Fundação Vanzolini

Segurança da informação: ISO 27001 Metodologia e boas práticas

Postado em Certificação | 27 de março de 2023 | 5min de leitura
Compartilhe:

Você provavelmente já ouviu falar da LGPD, a Lei Geral de Proteção de Dados, que regula o uso e o tratamento de dados para proteção dos direitos de seus titulares, certo?

Neste texto, vamos abordar quando esse tipo de lei começou a ser implementada em outros países e no Brasil, bem como a ISO 27001, seus principais requisitos e como as empresas podem se preparar para obter uma certificação dessa norma. Tenha uma boa leitura!

A história da privacidade de dados 

Antigamente, o conceito de privacidade estava relacionado ao direito de “não ser perturbado” pelo Estado.

O primeiro passo nesse sentido foi em 1890, quando Samuel D. Warren e Louis Brandeis escreveram o artigo: “O Direito à Privacidade”, com base no argumento “o direito de ser deixado em paz”, utilizando a ideia como uma definição de privacidade.

Com a chegada dos computadores, houve uma conscientização sobre seu poder de processar, armazenar e manipular dados sobre indivíduos, o que levou, em 1979, ao surgimento das primeiras leis gerais de proteção de dados, promulgadas em alguns países da Europa, como Áustria, Dinamarca, França, República Federal da Alemanha, Luxemburgo, Noruega e Suécia.

Em abril de 2016, o Parlamento Europeu adotou a GDPR (General Data Protection Regulation), em português, “Regulamento Geral sobre a Proteção de Dados”.

Importante mencionar que esse regulamento estabeleceu que os países da União Europeia poderiam realizar comércio e serviços, envolvendo dados pessoais, somente com países que contassem com uma legislação minimamente comparável com a deles.

Esse fato fez com que diversos países acelerassem a implementação de legislações de privacidade de dados, de forma a não perderem oportunidades de negócio e competitividade, em relação a outros países mais maduros nesse sentido.

Dessa forma, devido à necessidade de manter relações comerciais com a Europa e com o resto do mundo, o Brasil desenvolveu sua primeira legislação sobre o tema.

Após intenso debate técnico, foi promulgada a Lei Geral de Proteção de Dados (LGPD), em 2018, que entrou em vigor em agosto de 2020. Com a LGPD, os cidadãos brasileiros passaram a ter diversos direitos em relação ao uso de seus dados pessoais, bem como mais controle sobre eles.

No Brasil, da mesma forma que na Europa, a privacidade de dados passou a ser considerada um direito do cidadão e não apenas um direito do consumidor, como acontece nos Estados Unidos.

ISO 27001

Trata-se de uma norma internacional, criada em 2005 pela ISO – International Organization for Standardization e pela International Electrotechnical Commission, que atua na gestão da segurança da informação de uma empresa, por meio de um conjunto de requisitos, controles e processos organizacionais.

Assim, a ISO 27001 estabelece referências e práticas para o gerenciamento de riscos com relação à segurança da informação, protegendo a integridade, privacidade e a disponibilidade de dados essenciais (principalmente os sensíveis) retidos por uma organização.

A Fundação Vanzolini é uma certificadora da norma ISO 27001. Para saber mais informações sobre como certificar a sua organização, entre em contato.

Os principais requisitos da norma ISO 27001 e como se preparar para atendê-los

Segundo o site da Certifiquei, a empresa deverá gerenciar os seguintes tópicos:

  1. Entendimento do contexto da empresa: a primeira etapa compreende as características e necessidades da empresa, a fim de identificar e estabelecer as políticas e objetivos internos de segurança da informação;
  2. Avaliação dos riscos: o segundo passo é a realização da avaliação de riscos, ou seja, a identificação das fragilidades dos processos internos e os riscos que envolvem a segurança da informação. A partir disso, cria-se uma classificação de risco para os tópicos identificados;
  3. Implementação de controles operacionais: o terceiro passo visa a implementação de controles operacionais nos processos, com o objetivo de controlar, eliminar ou mitigar os riscos identificados na etapa anterior;
  4. Análise de eficácia: nessa etapa é preciso realizar uma análise dos resultados obtidos com a implementação dos controles operacionais, identificando aquilo que tem sido eficaz ou não. Essa é a fase em que a empresa realiza uma auditoria;
  5. Melhoria contínua: o último passo consiste em uma melhoria contínua, a partir da obtenção da certificação, garantindo que a organização esteja monitorando constantemente os riscos e possíveis novos controles operacionais.

Quer saber mais sobre como implementar e gerenciar um Sistema de Gestão da Segurança da Informação (SGSI) em sua empresa? A Fundação Vanzolini oferece o curso Interpretação dos Requisitos ISO 27001:2022, com 16h de duração, on-line ao vivo.

ENTRE EM CONTATO

Até a próxima!

Fontes:

certifiquei.com.br

Notícias Relacionadas