível de classificação.
Segurança da Informação Vs Proteção de Dados
O framework ISO 27001 recomenda a implementação de uma política de proteção de dados especificando requisitos para proteção de dados, apoiados por procedimentos de retenção e destruição de dados. Enquanto isso, a LGPD fornece recomendações específicas para quais ações devem ser consideradas para a proteção e privacidade de dados pessoais, incluindo:
- Pseudonimização e criptografia de dados pessoais.
- A capacidade de garantir a continuidade da confidencialidade, integridade, disponibilidade dos sistemas e serviços de processamento de dados.
- A capacidade de restaurar a disponibilidade e o acesso aos dados pessoais em tempo hábil no caso de uma ocorrência física ou incidente técnico.
- Um processo para testar regularmente, avaliar a eficácia das medidas técnicas e organizacionais para garantir a segurança do processamento de dados pessoais.
Vários requisitos da ISO 27001 podem ser usados para dar suporte à conformidade com a LGPD no que diz respeito à proteção de dados pessoais.
Por exemplo, vejamos os requisitos referentes à criptografia. O uso de criptografia ou pseudonimização pode manter a confidencialidade das informações pessoais, seja na rede, em trânsito ou em dispositivos móveis.
O tópico sobre controle de acesso pode garantir que apenas indivíduos com um direito legítimo possam acessar informações de acordo com seu nível de privilégio. Além disso, os sistemas de TI devem ser suficientemente resilientes a ataques externos. Outro controle do framework ISO 27001 exige que as empresas realizem testes de vulnerabilidade e testes de penetração com o devido cuidado, para que os sistemas testados não sejam comprometidos.
O requisito para gerenciar vulnerabilidades técnicas sob a ISO 27001 exige que as organizações apliquem patches aos sistemas, mantenham um registro de logs e outros procedimentos de segurança da informação.