admin Setembro 2, 2018Em agosto, a Organização Internacional de Padronização (ISO) e a Comissão Eletrotécnica Internacional (IEC) lançaram um novo padrão de privacidade que se tornaria a referência para ajudar as organizações a cumprir leis e estruturas de privacidade internacionais. A ISO/IEC 27701: 2019 serve como uma extensão de privacidade ao padrão de gerenciamento reconhecido internacionalmente para segurança da informação, e já desfruta de significativas taxas de adoção global.
A ISO 27701 foi projetada para ser implementada por organizações em todo o mundo que coletam e processam informações de identificação pessoal (PII) e foi desenvolvida para ajudar as organizações a cumprir as principais leis de privacidade, como na Europa o Regulamento Geral de Proteção de Dados (GDPR), e no Brasil a Lei Geral de Proteção de Dados (LFPD).
As leis de privacidade introduzidas nos últimos anos, como o GDPR, LGPD, o DPA do Reino Unido (Data Protection Act) 2018 e o CCPA (California Consumer Privacy Act) provam que as autoridades e os órgãos reguladores estão elevando o nível de exigências na segurança das informações de base e na privacidade dos dados, e impõe multas significativas para organizações não compatíveis que sofrem uma violação de dados. As organizações agora enfrentam consequências mais significativas por violações ou não atendimento dos requisitos de privacidade, resultantes do não cumprimento de requisitos legais.
O que é a ISO 27701 e o que é um sistema de gerenciamento de informações de privacidade?
A ISO 27701 fornece uma estrutura que ajuda as organizações a implementar, manter e melhorar continuamente um sistema de gerenciamento de informações de privacidade (PIMS). Ele define as disposições para a implementação de um PIMS, expandindo os requisitos e orientações fornecidos pela ISO 27001 e seus controles e medidas recomendados.
Ele estabelece os requisitos para uma extensão de um sistema de gerenciamento de segurança da informação (ISMS) para tratar do gerenciamento de privacidade. As organizações que implementaram (e são compatíveis com) a ISO 27001 podem adotar a ISO 27701 para estender seu SGSI em um PIMS. As organizações que ainda não implementaram a ISO 27001 podem implementar a ISO 27001 e a ISO 27701 juntas.
O que é a ISO 27001 e como esses dois padrões suportam a conformidade com o GDPR e com a LGPD?
A ISO 27001 foi projetada para ajudar as organizações a gerenciar seus processos de segurança da informação de acordo com as melhores práticas internacionais, otimizando custos. Ele fornece a especificação para gerenciar a segurança da informação por meio de acordos, políticas, procedimentos e outros controles envolvendo pessoas, processos e tecnologia para ajudar as organizações a proteger e gerenciar todos os seus dados.
Para ler mais sobre a família ISO 27000, confira este outro artigo.
Combinado com a ISO 27001, a ISO 27701 pode ajudar as organizações a demonstrar como seus acordos de gerenciamento apoiam a conformidade com as principais leis de privacidade – um benefício crítico quando evidências de práticas robustas de privacidade de dados são procuradas por uma autoridade de supervisão após uma violação.
Embora nem o GDPR e nem a LGPD mencionem especificamente a adoção da ISO 27001 (ou ISO 27701) como um caminho para dar suporte à conformidade, muitas organizações já reconhecem a ISO 27001 como a referência global para o gerenciamento de segurança da informação. De acordo com a pesquisa ISO de 2018, existem cerca de 32.000 organizações com um certificado ISMS compatível com ISO / IEC 27001 em todo o mundo e o número está aumentando.
A certificação para padrões como ISO 27001 traz uma ampla gama de benefícios acima e além da simples certificação. De acordo com o Relatório Global ISO 27001 de 2018, 81% das organizações que implementam um SGSI estão fazendo isso para atender às crescentes demandas dos clientes por maior segurança de dados, enquanto 62% relataram uma maior conscientização da equipe sobre segurança da informação como um dos principais benefícios da implementação de um SGSI.
Implementando um PIMS como uma extensão para um ISMS existente
Se uma organização implementou a ISO 27001, pode usar a ISO 27701 para estender seus esforços de segurança para cobrir os requisitos de privacidade. As organizações que não implementaram um SGSI podem implementar a ISO 27001 e a ISO 27701 juntas como um único projeto de implementação, mas a ISO 27701 não pode ser implementada como um padrão independente. A razão para isso é que um ISMS em conformidade com a ISO 27001 é o núcleo no qual as adições da ISO 27701 acomodam a privacidade.
Os benefícios da implementação de um PIMS
Embora seja provável que um PIMS em conformidade com a ISO 27701 seja valioso para qualquer organização com obrigações de proteção de dados, é provável que seja de especial interesse para organizações que operam internacionalmente, trabalham com clientes de outras jurisdições ou operam em cadeias de suprimentos internacionais. Geralmente, essas organizações são obrigadas a cumprir uma variedade de leis e regulamentos de privacidade, e a abordagem da ISO 27701 pode tornar esse desafio mais acessível.
A estrutura ajuda as organizações a lidar adequadamente com os riscos à segurança e à privacidade das informações e pode reduzir o tempo gasto nas auditorias solicitadas pelos clientes e exigidas contratualmente.
A extensão de um ISMS em conformidade com a ISO 27001 com a ISO 27701 pode fornecer evidências de que a organização tomou medidas para implementar “medidas técnicas e organizacionais apropriadas” para reduzir riscos e proteger dados pessoais, conforme exigido por uma gama crescente de leis de privacidade em todo o mundo.
Implementando um PIMS como uma extensão para um ISO existente
Com o SGSI em conformidade com a 27001, uma organização pode coletar e processar dados – incluindo dados pessoais – de maneira sistemática, gerenciar riscos relacionados à confidencialidade, integridade e disponibilidade das informações e responder a ameaças e riscos em evolução para esses dados e sua privacidade.
Um sistema de gerenciamento de informações de privacidade também permite que as organizações reduzam os custos associados à privacidade e segurança das informações, adaptando-se constantemente às mudanças no ambiente e dentro da organização, aumentando significativamente sua resistência a ataques cibernéticos.
Por que considerar a certificação ISO 27001?
Embora a certificação acreditada possa ser concedida apenas de acordo com os requisitos da ISO 27001, e atualmente não a ISO 27701, o cenário de segurança e privacidade cada vez mais regulamentado e o aumento dramático de ataques cibernéticos às empresas, independentemente do tamanho, devem incentivar as organizações a adotar estruturas internacionais ISO 27001 e ISO 27701.
A certificação credenciada de forma independente pode oferecer suporte a projetos financiados pelo governo, fornecer aos clientes provas de práticas de segurança e garantir ao conselho e às autoridades de supervisão que uma organização se responsabilize pela privacidade dos dados de acordo com essa estrutura internacional e outras disposições legais.
Na última década, a privacidade e a cibersegurança têm sido um problema no nível da diretoria, mas o compromisso de alto nível continua sendo um desafio. Com a introdução de leis de proteção de dados com dentes significativos, devemos ver mais organizações do que nunca adotar padrões internacionalmente reconhecidos, como a ISO 27001 e sua nova extensão.
Ao certificar a ISO 27001, uma organização pode demonstrar que tomou as medidas apropriadas para cumprir suas obrigações legais e regulamentares para reduzir e gerenciar os riscos de segurança de dados.
Conte suas impressões
O que achou desse texto? Gostaria de contribuir com impressões, opiniões ou suas próprias experiências? Então deixa um comentário ou entra em contato direto. E se estivermos por perto, tomamos um café e conversamos.
