Com a necessidade da adequação à LGPD, a busca por informações e guias sobre segurança da informação está aumentando e muitas empresas estão descobrindo a ISO 27701 e a ISO 27001, sendo que a norma ISO 27001 (Sistema de Gestão de Segurança da Informação) é uma norma para implementação de um sistema de gestão com foco em segurança da informação, enquanto a norma ISO 27701 (Sistema de Gestão de Segurança Privada) é uma extensão da norma 27001, que tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais.
A recomendação é que ambas sejam implementadas em paralelo, porém implementar somente a ISO 27701 sem implementar a ISO 27001 não é possível, pois os principais controles relacionados a formação de um sistema de gestão seguro estão na ISO 27001. Vamos abordar então sobre a implementação desses controles de segurança da informação.
Existem 114 controles listados na ISO 27001, porém nem todos são obrigatórios, pois a empresa escolherá quais controles ela identifica como aplicáveis e passa a implementá-los O principal critério para essa seleção de controles é o uso do levantamento de riscos, definido nas cláusulas 6 e 8 da parte principal da ISO 27001.
Como exemplo, podemos citar alguns inseridos no Anexo A, que apresenta os controles e seus objetivos:
· Políticas de segurança da informação, referente a como as políticas são escritas e revisadas;
· Segurança em recursos humanos, referentes a contratações de colaboradores;
· Organização da segurança da informação, referente a como as responsabilidades são delegadas, além de abordar controles para dispositivos móveis e trabalho remoto;
· Politicas de controle de acesso, referente à gestão de acesso e responsabilidades dos usuários, além de controles de acesso aos sistemas;
· Gestão de ativos, referente aos controles de inventário de ativos;
· Segurança física e do ambiente, referente aos controles de entrada, segurança de equipamentos, segurança de equipamentos, descarte seguro, entre outros;
· Relacionamento na cadeia de suprimentos, referentes ao monitoramento de fornecedores, por exemplo;
· Segurança nas operações, referente aos controles relacionados à gestão de TI, cópias de segurança, monitoramento de instalações, gestão de capacidade e controle de softwares maliciosos, entre outros;
· Segurança nas comunicações, referente aos serviços de rede, transferência de informações, segurança da rede;
· Incidentes de segurança da informação, referente ao controle de reporte de fraquezas e eventos ocorridos, bem como procedimentos de respostas e coleta de evidências;
· Conformidade, referente aos controles de cumprimento de leis e regulamentações, proteção de dados pessoais e da propriedade intelectual;
Esses foram apenas alguns exemplos de controles que devem ser implementados para gerenciar riscos de segurança da informação e proteger a confidencialidade, integridade e disponibilidade dos dados. A lista é extensa e a necessidade de alinhamento com as leis vigentes é essencial. A recomendação dos especialistas é que a empresa trace um planejamento antes de iniciar qualquer processo de implementação, procurando profissionais sérios que possam auxiliar nessa tarefa.
A Taticca Allinial Global Brasil possui equipe multidisciplinar qualificada e experiente, que oferece acompanhamento de especialistas para que você obtenha resultados satisfatórios e certifique sua empresa em tempo hábil.
