Conheça 6 requisitos da ISO 27001 para conformidade com a LGPD . Parte 2
Incidentes de Segurança Vs Vazamentos de Dados
A LGPD exige que as organizações notifiquem sobre uma violação de dados pessoais sem atrasos indevidos e no máximo 72 horas após terem tomado conhecimento de uma violação de dados pessoais. A implementação do controle de Gerenciamento de Incidentes da ISO 27001 garantirá “uma abordagem consistente e eficaz para o gerenciamento de incidentes de segurança da informação, incluindo comunicação sobre eventos de segurança.”
O gerenciamento de incidentes é um dos processos-chave para garantir a eficácia de qualquer operação comercial. Ele é parte integrante das políticas e procedimentos de segurança de uma organização relacionados a backup, continuidade de negócios, recuperação de desastres, gerenciamento de risco e gerenciamento de configuração.
Para atingir esse estado de maturidade, os seguintes processos de gerenciamento de incidentes de segurança devem ser incluídos no plano de respostas a incidentes:
- Funções e responsabilidades claramente definidas para a equipe de resposta a incidentes.
- Matriz RACI que identifica a pessoa que é responsável, autoridade, consultada ou informada pelas atividades definidas antes e depois de um incidente.
- Programa de treinamento para todas as atividades definidas na prática de gerenciamento de incidentes de segurança.
- Checklists e modelos para manutenção operacional.
- Procedimentos de coleta de evidências como parte do gerenciamento de incidentes de segurança.
- Aprender com o incidente e atualizar a base de conhecimento de vulnerabilidade e risco.
- Métricas e relatórios relevantes para a gestão.
A adesão aos requisitos da ISO 27001 garantirá que as organizações estejam em uma posição para detectar rapidamente e gerenciar com eficácia uma violação de dados pessoais.
Avaliação de Risco Vs Avaliações de Impacto de Privacidade
Um dos requisitos da LGPD é a implementação de avaliações de impacto de proteção de dados, onde as empresas terão que primeiro analisar os riscos à sua privacidade. A adoção do Privacy by Design, outro requisito da LGPD, torna-se obrigatória no desenvolvimento de produtos e sistemas.
A ISO 27001 ajuda a garantir que “a segurança da informação é uma parte integrante dos sistemas de informação em todo o ciclo de vida.” Quando uma nova tecnologia está sendo implantada e pode afetar os direitos e privacidade dos indivíduos, uma avaliação do impacto da privacidade se torna necessária. A avaliação também deve conter uma descrição das medidas previstas para lidar com os riscos. A avaliação (e tratamento) dos riscos é a etapa mais importante no início de um projeto de implementação dos requisitos da ISO 27001, pois define as bases para a segurança da informação em sua empresa.
Treinamento e Conscientização
A ISO 27001 promove uma cultura e consciência de segurança da informação nas organizações. A segurança da informação não se trata apenas de tecnologia, mas também de pessoas.
Gestão de Fornecedores Vs Operador de Dados
A LGPD identifica controladores e operadores de dados, obrigando os controladores a manter negócios apenas com operadores que forneçam uma comprovação de que os processos estão em conformidade com o gerenciamento da privacidade de dados pessoais.
Esta é uma abordagem semelhante usada na ISO 27001 para gerenciar fornecedores e terceiros. Esses requisitos devem ser documentados e acordados entre controladores e processadores.
Considerações Finais
Na busca pela conformidade com a LGPD, muitas empresas pesquisam informações e descobrem a ISO 27001 e ISO 27701 nessa jornada. A norma ISO 27001 é uma norma para implementação de um sistema de gestão com foco em segurança da informação, enquanto a norma ISO 27701 é uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.
Dessa forma, recomendamos a norma ISO 27001 como um ponto de partida para as empresas que buscam a conformidade com a LGPD, pois esta norma contém os processos básicos de segurança da informação. Assim, quando a ISO 27001 é combinada com a ISO 27701, seu projeto de conformidade com a LGPD torna-se fluido, uma vez que a ISO 27701 apresenta regras e processos específicos para o tratamento da privacidade dos dados, sendo o principal objetivo da LGPD.
É importante ressaltar que ao certificar a ISO 27001 + ISO 27701, a empresa não está automaticamente aderente à LGPD. No entanto, essa certificação demonstra que a empresa possui um sistema de gestão robusto e preocupado com a privacidade dos dados pessoais, seguindo as melhores práticas do mercado para gestão de segurança da informação e privacidade de dados.
Caso a sua empresa esteja interessada na conformidade com os requisitos da ISO 27001, saiba que a ProMove pode auxiliar sua empresa nessa jornada.
A ProMove possui anos de experiência em implementação e adequação de processos utilizando as normas ISO como base. Além disso, nossos profissionais são certificados em Segurança da Informação e Proteção de Dados, que podem ajudar sua empresa a ficar aderente às normas de segurança com o menor esforço possível.
Antes de se adequar à LGPD, você precisa saber como está o Sistema de Gestão de Segurança da Informação (SGSI) da sua empresa de acordo com a ISO 27001. Clique na imagem abaixo e realize um autodiagnóstico gratuitamente e comece seu processo de conformidade hoje mesmo.