Padrão para a área de segurança da informação já está disponível no Brasil, certificando organizações que cumprem requisitos relacionados à LGPD
Bastaram poucos meses desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) para o Brasil viver aquele que já é considerado o maior vazamento de informações pessoais da sua história. O crime, que já provoca debates políticos e uma ampla investigação, tornou públicos os dados de 223 milhões de brasileiros e poderia ter sido evitado caso as empresas brasileiras adotassem de forma eficiente normas internacionais de segurança da informação, como a ISO 27001.
O regulamento é um padrão internacional para o Sistema de Gestão de Segurança da Informação (SGSI), que se baseia na avaliação de riscos e sobre como tratá-los dentro de uma organização, protegendo a integridade e a confidencialidade das informações, e se apresenta como uma aliada das organizações na melhoria do nível de qualidade, processos, sistemas e produtos, além da adequação às normas previstas na LGPD.
O tema, que vem ganhando cada vez mais relevância no País desde setembro de 2020, quando a Lei Federal nº 13.709/2018 entrou em vigor, tornou-se estratégico para empresas que lidam com o armazenamento, uso e compartilhamento de dados, uma vez que estar em conformidade com a legislação previne a responsabilidade por danos decorrentes da utilização indevida ou vazamento de informações pessoais, ainda mais aquelas ligadas a dados sensíveis relacionados a saúde, renda, religião e propriedades.
“Quando uma empresa adota uma norma de Sistema de Gestão de Segurança da Informação, em seu dia a dia, como é o caso da ISO 27001, há a indução automática da criação de procedimentos, processos, controles e regras que, em tese, evitam os vazamentos de dados. Obviamente, há o fator humano envolvido nos processos. Portanto, sempre há riscos de vazamentos”, comentou o vice-presidente de Sistemas e Pessoas da Associação Brasileira de Avaliação da Conformidade (Abrac), Sergio Custodio.
As empresas e instituições que adotam esta norma e, além disto, partem para a busca de uma certificação acreditada, passam a ser auditadas em períodos determinados por um Organismo de Avaliação da Conformidade (OAC) – certificadoras independentes -, o que contribui para um controle externo mais eficaz, no tocante aos processos que minimizam vazamentos de dados, proporcionando ainda outros benefícios, como redução de custos e conformidade com os padrões de segurança. “O tempo de implementação varia de acordo com a realidade, maturidade e dimensão de cada empresa”, declarou a vice-presidente de Relações Institucionais da Abrac, Alessandra Costa.
Requisitos, regras e controles
O regulamento da ISO 27001 é composto por dois tópicos fundamentais: no primeiro são definidos os requisitos e as regras de cumprimento, como contexto da organização, liderança, planejamento, suporte, operação, avaliação do desempenho e melhoria. O segundo é referente aos controles que as empresas devem adotar em temas como política de segurança, organização da segurança da informação, segurança de recursos humanos, gestão de bens, controle de acesso, criptografia, segurança física e ambiental, entre outros.
Para obter a certificação ISO 27001, é necessário buscar um Organismo de Avaliação da Conformidade em uma entidade acreditadora. No Brasil é a Coordenação Geral de Acreditação (Cgcre) do Inmetro, mas algumas são acreditadas por órgãos internacionais, que podem ser consultados no site do Fórum Internacional de Acreditação: https://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4
O OAC guiará a empresa nos seguintes passos: avaliação formal, para verificar se todas as exigências foram cumpridas e feita a avaliação da implementação dos procedimentos e controles para certificar que estão funcionando efetivamente conforme o padrão exige; e certificação: após a aprovação na auditoria formal a organização recebe o certificado, que é válido por três anos.