Cybersecurity: quais são as principais normas e qual sua relação com a LGPD?

Compartilhe

Nenhuma empresa deseja que seus dados ou as informações de seus clientes sejam subtraídas por criminosos virtuais, ou seja, hackers. Mas a procura por serviços na área de cybersecurity (cibersegurança, em português) aumentou drasticamente durante a pandemia do coronavírus.

Isso não ocorreu apenas pela necessidade de adequação à LGPD, mas também pelo risco de vazamento de dados ter se intensificado nos últimos anos. Segundo Global Digital Trust Insights 2021, pesquisa da PwC que reuniu empresas de diferentes países e incluindo o Brasil, 55% dos respondentes aumentarão os investimentos em cibersegurança.

Se você também pretende melhorar a cybersegurity do seu negócio, é crucial conhecer as principais normas sobre o tema, assim você terá uma noção geral das mudanças que serão aplicadas na empresa. Continue lendo este conteúdo para saber tais normas e, após, qual é a relação da cibersegurança com proteção de dados e prevenção de fraudes!

Quais são as principais normas de cybersecurity?

Primeiro entenda que essas normas são padrões ISO/IEC, siglas para Organização Internacional para Padronização (ISO) e Comissão Eletrotécnica Internacional (IEC) em português. Elas não trazem descrições detalhadas a serem seguidas pela empresa, mas fornecem uma estrutura para criar um sistema para aprimorar a qualidade da segurança da informação.

Saiba que existe um grande número de normas relacionadas ao tema, mas nos tópicos seguintes listamos apenas as principais delas.

ISO/IEC 27000

Esse nome se refere a uma família de normas que convergem para o Sistema de Gestão de Segurança da Informação (SGSI), como a ISO/IEC 27001, 27002 e outras que serão explicadas a seguir. No documento você encontrará princípios gerais que norteiam a gestão de segurança, os vocabulários e nomenclaturas a serem utilizadas.

Ressalta-se que a ISO/IEC 2700 pode ser aplicada a entidades de todos os portes e categorias, como empresas comerciais, ONGs, agências do governo, entre outras.

ISO/IEC 27001

A ISO/IEC 27001 informa como a empresa deve estabelecer, implantar, operar, monitorar, avaliar de forma crítica, manter e melhorar o SGSI.

Ela é a única norma da série 27000 passível de certificação acreditada, o que significa que ela tem requisitos que precisam ser aplicados pela empresa. Por isso, seu conteúdo traz as atividades de planejamento, responsabilidades, políticas e procedimentos a serem adotados pela organização.

ISO/IEC 27002

Essa ISO consiste em um código de práticas e conjunto de controles que suplementam a aplicação do SGSI. Por essa razão, é recomendável que ela seja aplicada juntamente à ISO/IEC 27001, mas ela pode ser analisada de forma completamente independente para fins de identificar e adotar boas práticas de cibersegurança.

Além disso, somente esta norma exige certificação profissional a ser realizada por meio da prova EXIN ISO 27002, que ampliará os conhecimentos dos colaboradores de TI no que diz respeito ao tema.

ISO/IEC 27003

Aqui estão listadas as orientações necessárias para aplicação do SGSI na empresa, desde a concepção do projeto até a elaboração dos planos para implantá-lo no campo prático. Basicamente, a ISO/IEC 27003 informa o procedimento a ser realizado para que o SGSI seja bem-sucedido, que engloba etapas como:

  • obtenção da aprovação da alta administração para iniciar o projeto;
  • definição do escopo, políticas e limites;
  • estudo dos requisitos de segurança da informação;
  • condução da avaliação de riscos, bem como a forma que eles serão tratados;
  • definição do SGSI.

ISO/IEC 27004

A ISO/IEC 27004 define as métricas para gestão de segurança da informação, ou seja, como saber o nível de eficácia das medidas aplicadas. Seu conteúdo é separado em diferentes seções:

  • justificativa: explica a importância da medição;
  • características: explica o que deve ser medido, quem deve fazê-lo e quando;
  • tipos de medidas: lista medidas de desempenho eficientes e eficazes;
  • processos: mostra como desenvolver, implementar e aplicar métricas;
  • anexos: são 3 anexos que trazem modelos de medição, exemplos de métricas e fórmulas matemáticas.

ISO/IEC 27005

Essa norma é voltada à gestão de riscos, mas ela não especifica, recomenda ou cita um método de gestão específico. A maior parte da ISO/IEC 27005 é composta de anexos com exemplos de riscos e informações adicionais. O restante de seu conteúdo é dedicado a informar os profissionais como:

  • definir o contexto da gestão de risco, como obrigações, abordagens, tolerâncias etc.;
  • avaliar riscos de informações de forma qualitativa e quantitativa;
  • tratar os riscos para deixá-los em um nível aceitável;
  • manter as pessoas interessadas ao longo do processo;
  • monitorar e analisar riscos, bem como responder apropriadamente a mudanças significativas.

ISO/IEC 27006

A ISO/IEC 27006 é voltada para empresas que trabalham com a certificação de sistemas de gestão e auditorias no contexto de Information Security Management System (ISMS), verificando se a organização está de acordo com a ISO/IEC 27001.

Em suma, a norma traz como desenvolver e operar um programa que medirá a cibersegurança da empresa. Outro tópico importante da ISO é ensinar como a empresa pode se proteger da criação de diferentes formas de ataques cibernéticos que surgem periodicamente.

ISO 27701

Publicada em agosto de 2019, a ISO 27701 — Sistema de Gestão de Segurança Privada — estende a norma ISO 27001 com o objetivo de faze com que as empresas se adaptem à LGPD. Ela foi escrita com base na GDPR (norma equivalente à LGPD na Europa) e inclui os controles referente à gestão da privacidade dos dados, também encontrado como Privacy Information Management System (PIMS).

O estabelecimento do PIMS traz um grande número de benefícios ao negócio, como:

  • aumenta a confiança de clientes, parceiros, fornecedores, colaboradores, entre outros ao mostrar que a empresa se preocupa com a proteção de dados;
  • deixa claro aos envolvidos os papéis e responsabilidades de cada envolvido no processo;
  • aprimora a competência e consciência dos colaboradores sobre a importância da segurança e privacidade dos dados;
  • melhora os procedimentos internos, minimizando risco e vazamento de dados;
  • fornece transparência nos controles estabelecidos para gestão da privacidade;
  • atende as principais exigências da LGPD;
  • possibilita integração fácil com o SGSI.

Qual é a relação da cibersegurança com a proteção de dados e prevenção de fraudes?

A cibersegurança faz parte da segurança da informação (que engloba proteção do ambiente físico e virtual) e está ligada a diferentes formas de salvaguardar dados corporativos, como proteção de informações e prevenção de fraudes.

Segundo a LGPD, o simples não cumprimento da lei pode acarretar sanções que vão desde advertências a até o bloqueio das atividades de tratamento de dados ou multas que podem chegar a 50 milhões. Se houver vazamento que gere dano material ou moral a um titular, este ainda pode fazer uso do Código Civil e/ou Código Penal para obter indenizações.

Caso um processo seja levado às últimas instâncias, a Constituição Federal também tem cláusulas que visam proteger a privacidade, o que significa que a organização que descumpriu a lei arque com ainda mais consequências.

Quando a empresa investe na cibersegurança, ela minimiza a probabilidade de ocorreram fraudes ou vazamento de dados, ataques virtuais e muitos outros problemas. Por isso, esse investimento impacta diretamente na sua confiança perante seus clientes, parceiros nacionais e internacionais, setor público e mais.

Você pode entender melhor como esse tema, você pode conferir uma conversa entre a IRKO e Charles Wowk sobre a LGPD, governança, ataques cibernéticos, relações internacionais e mais.

Implementar e melhorar a cybersecurity trará um grande número de vantagens para o negócio, incluindo aumento de sua competitividade no mercado. No entanto, é fundamental contar com uma equipe de consultores especializados, experientes e capacitados na área.

Quer potencializar a cibersegurança do seu negócio? Entre agora mesmo em contato com a IRKO para saber como ela pode ajudá-lo nessa questão!

Cadastre-se no Blog

Nome(obrigatório)

Conteúdo Relacionado

Receba nossa newsletter

Este campo é para fins de validação e não deve ser alterado.