PERGUNTE AO GURU
Ropa LGPD Certificação – A importância da Segurança da Informação na Lei Geral de Proteção de Dados
De modo sintetizado, a Segurança da Informação tem por objetivo garantir a proteção das informações organizacionais e ativos de TI, através da implementação de medidas e controles garantir a confidencialidade, disponibilidade e integridade dos ativos contra ameaças e vulnerabilidades.
Um tempo atrás recebemos uma ferramenta para instalação elétrica que havíamos encomendado. O produto chegou antes do esperado, veio muito bem embalado, tudo ok, bem quase tudo. Para minha surpresa, a empresa reutilizou documentos picotados para proteger o produto durante o transporte, no lugar do plástico bolha, por exemplo.
Fiquei em choque por alguns minutos, juro que até procurei uma câmera escondida achando que pudesse ser alguma pegadinha. Mas era real! A empresa, utilizou os papéis descartados para proteger o produto durante o envio. Ao analisar os papéis notei que alguns pedaços estavam muito mal triturados, podendo identificar, nome completo de colaborador, cargo, endereço…
E aí me perguntei: a ferramenta de fato, veio bem embalada e protegida, chegou intacta. Mas e a informação quem está protegendo?
A Lei Geral de Proteção de Dados em seu artigo 6º traz o princípio da Segurança, como um dos 10 princípios que o tratamento de dados deve observar, sendo ele “utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.” Ropa LGPD Certificação
A Segurança da Informação vai além, não trata apenas de dos dados pessoais e sim de todos os ativos da organização. De modo sintetizado, a segurança da informação tem por objetivo garantir a proteção das informações organizacionais e ativos de TI, através da implementação de medidas e controles garantir a confidencialidade, disponibilidade e integridade dos ativos contra ameaças e vulnerabilidades.
Neste caso real, podemos levantar vários riscos que poderiam ter sido mitigados através da Segurança da informação efetiva. Como por exemplo utilização de nível de segurança da fragmentadora do papel dentro do padrão internacional estabelecido pela DIN, Classificação da Informação, Descarte seguro dos dados, estabelecimento de Política de Segurança da Informação, treinamento e conscientização dos funcionários e entre outras medidas.
Todos esses controles são necessários para oferecer garantia de proteção das informações e documentos, conforme o nível de sensibilidade da informação ali inserida. Por isso, fala-se que não há adequação de proteção de dados sem segurança da informação. E realmente é inviável! Ropa LGPD Certificação
A recomendação que posso deixar para todos que estão com foco na adequação à LGPD é durante as entrevistas de Data Mapping ter “the knack” de gestão de processos e questionar todo ciclo de vida do dado até o descarte final (o final mesmo, ta?) para poder ter o mapeamento do cenário atual da companhia dos processos que tratam dados pessoais, contemplando: sistemas, tecnologia da informação, fluxo dos dados em ambiente físico e digital, transferências e etc.
Para as empresas que estão aproveitando este cenário para reverem a conformidade em Segurança da Informação, recomendo mapear todos os temas inerentes e traçar estratégias para mitigação dos riscos envolvidos, podendo utilizar as recomendações da ISO/IEC 27001, ISO/IEC 27002 como também as demais controles presentes nas demais ISO da família 27K.
Além de frameworks disponíveis no mercado, como por exemplo do NIST para segurança cibernética. Para a implementação das medidas de segurança, é importante ter em mente que Segurança da informação não é só TI nem muito menos proteção de dados, há diversos outros controles a serem implantados.
Gabriela Berge é consultora em Privacidade, Proteção de Dados e Cibersegurança, Engenheira de produção graduada no Centro Federal de Educação Tecnológica Celso Sukow da Fonseca (RJ), com conhecimento em Gestão de Processos de Negócios pela Universidade do Estado do Rio de Janeiro. Com experiência profissional na área de gestão e governança de processos, projetos de adequação a LGPD e governança de segurança da informação. Certificada EXIN PDPE, ISFS (ISO/EIC 27001), PDPF, PDPP e DPO.
Ropa LGPD Certificação
