Incidentes de Segurança Vs Vazamentos de Dados

A LGPD exige que as organizações notifiquem sobre uma violação de dados pessoais sem atrasos indevidos e no máximo 72 horas após terem tomado conhecimento de uma violação de dados pessoais. A implementação do controle de Gerenciamento de Incidentes da ISO 27001 garantirá “uma abordagem consistente e eficaz para o gerenciamento de incidentes de segurança da informação, incluindo comunicação sobre eventos de segurança.”

O gerenciamento de incidentes é um dos processos-chave para garantir a eficácia de qualquer operação comercial. Ele é parte integrante das políticas e procedimentos de segurança de uma organização relacionados a backup, continuidade de negócios, recuperação de desastres, gerenciamento de risco e gerenciamento de configuração.

Para atingir esse estado de maturidade, os seguintes processos de gerenciamento de incidentes de segurança devem ser incluídos no plano de respostas a incidentes:

• Funções e responsabilidades claramente definidas para a equipe de resposta a incidentes.
• Matriz RACI que identifica a pessoa que é responsável, autoridade, consultada ou informada pelas atividades definidas antes e depois de um incidente.
• Programa de treinamento para todas as atividades definidas na prática de gerenciamento de incidentes de segurança.
• Checklists e modelos para manutenção operacional.
• Procedimentos de coleta de evidências como parte do gerenciamento de incidentes de segurança.
• Aprender com o incidente e atualizar a base de conhecimento de vulnerabilidade e risco.
• Métricas e relatórios relevantes para a gestão.

A adesão aos requisitos da ISO 27001 garantirá que as organizações estejam em uma posição para detectar rapidamente e gerenciar com eficácia uma violação de dados pessoais.

Avaliação de Risco Vs Avaliações de Impacto de Privacidade

Um dos requisitos da LGPD é a implementação de avaliações de impacto de proteção de dados, onde as empresas terão que primeiro analisar os riscos à sua privacidade. A adoção do Privacy by Design, outro requisito da LGPD, torna-se obrigatória no desenvolvimento de produtos e sistemas.

A ISO 27001 ajuda a garantir que “a segurança da informação é uma parte integrante dos sistemas de informação em todo o ciclo de vida.” Quando uma nova tecnologia está sendo implantada e pode afetar os direitos e privacidade dos indivíduos, uma avaliação do impacto da privacidade se torna necessária. A avaliação também deve conter uma descrição das medidas previstas para lidar com os riscos. A avaliação (e tratamento) dos riscos é a etapa mais importante no início de um projeto de implementação dos requisitos da ISO 27001, pois define as bases para a segurança da informação em sua empresa.

Treinamento e Conscientização

A ISO 27001 promove uma cultura e consciência de segurança da informação nas organizações. A segurança da informação não se trata apenas de tecnologia, mas também de pessoas.

Gestão de Fornecedores Vs Operador de Dados

A LGPD identifica controladores e operadores de dados, obrigando os controladores a manter negócios apenas com operadores que forneçam uma comprovação de que os processos estão em conformidade com o gerenciamento da privacidade de dados pessoais.

Esta é uma abordagem semelhante usada na ISO 27001 para gerenciar fornecedores e terceiros. Esses requisitos devem ser documentados e acordados entre controladores e processadores.

Considerações Finais

Na busca pela conformidade com a LGPD, muitas empresas pesquisam informações e descobrem a ISO 27001 e ISO 27701 nessa jornada. A norma ISO 27001 é uma norma para implementação de um sistema de gestão com foco em segurança da informação, enquanto a norma ISO 27701 é uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.

Dessa forma, recomendamos a norma ISO 27001 como um ponto de partida para as empresas que buscam a conformidade com a LGPD, pois esta norma contém os processos básicos de segurança da informação. Assim, quando a ISO 27001 é combinada com a ISO 27701, seu projeto de conformidade com a LGPD torna-se fluido, uma vez que a ISO 27701 apresenta regras e processos específicos para o tratamento da privacidade dos dados, sendo o principal objetivo da LGPD.

É importante ressaltar que ao certificar a ISO 27001 + ISO 27701, a empresa não está automaticamente aderente à LGPD. No entanto, essa certificação demonstra que a empresa possui um sistema de gestão robusto e preocupado com a privacidade dos dados pessoais, seguindo as melhores práticas do mercado para gestão de segurança da informação e privacidade de dados.

Caso a sua empresa esteja interessada na conformidade com os requisitos da ISO 27001, saiba que a ProMove pode auxiliar sua empresa nessa jornada.

A ProMove possui anos de experiência em implementação e adequação de processos utilizando as normas ISO como base. Além disso, nossos profissionais são certificados em Segurança da Informação e Proteção de Dados, que podem ajudar sua empresa a ficar aderente às normas de segurança com o menor esforço possível.

Antes de se adequar à LGPD, você precisa saber como está o Sistema de Gestão de Segurança da Informação (SGSI) da sua empresa de acordo com a ISO 27001. Clique na imagem abaixo e realize um autodiagnóstico gratuitamente e comece seu processo de conformidade hoje mesmo.