A Lei Geral de Proteção de Dados (LGPD) e o padrão ISO 27002 (especialmente quando combinado com a ISO 27001) têm muitos objetivos em comum. Ambos visam mitigar o risco de violações de dados e fortalecer a segurança dos dados.
ISO 27002 representa um padrão internacional de segurança que descreve a estrutura de melhores práticas para gerenciamento de processos, tecnologia e pessoas.
Para cumprir com a LGPD, as organizações devem garantir a integridade, disponibilidade e confidencialidade dos dados pessoais em sua posse. No entanto, há muitas diferenças entre os dois também, e é importante observar que ter a certificação ISO 27001 não é igual a conformidade com a LGPD.
Se ao buscar por conformidade com a LGPD você encontrou ISO 27001 e ISO 27002, pode estar se perguntando qual é a importância entre os dois e se eles funcionam em conjunto. Neste artigo, descrevemos o que é cada padrão e como eles funcionam juntos para ajudá-lo a implementar um sistema de segurança em que você pode confiar.
A ISO 27001 é o padrão internacional que estabelece os detalhes e as melhores práticas para o SGSI de uma organização, o que é fundamental para evitar que os controles se tornem desorganizados.
O Sistema de Gestão de Segurança da Informação (SGSI) é um sistema de gerenciamento documentado que consiste em um conjunto de controles de segurança que protegem a confidencialidade, disponibilidade e integridade dos ativos contra ameaças e vulnerabilidades.
Ao projetar, implementar, gerenciar e manter um SGSI, as organizações podem proteger seus dados confidenciais, pessoais e sensíveis de serem comprometidos. Os principais controles de segurança que envolvem o SGSI dizem respeito aos seguintes temas:
Muitas vezes os controles internos são projetados e implementados como paliativos temporários ou soluções pontuais para situações específicas. Assim, é natural que os controles de uma organizações possuam uma natureza mutável e possam facilmente assumir outros propósitos para além do que foi estabelecido inicialmente.
A ISO 27001 pode ser adotada e implementada em qualquer tipo de organização, em qualquer setor, incluindo as seguintes características.
Composta pelos maiores especialistas mundiais em segurança da informação, a ISO 27001 oferece um arcabouço completo para a aplicação e cumprimento de SGSI em uma organização.
Ao seguir a ISO 27001 é possível mitigar violações de dados e infiltrações de sistema, tornando mais fácil a conformidade com outras regulamentações do setor e servir como um atestado de segurança reconhecível.
A ISO 27002 é mais um código de prática para controles de segurança. Ela descreve as melhores práticas para aqueles que implementam o SGSI, fornecendo diretrizes sobre a seleção, implementação e gerenciamento de controles levando em consideração os ambientes de risco da organização.
A ISO 27002 também pode ser usada por organizações que planejam implementar as suas próprias diretrizes de gerenciamento de segurança da informação.
O equívoco de que ISO 27002 é um padrão para o qual uma empresa pode realmente se tornar certificada vem de pessoas que acreditam que o padrão ISO 27002 foi simplesmente retrabalhado do ISO 17799.
A ISO 17799 foi uma norma que estabelece um referencial para que as empresas possam desenvolver e avaliar o gerenciamento da TI, promovendo a confiabilidade das transações comerciais e a proteção das informações de negócio como um todo. A ISO 17799 foi atualizada para numeração ISO 27002 em julho de 2007.
Embora muitos profissionais de TI no passado usassem a conformidade com ISO 27002 como um padrão interno, nunca houve uma certificação profissional que uma empresa pudesse receber de acordo com esse padrão.
Em contraste, a ISO 27001 é um padrão certificado. Na verdade, o padrão ISO 27001 foi desenvolvido devido à evolução que a ISO 27002 causou no mercado.
As vantagens proporcionadas pela ISO 27002 são representativas para as empresas, principalmente por serem reconhecidas mundialmente. Conheça alguns benefícios associados à aplicação do padrão:
A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020. Por isso, as empresas precisam correr contra o tempo para adequarem seus processos e infraestrutura de captação e armazenamento de dados pessoais para as novas exigências.
Esta adequação exige planejamento e execução impecáveis para garantir que o patrimônio da empresa – dados de clientes, colaboradores, fornecedores e parceiros – sejam rigorosamente protegidos.
A LGPD requer uma série de adequações, adoção de práticas e medidas para garantir o correto tratamento de dados pessoais prezando pela privacidade do titular. Essa legislação é aplicável a qualquer empresa que faz o tratamento de dados pessoais de qualquer origem, como dados de clientes, funcionários, fornecedores e entre outros.
Uma boa forma de entender a importância da ISO 27002 para a LGPD é primeiramente compreender como a estrutura da ISO e lei são usadas para garantir a segurança dos dados. Confira logo abaixo.
A principal diferença entre os padrões LGPD e ISO está no escopo e no formato. A LGPD é um regulamento que se concentra na proteção dos dados pessoais, na confidencialidade dos dados e na gestão dos riscos para os direitos dos cidadãos e residentes do país.
Em contrapartida, a ISO 27002 é uma estrutura que oferece orientação sobre como as organizações podem implementar políticas claras e viáveis para reduzir os riscos que geram incidentes de segurança.
Embora alguns requisitos no aspecto de segurança de dados se sobreponham, a LGPD é uma disciplina muito mais ampla que abrange a privacidade e a segurança de dados e prescreve como os dados pessoais devem ser protegidos e tratados.
É igualmente importante observar que LGPD e ISO 27002 não são completamente intercambiáveis.
A LGPD exige a segurança do processamento por meio da aplicação de medidas técnicas e organizacionais para garantir um nível adequado de proteção de dados.
No entanto, ela não descreve detalhes técnicos relacionados a como as organizações podem manter um nível de segurança de dados e minimizar ameaças externas e internas.
A ISO 27002 aborda essa lacuna, fornecendo medidas viáveis sobre como reduzir os riscos. Isso ajudará muito a garantir que suas medidas de segurança de dados sejam concretas o suficiente para proteger dados confidenciais.
É muito importante compreender que fazer com que sua organização esteja em conformidade com a ISO 27001 e siga as melhores práticas da ISO 27002 é voluntário, enquanto a LGPD se aplica a todas as organizações dentro e fora do Brasil, que lidam com dados de cidadãos e residentes no país.
Portanto, a conformidade com a LGPD não é opcional, as empresas são obrigadas a cumpri-la ou corre o risco de penalidades elevadas.
Seguir os princípios da ISO 27002 é uma etapa altamente relevante para implementar a segurança da informação nas empresas.
Nesse sentido, é primordial enfatizar a importância das empresas terem profissionais certificados em suas equipes de segurança, dando maior suporte ao processo de implantação das boas práticas relacionadas à norma, bem como à obtenção da certificação ISO 27001.
Além disso, quando falamos de LGPD e privacidade de dados é importante também ter conhecimento sobre a ISO 27701. Sendo a ISO 27001 uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.
É possível e recomendável implementar ambas em paralelo, porém não é possível implementar somente a ISO 27701 sem implementar a ISO 27001, pois os principais controles relacionados a formação de um sistema de gestão seguro estão na ISO 27001. Leia nosso artigo específico sobre ISO 27001 para entender mais sobre o assunto e saber como seguir com a implementação das certificações.
Se interessou pelo assunto? Que tal investir na capacitação do seu time técnico e colher os benefícios em ter uma equipe atualizada com o mercado? Entre em contato com um dos nossos consultores para entender melhor as necessidades da sua empresa.
Nenhum comentário aprovado.