Regulamento ISO auxilia as empresas a evitarem vazamento de dados pessoais

Norma internacional ISO 27001 sobre Segurança da Informação já é disponibilizada no Brasil e certifica empresas que cumprem requisitos relacionados à LGPD

Bastaram poucos meses desde a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) para o Brasil viver aquele que já é considerado o maior vazamento de informações pessoais da sua história. O crime, que já provoca debates políticos e uma ampla investigação, tornou público os dados de 223 milhões de brasileiros e poderia ter sido evitado caso as empresas brasileiras adotassem de forma eficiente normas internacionais de segurança da informação, como a ISO 27001.

O regulamento é um padrão internacional para o Sistema de Gestão de Segurança da Informação (SGSI), que se baseia na avaliação de riscos e sobre como tratá-los dentro de uma organização, protegendo a integridade e a confidencialidade das informações, e se apresenta como uma aliada das organizações na melhoria do nível de qualidade, processos, sistemas e produtos, além da adequação às normas previstas na Lei Geral de Proteção de Dados (LGPD).

O tema, que vem ganhando cada vez mais relevância no País desde setembro de 2020, quando a Lei Federal nº 13.709/2018 entrou em vigor, tornou-se estratégico para empresas que lidam com o armazenamento, uso e compartilhamento de dados, uma vez que estar em conformidade com a legislação previne a responsabilidade por danos por utilização indevida ou vazamento de informações pessoais, ainda mais àquelas ligadas a dados sensíveis relacionados saúde, renda, religião e propriedades.

“Quando uma empresa adota uma norma de Sistema de Gestão de Segurança da Informação, em seu dia a dia, como é o caso da ISO 27001, há a indução automática da criação de procedimentos, processos, controles e regras que, em tese, evitam os vazamentos de dados. Obviamente, há o fator humano envolvido nos processos, portanto, sempre há riscos de vazamentos”, comentou o vice-presidente de Sistemas e Pessoas da Associação Brasileira de Avaliação da Conformidade (Abrac), Sergio Custodio.

As empresas e instituições que adotam esta norma e, além disto, partem para a busca de uma certificação acreditada, passam a ser auditadas em períodos determinados por um Organismo de Avaliação da Conformidade (OAC) – certificadoras independentes -, o que contribui para um controle externo mais eficaz, no tocante aos processos que minimizam vazamentos de dados, proporcionando ainda outros benefícios, como redução de custos e conformidade com os padrões de segurança. “O tempo de implementação varia de acordo com a realidade, maturidade e dimensão de cada empresa”, declarou a vice-presidente de Relações Institucionais da Abrac, Alessandra Costa.

O regulamento da ISO 27001 é composto por dois tópicos fundamentais: primeiro, onde são definidos as regras e os requisitos de cumprimento, como contexto da organização, liderança, planejamento, suporte, operação, avaliação do desempenho e melhoria. O segundo é referente aos controles que as empresas devem adotar em temas como política de segurança, organização da segurança da informação, segurança de recursos humanos, gestão de bens, controle de acesso, criptografia, segurança física e ambiental, entre outros.

Para obter a certificação ISO 27001, é necessário buscar um Organismo de Avaliação da Conformidade em uma entidade acreditadora. No Brasil é a Coordenação Geral de Acreditação (Cgcre) do Inmetro, mas algumas são acreditadas por órgãos internacionais, que podem ser consultados no site do Fórum Internacional de Acreditação: https://www.iaf.nu//articles/IAF_MEMBERS_SIGNATORIES/4

O OAC guiará a empresa nos seguintes passos: avaliação formal, para verificar se todas as exigências foram cumpridas e feita a avaliação da implementação dos procedimentos e controles para certificar que estão funcionando efetivamente conforme o padrão exige; e certificação, após a aprovação na auditoria formal a organização recebe o certificado, que é válido por três anos.

Sobre a Abrac

Fundada em 2009, a Associação Brasileira de Avaliação da Conformidade (Abrac) reúne as empresas responsáveis pela avaliação da conformidade de produtos, sistemas e laboratórios de ensaio e calibração, acreditados pelo Inmetro e designados pela Anatel, que são oferecidos aos cidadãos, trabalhando em sua inspeção e certificação com o objetivo de informar e proteger o consumidor, em particular quanto à saúde, segurança e meio ambiente; propiciar a concorrência justa; estimular a melhoria contínua da qualidade; facilitar o comércio internacional; e fortalecer o mercado interno, atuando em conjunto com os órgãos reguladores das atividades em âmbito nacional.