*Carlos Borella
O tema Proteção de Dados certamente foi um dos mais discutidos, talvez o mais, nos últimos meses, uma vez que mundo afora diversas regulamentações (GDPR, LGPD, entre outras) foram promulgadas pelos países.
Depois do período de assessments, avaliações, mapeamento de fluxo de dados, controles aplicados ou não, e a geração de inúmeros planos de ação, acredito que a pergunta de todos deve ser: Como aferir o nível de adequação de minha empresa a adoção de práticas para proteção de dados pessoais?
Certamente não é uma resposta simples, uma vez que não há nenhuma certificação diretamente ligada as regulamentações para aferir o nível de conformidade. Contudo a publicação da ISO/IEC 27701:2019 pode apoiá-lo nesta fase da jornada de proteção de dados. E como seria isso?
Através de uma matriz de riscos e controles, baseada nas ISO 27001, ISO 27701 e regulamentação de proteção de dados ao qual a companhia está submetida, é possível realizar uma avaliação e mensurar o nível de adequação de sua companhia.
Recomenda-se que esta avaliação seja executada por uma pessoa com certa independência, ou seja, que não esteja diretamente ligada aos processos de adequação.
E como podemos apoiá-lo?
- Apoiar no desenvolvimento de uma metodologia para avaliação de seu ambiente, avaliação esta que pode ser executada, por exemplo, por uma área de auditoria interna de sua empresa, caso haja tal estrutura. Adicionalmente, ao desenvolvimento da metodologia, treinar e apoiar sua equipe interna em tal implementação;
- Executar a avaliação, no papel de auditor externo, de modo a avaliar e emitir um parecer independente em relação ao nível de adequação a proteção de dados, atualmente implementados;
Importante ressaltar que a certificação baseada na ISO pode oferecer um bom caminho para a aplicação de controles de segurança das informações e a proteção de dados, contudo as autoridades de supervisão, ainda não definiram regras especificas para os processos de certificação nos termos do regime do artigo 42/43 (GDPR) e artigo 35 (LGPD).
Nossa recomendação é utilizar uma matriz de riscos e controles mista, desenvolvida com base em requisitos e controles das normas (ISO) e das regulamentações (GDPR, LGDP, etc.), a qual pode ser utilizada para avaliar o nível de adequação da organização, independentemente, se no futuro esta irá buscar a implementação dos sistemas de gestão propostos pela ISO.
*Carlos Borella é sócio, CEO e líder da área de Cyber da [SAFEWAY]
Baixe o e-book sobre esse tema e agende uma conversa com um de nossos especialistas e entenda como podemos lhe apoiar nesta fase de sua jornada de adequação.
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 22 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
