Com a necessidade da adequação à LGPD, a busca por
informações e guias sobre segurança da informação está aumentando e muitas
empresas estão descobrindo a ISO 27701 e a ISO 27001, sendo que a norma ISO
27001 (Sistema de Gestão de Segurança da Informação) é uma norma para
implementação de um sistema de gestão com foco em segurança da informação, enquanto
a norma ISO 27701 (Sistema de Gestão de Segurança Privada) é uma extensão da
norma 27001, que tem como objetivo adicionar novos controles no sistema de
gestão para garantir a total privacidade especificamente dos dados pessoais.
A
recomendação é que ambas sejam implementadas em paralelo, porém implementar
somente a ISO 27701 sem implementar a ISO 27001 não é possível, pois os
principais controles relacionados a formação de um sistema de gestão seguro
estão na ISO 27001. Vamos abordar então sobre a implementação desses controles
de segurança da informação.
Existem 114 controles listados na ISO 27001, porém nem todos
são obrigatórios, pois a empresa escolherá quais controles ela identifica como
aplicáveis e passa a implementá-los O principal critério para essa seleção de
controles é o uso do levantamento de riscos, definido nas cláusulas 6 e 8 da
parte principal da ISO 27001.
Como exemplo, podemos
citar alguns inseridos no Anexo A, que apresenta os controles e seus objetivos:
·
Políticas de segurança da
informação, referente a como as políticas são escritas e revisadas;
·
Segurança em recursos humanos,
referentes a contratações de colaboradores;
·
Organização da segurança da
informação, referente a como as responsabilidades são delegadas, além de
abordar controles para dispositivos móveis e trabalho remoto;
·
Politicas de controle de
acesso, referente à gestão de acesso e responsabilidades dos usuários, além de
controles de acesso aos sistemas;
·
Gestão de ativos, referente
aos controles de inventário de ativos;
·
Segurança física e do
ambiente, referente aos controles de entrada, segurança de equipamentos, segurança
de equipamentos, descarte seguro, entre outros;
·
Relacionamento na cadeia de suprimentos, referentes
ao monitoramento de fornecedores, por exemplo;
·
Segurança nas operações, referente aos controles
relacionados à gestão de TI, cópias de segurança, monitoramento de instalações,
gestão de capacidade e controle de softwares maliciosos, entre outros;
·
Segurança nas comunicações, referente aos serviços
de rede, transferência de informações, segurança da rede;
·
Incidentes de segurança da informação, referente ao
controle de reporte de fraquezas e eventos ocorridos, bem como procedimentos de
respostas e coleta de evidências;
·
Conformidade, referente aos controles de cumprimento
de leis e regulamentações, proteção de dados pessoais e da propriedade
intelectual;
Esses foram apenas alguns exemplos de controles que
devem ser implementados para gerenciar
riscos de segurança da informação e proteger a confidencialidade, integridade e
disponibilidade dos dados. A lista é extensa e a necessidade de alinhamento com
as leis vigentes é essencial. A recomendação dos especialistas é que a empresa
trace um planejamento antes
de iniciar qualquer processo de implementação, procurando profissionais sérios
que possam auxiliar nessa tarefa.
A Taticca Allinial Global Brasil possui equipe multidisciplinar
qualificada e experiente, que oferece acompanhamento de especialistas para que
você obtenha resultados satisfatórios e certifique sua empresa em tempo hábil.