Imagem de destaque

Escrito por: David Zanetti

Quando: 9 de abril de 2024

ISO 27001: um guia para adequação à LGPD

Desde 2021, o governo criou uma nova camada desafiadora para as organizações: a Lei Geral de Proteção de Dados (LGPD). Apesar de aprovada em 2018, entrou em vigor em setembro de 2020, e as sanções administrativas passaram a ser exigíveis a partir de agosto de 2021.

A LGPD, como muitos já sabem, dispõe “sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”.

Embora em escala menor, o mercado de empresas de TI já está em movimento, preocupado em atender aos requisitos legais definidos. Ao procurar mais informações sobre a LGPD, é comum que as organizações se deparem com a ISO/IEC 27001.

 

LGPD versus ISO/IEC 27001

 

Ainda existem muitas dúvidas, confusões e expectativas equivocadas tanto em relação à LGPD quanto à ISO/IEC 27001 e suas associadas (ISO/IEC 27002, ISO/IEC 27701). Grande parte das empresas que nos procuram ainda tem grandes dúvidas de como começar a sua adequação, seja à legislação ou às normas. Vamos tentar esclarecer algumas dessas confusões e alinhar um pouco mais as expectativas.

A LGPD é uma Lei, não uma norma ou modelo a ser seguido. Ela padroniza a privacidade e tratamento de dados pessoais por empresas e profissionais autônomos. Baseia-se no conceito de dados pessoais sensíveis, abrangendo as seguintes informações: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou orientação sexual, dado genético ou biométrico, quando vinculados a uma pessoa natural.

Antes de mais nada, a adequação à lei é uma questão de gestão de riscos. Sob o ponto de vista organizacional, isso representa o quanto a empresa está disposta a correr riscos relacionados a processos judiciais, perder contratos ou ter sua reputação abalada no mercado por vazamentos indevidos. Tudo isso pode resultar em prejuízos financeiros vultosos, sem contar as multas que podem ser aplicadas pela ANPD – Autoridade Nacional de Proteção de Dados. O objetivo, aqui, é fazer com que as organizações e profissionais autônomos tenham mais cuidado no tratamento e compartilhamento de dados com terceiros.

Tratando-se de uma lei, há um viés jurídico significativo. Contudo, há também um viés técnico, orientando formas de tratar dados pessoais e evitar que vazamentos indevidos se tornem dores de cabeça, demonstrando a boa-fé das organizações ao gerenciar e compartilhar tais dados.

É aí que a ISO/IEC 27001, a ISO/IEC 27701 e outras normas e modelos entram em cena, auxiliando as organizações a gerir de forma adequada a segurança dos dados e outras informações que queiram proteger.

A ISO/IEC 27001 é focada na construção de um SGSI (Sistema de Gestão de Segurança da Informação). É uma norma que define um conjunto de controles que impactam a organização como um todo. Embora a certificação possa ser aplicada a uma unidade organizacional específica, os controles afetam toda a infraestrutura de TI dessa unidade. Ter uma certificação da ISO/IEC 27001 é uma forma de garantir que a organização implemente um SGSI de acordo com os padrões estabelecidos e devidamente acreditados.

Credibilidade é a palavra chave. Ser certificado por uma terceira parte respeitada e independente transmite confiança à gerência, parceiros de negócios, clientes e auditores que uma organização leva a sério a gestão da Segurança da Informação.

A implementação dos requisitos da norma ISO/IEC 27001 é um caminho para adequação à LGPD. Ela acaba funcionando como um guia (roadmap) para adequação. No entanto, o aspecto jurídico também é fundamental, pois impacta contratos e acordos, exigindo discussões contínuas para garantir a conformidade em diferentes contextos.

 

Processo de Implementação da ISO/IEC 27001

 

A implementação de ISO/IEC 27001 começa através de um diagnóstico detalhado para entender as práticas existentes na organização (sim! Provavelmente você já tem em execução uma série de práticas que são englobadas pela norma), identificar lacunas e avaliar a extensão da documentação das políticas e procedimentos. A ideia da ISO/IEC 27001 é criar uma consciência sobre segurança da informação.

Com base em nossa experiência, a implementação de ISO 27001 geralmente leva cerca de 12 meses, mas esse prazo pode variar dependendo da dedicação da equipe interna, da existência de uma consultoria especializada (fator crítico de sucesso), e do escopo (departamentos) da implementação. Os processos e procedimentos do SGSI devem ser implementados antes da auditoria de certificação.

É importante lembrar que a implementação dessa norma envolve três componentes:

  • Jurídico: pode ser feito em conjunto com a LGPD;
  • Técnico: engloba o controle de segurança de TI que impactam a infraestrutura da organização, mesmo em nuvem;
  • Governança: envolve a criação de políticas, diretrizes e procedimentos que deverão ser definidos, aprovados e implantados em toda a organização, envolvendo treinamento adequado aos colaboradores e monitoração contínua.

Atualmente, nem o governo nem grandes clientes exigem a certificação ISO/IEC 27001, mas tê-la já representa um grande passo para evitar dúvidas de terceiros e demonstrar comprometimento com as melhores práticas. Ainda que a intenção seja criar uma conscientização e garantir que as organizações tratem adequadamente as informações que detém ou que operam, possuir o selo pode, de fato, significar ganho competitivo. Portanto, é necessário buscar organismos de certificação que possam prover serviços de auditorias.

 

Auditoria de Certificação

 

A auditoria de certificação ocorre em duas etapas: fase 1 e fase 2. Na fase 1, é feita uma análise documental, enquanto a fase 2 ocorre no local, verificando a implementação dos controles técnicos e de governança, além de entrevistar responsáveis por executar os procedimentos previstos no SGSI (Sistema de Gestão de Segurança da Informação).

Todas as pessoas da organização podem ser auditadas nesta etapa. Anualmente, são feitas as auditorias de manutenção, cujo escopo é reduzido. Após três anos, é necessário realizar uma nova auditoria de certificação.

 

Desafios e Melhoria Contínua

 

A discussão sobre este assunto está longe de terminar. Quanto mais experiência acumulamos em implementação e auditorias, nos deparamos com novos desafios e novas interpretações.

Cada contexto é único, exigindo dos profissionais flexibilidade e conhecimento sobre como aplicar os requisitos de forma a agregar valor à empresa e aos seus colaboradores. Este é um processo contínuo de amadurecimento e aprimoramento, que combina aprendizado teórico e prático.

 

Deseja obter a certificação ISO 27001 e não sabe por onde começar?

A Promove possui uma equipe experiente e preparada para diagnosticar e acompanhar sua empresa na adequação das práticas de Segurança da Informação e Privacidade.


David Zanetti

Sua expertise abrange desde a aplicação das melhores práticas do CMMI até o gerenciamento ágil de projetos, melhoria de processos e otimização de fluxos de trabalho, conduzindo as empresas a alcançarem resultados excepcionais.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Nenhum comentário aprovado.


Matérias Semelhantes

Certificação
2 de maio, 2024

Certificações para empresas de TI: Saiba quais são as mais importantes

À medida que os negócios expandem e aumentam sua base de clientes, é comum que as organizações necessitem demonstrar certos níveis de gestão e governança, co...
Ler artigo
Certificação
22 de abril, 2024

Certificação ISO 27001: O que você precisa saber para implementar a norma

A ISO 27001 é uma norma certificável que atesta que sua empresa cumpre os requisitos do International Organization for Standardizat...
Ler artigo
Certificação
17 de abril, 2024

O que é CMMI e como usar? Aprenda aqui!

CMMI significa Capability Maturity Model Integration (Modelo de Capacidade e Maturidade Integrado) e como o próprio nome diz é um modelo ...
Ler artigo