O RGPD (Regulamento Geral sobre a Proteção de Dados), incentiva o uso de esquemas de certificação como a ISO 27001 para servir o propósito de demonstrar que a organização está a gerir ativamente a sua segurança de dados de acordo com as melhores práticas internacionais.
Gestão de pessoas, processos e tecnologia
A ISO 27001 é o padrão internacional de melhores práticas para a segurança da informação e é um sistema certificável, que é amplo e abrange os três aspetos essenciais de um regime de segurança da informação: pessoas, processos e tecnologia. Ao implementar medidas para proteger as informações, usando essa abordagem tripla, a empresa é capaz de se defender não apenas dos riscos baseados em tecnologia, mas de outras ameaças mais comuns, como funcionários mal informados ou procedimentos ineficazes.
Ao implementar a ISO 27001, a organização implementará um SGSI (Sistema de Gestão de Segurança da Informação): um sistema que é apoiado pela gestão de topo, adaptável à cultura e estratégia da organização, e que é constantemente monitorizado, atualizado e revisto. Usando um processo de melhoria contínua, a organização será capaz de garantir que o SGSI se adapta às mudanças – tanto no ambiente quanto dentro da organização – para identificar e reduzir continuamente os riscos.
“Ao implementar medidas para proteger as informações, usando essa abordagem tripla, a empresa é capaz de se defender não apenas dos riscos baseados em tecnologia, mas de outras ameaças mais comuns, como funcionários mal informados ou procedimentos ineficazes.”
O que o RGPD diz?
O RGPD afirma claramente no Artigo nº 32 que, “o responsável pelo tratamento e o subcontratante devem implementar medidas técnicas e organizacionais apropriadas para assegurar um nível de segurança adequado ao risco, incluindo, entre outros, conforme apropriado:
- a pseudonimização e encriptação de dados pessoais;
- a capacidade de assegurar a confidencialidade, integridade, disponibilidade e resiliência permanentes dos sistemas e dos serviços de tratamento;
- a capacidade de restabelecer a disponibilidade e o acesso aos dados pessoais de forma atempada no caso de um incidente físico ou técnico;
- um processo para testar, apreciar e avaliar regularmente a eficácia das medidas técnicas e organizativas para garantir a segurança do tratamento.”
Vamos ver separadamente esses itens:
A criptografia de dados é recomendada pela ISO 27001 como uma das medidas que podem e devem ser implementadas para reduzir os riscos identificados. A ISO 27001: 2013 descreve 114 controlos que podem ser usados para reduzir os riscos de segurança da informação. Como os controlos implementados por uma organização são baseados nos resultados de uma avaliação de risco compatível com a ISO 27001, a organização será capaz de identificar quais ativos estão em risco e exigir criptografia para protegê-los adequadamente.
Um dos princípios fundamentais da ISO 27001 é a importância de garantir a confidencialidade, integridade e disponibilidade de informações. A confidencialidade não é apenas importante, mas a integridade e a disponibilidade de tais dados também são críticas. Se os dados estiverem disponíveis, mas num formato que não seja utilizável devido a uma interrupção do sistema, a integridade desses dados terá sido comprometida. Se os dados estiverem protegidos, mas inacessíveis para aqueles que precisam de os utilizar como parte dos seus trabalhos, a disponibilidade desses dados estará comprometida.
“Um dos princípios fundamentais da ISO 27001 é a importância de garantir a confidencialidade, integridade e disponibilidade de informações. A confidencialidade não é apenas importante, mas a integridade e a disponibilidade de tais dados também são críticas.”
Avaliação de risco
A ISO 27001 determina que as organizações realizem uma avaliação completa dos riscos, identificando ameaças e vulnerabilidades que possam afetar os ativos de informações de uma organização e adotem medidas para garantir a confidencialidade, a disponibilidade e a integridade desses dados. O RGPD exige especificamente uma avaliação de riscos para garantir que uma organização tenha identificado os riscos que podem afetar os dados pessoais.
Continuidade de negócios
A ISO 27001 aborda a importância da gestão de continuidade de negócios, por meio do qual fornece um conjunto de controlos que auxiliam a organização a proteger a disponibilização de informações em caso de incidente e a proteger processos críticos de negócios dos efeitos de grandes desastres, para garantir seu retorno oportunamente.
Testes e avaliações
Por fim, as organizações que optarem pela certificação para a ISO 27001 terão seus SGSI avaliados e auditados de forma independente por um organismo de certificação, para garantir que o sistema de gestão, cumpre com os requisitos da Norma. As empresas precisam de verificar regularmente o seu SGSI e realizar as avaliações necessárias, conforme prescrito pela Norma, para garantir que continua a proteger as informações da empresa. A obtenção da certificação acreditada na ISO 27001 fornece uma avaliação independente e especializada e se foram implementadas as medidas adequadas para proteger os dados.
Os requisitos para alcançar a conformidade com a ISO 27001, claro, não param por aí. Sendo um padrão amplo, abrange muitos outros elementos, incluindo a importância da formação e de conscientização da equipa, e o apoio à gestão. A ISO 27001 já foi adotada por milhares de organizações em todo o mundo e, dada a atual taxa e gravidade das violações de dados, é também um dos padrões de sistema de gestão que mais cresce atualmente.
Devido à complexidade dos seus requisitos e dos sistemas tecnológicos envolvidos no processo, a implementação desta norma requer um acompanhamento especializado por parte de uma entidade com a competência e experiência necessárias para tal. A Vexillum apresenta-se assim como o parceiro ideal para a sua empresa na implementação e manutenção da ISO 27001 e do RGPD.
Pretende mais informações?
Preencha o formulário abaixo que nós entramos em contacto.
Erro: Formulário de contacto não encontrado.