Artigos

ISO 27001 como Apoio para Adequação à LGPD

Por 7 de dezembro de 2021 Sem comentários

*Por Julie Oliveira

Apesar da LGPD (Lei Geral de Proteção de Dados) estar vigente, muitas empresas ainda não estão totalmente em conformidade com seus requisitos ou não iniciaram o processo de adequação. Estas, por sua vez, estão mais suscetíveis a terem dados vazados por não estruturarem devidamente controles de segurança e podem sofrer multas e sanções previstas na Lei.

Para auxiliar no processo de adequação a alguns requisitos da Lei, principalmente os que se referem a proteção das informações, existem diversos padrões de Segurança da Informação, como a ISO (International Organization for Standardization) 27001, um padrão internacional para implementação do Sistema de Gestão de Segurança da Informação (SGSI), que tem como base a gestão e tratamento dos riscos com objetivo de proteger a integridade, disponibilidade e confidencialidade das informações. A seguir, listamos alguns controles previstos na ISO 27001 que, estando bem estruturados, podem assegurar a proteção das informações e demonstrar adequação a requisitos da Lei.

Classificação da Informação

No tópico referente a Gestão de Ativos da ISO 27001 encontramos o controle de Classificação da Informação com objetivo de assegurar que a informação receba o nível adequado de proteção conforme seu grau de sensibilidade, dessa forma, evitando acesso e compartilhamento indevido.

As informações tratadas pela empresa, geralmente são classificadas em quatro níveis, sendo eles:

  • Público: Informações que podem ser disponibilizadas e acessadas por qualquer pessoa.
  • Interno: Informações que devem ser acessíveis apenas para os colaboradores da empresa.
  • Confidencial: Informações que, caso compartilhadas externamente da empresa, podem acarretar perdas financeiras, de imagem, entre outras. Devem ser acessíveis à um grupo de pessoas dentro da organização.
  • Restrito: Informações que, mesmo dentro da empresa, podem gerar risco. Devem ser somente acessíveis a pessoas específicas.

Dessa forma, a empresa deverá analisar seus documentos e definir um nível de classificação para estes, além de definir controles de segurança específicos para cada nível.

Segurança Física e Lógica

A LGPD determina, em seu artigo 46, que as empresas adotem “medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. Dessa forma, podem se basear em requisitos da ISO 27001 que visam garantir a Segurança Física e Lógica das informações. O agrupamento A.9 – Segurança Física e do Ambiente, da ISO 27001, cita controles como:

  • Controles de entrada física: A empresa deve garantir que o local onde encontram-se os equipamentos para uso e processamento de informações esteja seguro contra acesso indevido, por meio de controle de informações de pessoas que entram e saem do local como câmeras de segurança, catracas, recepção com seguranças.
  • Segurança de equipamentos fora das dependências da organização: A empresa deve garantir que os equipamentos que precisam ser retirados de suas dependências (devido home office, atuação em clientes etc.) sejam segurados em caso de roubo e possuam controles de segurança lógica que impeçam que as informações do equipamento sejam acessadas indevidamente (exemplo: bitlocker).
  • Reutilização e alienação segura de equipamentos: Ao reutilizar ou descartar um equipamento, deve-se garantir que todas as informações antigas sejam completamente deletadas, realizando a formatação total do sistema e de armazenamento, para que não haja risco de acesso às informações confidenciais pela nova pessoa que irá utilizar o equipamento ou pela empresa que irá realizar o descarte.
  • Remoção de propriedade: Em conjunto com o controle de proteção de equipamentos fora das dependências da empresa, também deve-se aplicar um controle para que equipamentos não sejam retirados da organização sem autorização de um responsável, evitando a perda de rastreamento de informações e acesso indevido a elas.

Além dos controles físicos citados acima, também é importante lembrar da utilização de softwares de proteção contra malware, monitoramento de vulnerabilidades, uso de criptografia, controle de acesso lógico para mitigar riscos de acesso indevido às informações.

Gestão de Incidentes

Mesmo aplicando controles de segurança no local e equipamentos da organização, a possibilidade da ocorrência de incidentes envolvendo dados pessoais existe. Sendo assim, é importante que a empresa esteja preparada para realizar a gestão desses incidentes e saiba agir conforme exigências da LGPD.

No agrupamento A.13 da ISO 27001, referente Gestão de Incidentes de Segurança da Informação, há controles como:

  • Notificação de eventos ou suspeita de fragilidade da segurança da informação, onde todos da organização precisam estar conscientes referente comunicação aos stakeholders sobre qualquer suspeita ou acontecimento de incidente de segurança;
  • Responsabilidades e procedimentos para gestão de incidentes, definindo quem deverá atuar e como deverá atuar em casos de incidente, garantindo uma resposta ágil e efetiva;
  • Lições aprendidas, garantindo que informações sobre os incidentes ocorridos sejam monitoradas e utilizadas como melhoria nos controles atuais da empresa.

Além da Gestão de Incidentes, a empresa também deve estruturar um processo para Gestão da Continuidade do Negócio, envolvendo uma avaliação de riscos de eventos que podem ocorrer e causar interrupções aos serviços, definindo a probabilidade de ocorrência e o impacto à organização, garantindo uma visão preventiva e aplicação de controles para obter o menor impacto possível.

Infraestrutura da Segurança da Informação

Por fim, mas não menos importante, a Segurança da Informação deve possuir uma estrutura muito bem estabelecida dentro da organização, com apoio da alta direção e de todos os colaboradores para que os controles aplicados sejam efetivos. Para isso, é importante a elaboração de políticas, normas e procedimentos referentes controles de segurança da informação, que devem ser aprovados pela alta direção e disponibilizados para todos da organização, além de organizar e realizar eventos e treinamentos sobre o assunto, garantindo que todos tenham o conhecimento necessário para manter os dados seguros e a empresa de acordo com a LGPD.

Conclusões

Conforme observado neste artigo, chegamos à conclusão de que existem frameworks disponíveis com diversos controles que podem ser aplicados tanto para Segurança da Informação na organização em geral como para adequação da empresa à LGPD. Gostaria de mais detalhes sobre como aplicá-los? Podemos te ajudar! Entre em contato.

— Julie Oliveira é GRC and Information Security Consultant at [SAFEWAY] 

Sobre a Safeway:

SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 23 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!