Políticas de Segurança da Informação, imagine uma escola onde cada professor define a grade de matérias e a forma de avaliação dos alunos, ou seja, não existem regras para o ensino, aprovação ou reprovação. A direção não possui compromisso para disponibilizar os materiais e recursos necessários para as aulas ocorrerem e os alunos podem decidir se querem ou não fazer os exercícios, trabalhos e provas. Este cenário não está alinhado às melhores práticas de ensino e desta forma será que esta escola poderá oferecer a seus alunos e aos pais um ambiente seguro para a formação dos seus filhos?
A organização que deseja estar em compliance com a LGPD sem adotar diretrizes e práticas direcionadas a pessoas, processos e tecnologia, é como esperar que alunos de uma escola sem regras, planejamento e sem o compromisso com o aprendizado, estejam aptos para exames externos (ENEM por exemplo). É necessário adotar medidas alinhadas ao mesmo objetivo da lei, privacidade de dados pessoais, e não há como alcançar este objetivo sem que haja um processo de preparação e adoção das melhores práticas de mercado para garantir a privacidade.
Para isto, é recomendada a utilização de frameworks de melhores práticas em segurança da informação para balizar quais serão as medidas necessárias para adequar sua organização à LGPD.
Como as Políticas de Segurança da Informação podem ajudar no compliance com a LGPD?
A LGPD não determina quais ou quantas políticas são necessárias para estar em compliance, no entanto, em toda sua extensão são mencionadas regras que devem ser seguidas para garantir a privacidade dos dados pessoais, e o método mais eficaz de garantir que um resultado de um processo está conforme o planejado é padronizando as regras de processo, em outras palavras adotando políticas de segurança para aqueles processos que recebem, armazenam ou tratam dados pessoais.
As políticas de segurança da informação são construídas para que sejam utilizadas como planejamento de um resultado esperado pela organização, para aqueles processos que possuem ativos de informação que armazenam ou tratam dados considerados críticos. Elaboradas seguindo os três princípios básicos da segurança da informação que são a confidencialidade, integridade e disponibilidade das informações, sendo que o primeiro princípio, da confidencialidade, está diretamente ligado à proteção da privacidade exigida pela lei, as políticas geram um ambiente controlado e seguro aos colaboradores e também a todas as partes que de alguma forma confiaram à organização a privacidade de seus dados pessoais.
Por onde começar as políticas?
Para iniciar a construção das políticas de privacidade e segurança da informação é necessário fazer um diagnóstico, entender o cenário atual da segurança dos dados pessoais dentro da organização, identificando os dados pessoais, onde eles são armazenados e/ou tratados, os ativos de informação, classificando os dados de acordo com a criticidade e os controles e/ou processos já existentes na organização. Somente assim é possível delimitar o escopo das suas políticas, os responsáveis e vulnerabilidades associadas a cada ativo, eventuais necessidades de ajustes e recursos para implantação de novas práticas com vistas à garantia dos resultados planejados.
Somente após entender bem o cenário da organização, é possível construir as políticas adequadas aos requisitos de negócio e de segurança da informação. Políticas são documentos estratégicos para direcionar os esforços da organização para questões críticas de segurança, sem que haja impactos em seu core business, desta forma os cargos estratégicos e táticos da organização comumente são envolvidos na elaboração e aprovação das políticas, garantindo que as diretrizes estão em harmonia com os objetivos estratégicos da organização.
Como elaborar Políticas de Segurança da Informação?
Utilizando as informações do diagnóstico como base, as políticas devem ser elaboradas objetivando reduzir as vulnerabilidades identificadas e ser um guia para padronizar processos com as melhores práticas de garantia da segurança e privacidade dos dados. Nesta etapa, é importante envolver todos que possuem responsabilidade no processo e não se limitando apenas à equipe de TI, pois é comum acreditar que a responsabilidade pela segurança das informações é um assunto que está atribuído à TI.
A utilização de frameworks de governança de TI e Segurança da Informação, como CIS Controls, ITIL e o emprego das práticas de controle baseadas em normas internacionalmente reconhecidas como ISO/IEC 27701 e ISO/IEC 27001, são indicadas por estarem alinhadas as melhores práticas de segurança, leis e órgãos regulatórios internacionais, como padrões de controles de segurança adotados mundialmente.
Como implantar as Políticas de Segurança da Informação na organização?
Implantar uma política nem sempre é uma tarefa simples, existem vários fatores que contribuem nesta conta, como o porte da organização, filiais, cultura, budget, etc. Mas temos um fator comum à todas as organizações que pode determinar o sucesso ou o fracasso na hora de implantar as políticas de privacidade e segurança, que são as PESSOAS. Nesta etapa é crucial que toda organização seja envolvida e aprenda a seguir as diretrizes determinadas nas políticas. Por vezes a mudança causa desconforto nos colaboradores e pode contribuir para que as políticas não sejam mantidas.
Treinamentos, palestras, fóruns, sanções por descumprimento são exemplos de medidas para conscientizar os colaboradores para os cuidados com a privacidade e segurança das informações.
A Privacidade lado a lado com a Segurança
A segurança dos dados pessoais tratados ou armazenados dentro de uma organização é responsabilidade de todos. Portanto, critérios bem definidos, uso restrito apenas ao fim no qual foi disponibilizado, armazenamento salvaguardados contra acessos não autorizados e perdas é o que se almeja quando iniciado um processo de compliance com a LGPD. Seja por meio da implementação de um sistema de gestão ou boas práticas de governança da segurança da informação, é fundamental manter a sinergia organizacional com foco na privacidade de dados pessoais.
Quer saber mais sobre Políticas de Segurança da Informação ou LGPD? Assine a News e receba nossas novidades ou continue lendo nossos artigos sobre Segurança da Informação e LGPD. Até a próxima!
Comments