SGSI/ISO 27001: Como atender às normas de segurança

A adoção do padrão de Segurança da Informação (SGSI) ISO 27001 traz muitos benefícios para as empresas, pois contribui para a proteção de dados e a governança de TI.

Além disso, a conformidade com esse padrão de Segurança da Informação demonstra que a empresa está em busca de se adequar à nova Lei Geral de Proteção de Dados Pessoais (LGPD), trazendo maior confiança para seus clientes e parceiros.

Neste artigo, explicaremos como atender às normas de segurança da ISO 27001 e daremos dicas para você implementá-las em sua empresa.

 

Conheça as medidas determinadas pelo SGSI/ISO 27001

O SGSI (ISO 27001) é um padrão internacional para sistema de gestão da segurança da informação, publicado inicialmente em 2013 e atualizado em 2019. Assim como a LGPD, essa norma foi inspirada no GDPR (General Data Protection Regulation) – regulamento europeu sobre privacidade e proteção de dados.

A ISO 27001 trata especificamente dos requisitos para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão da segurança da informação (SGSI) dentro de uma empresa. A norma tem como principio geral a adoção de um conjunto de requisitos, processos e controles capazes de mitigar e gerir adequadamente o risco da organização.

Os requisitos abordados na norma são genéricos e podem ser aplicados em todas as organizações, independentemente do seu tamanho ou setor de atuação. A implementação desse padrão de segurança envolve o estabelecimento de uma série de controles, diretrizes, normas, procedimentos, estrutura de trabalho e outras medidas administrativas. O objetivo é garantir a confidencialidade, integridade e disponibilidade de um sistema de segurança.

Entre os benefícios da ISO 27001, podemos citar:

  • Conformidade com a legislação de proteção de dados, como a LGPD;
  • Gestão dos riscos operacionais e corporativos;
  • Diminuição de incidentes de vazamento de informações;
  • Redução de despesas de TI com retrabalhos e paralisação dos processos;
  • Governança corporativa e visão estratégica do negócio;
  • Processos funcionais e documentados, por meio da implementação de políticas e procedimentos;
  • Maior confiança dos clientes e parceiros de negócio.

Entenda a relação da ISSO 27001 com a LGPD

Mas, afinal, possuir a certificação ISO 27001 significa estar adequado às normas da LGPD? Tanto a certificação quanto a norma estabelecem novas regras sobre como as organizações devem lidar com a segurança dos dados pessoais.

A ISO 27001 cobre diversos aspectos indispensáveis ao processo de adequação à LGPD, como gestão de incidente de segurança e padrões mínimos de segurança para a proteção dos dados pessoais. Porém, ela não garante o total cumprimento da Lei, uma vez que há exigências que extrapolam a gestão da Segurança da Informação.

De qualquer modo, possuir a certificação ISO 27001 demonstra o empenho da empresa na busca pela proteção dos dados pessoais e indica que esse processo está a caminho. Por isso, a conformidade com a ISO 27001 pode, inclusive, contribuir para a atenuação de multas da LGPD.

Veja alguns pontos determinados pela ISO 27001 que estão alinhados com as regras da LGPD:

  • Identificação e atribuição de responsabilidades pela proteção de ativos;
  • Classificação da Informação;
  • Controle de acesso para limitação de acesso à informação por pessoas não autorizadas;
  • Segurança da informação de forma específica;
  • Controle de fornecedores para que atendam aos requisitos mínimos de segurança de informação da empresa;
  • Gestão de incidente de segurança da informação.

Como proteger os dados da sua empresa

Com a vigência de leis de proteção de dados cada vez mais rigorosas, o cuidado com a Segurança da Informação se mostra cada vez mais importante. Nesse contexto, a adequação às normas da ISO 27001 e da LGPD se tornou um requisito de sobrevivência obrigatório para as empresas. Afinal, aquelas que não se ajustarem às novas regras poderão sofrer advertências e multas equivalentes a 2% do seu faturamento ou até R$ 50 milhões por infração.

Porém, para garantir a segurança e evitar problemas com a fiscalização, não basta apenas se proteger contra ciberataques utilizando um antivírus ou firewall. Os processos e as pessoas também devem receber a devida atenção, com a implementação de Políticas de Segurança da informação e de processos de treinamento dos colaboradores.

Algumas empresas inclusive exigem que os seus parceiros e fornecedores também obtenham a certificação, de modo a garantir o cumprimento dos princípios estabelecidos pela ISO 27001. Desse modo, elas conseguem demonstrar aos clientes e à sociedade a seriedade com que tratam a proteção de dados e a Segurança da Informação.

Até porque, nos últimos tempos, muitas organizações tiveram que se adaptar ao trabalho remoto em função da COVID-19. Para essa mudança, elas migraram rapidamente para a cloud, o que trouxe novas ameaças e desafios para a segurança. Além disso, com o aumento do uso de equipamentos pessoais conectados às redes das empresas (smartphones, tablets, notebooks), o risco de vazamento de dados se tornou cada vez maior.

Nesse cenário, as empresas devem fazer mudanças abrangentes em suas políticas, processos e até mesmo sistemas. Para garantir a proteção contra ransomwares e evitar vazamentos, todos os dados corporativos precisam receber um tratamento adequado. O uso e armazenamento dessas informações devem ser devidamente protegidos e gerenciados para evitar ataques e o acesso de pessoas indesejadas.

Conte com a AIM7 para ajudá-lo a garantir a segurança da informação e a se adequar à ISO 27001 e à LGPD. A nossa equipe de especialistas pode realizar um assessment, uma consultoria ou algum outro serviço, a fim de auxiliá-lo a encontrar brechas de vulnerabilidade em seu ambiente e realizar as correções necessárias.

Você já fez uma avaliação para saber se o seu ambiente está adequado às regras?

Compartilhe este artigo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
Share on email
Share on telegram

Confira os próximos assuntos

Segurança da Informação na área da Saúde

Com a pandemia da Covid-19, o número de ataques de malwares aumentou muito, atingindo empresas dos mais diversos setores, especialmente o da Saúde. Veja como garantir a Segurança da Informação na área da Saúde