A nova LGPD (Lei Geral de Proteção a Dados) veio como uma forma de trazer mais tranquilidade e segurança para as pessoas com relação à privacidade de suas informações. Empresas que ainda não estão atentas para esta questão podem ser pegas de surpresa e sofrer consequências desagradáveis.
A ISO27001 se apresenta como uma boa referência para orientar a adequação de empresas nesta nova lei, sendo um conjunto de normas que direcionam as organizações a adotarem um sistema de Gestão de Segurança da Informação.
O Foco principal da ISO27001 é estabelecer uma estrutura de gerenciamento visando controlar a implementação e a operação de Segurança da Informação dentro das organizações.
As principais diretrizes de tecnologia da informação que tem como objetivo garantir proteção de dados são baseadas nos seguintes princípios:
- Confiabilidade
- Integridade
- Disponibilidade
A ISO27001 parte destes princípios para realizar a gestão de riscos, o que inclui descobrir onde eles estão e trata-los de maneira devida. Esse tratamento de riscos envolve vários fatores, desde a proteção do ambiente físico onde as informações estão armazenadas, até o treinamento para quem opera estas informações.
É importante ressaltar que a Gestão de Segurança da Informação é pautada em Políticas de Segurança que possibilitam estar de acordo com à nova Lei. Portanto, o foco inicial das empresas deve estar em preparar e atualizar a estrutura básica, buscando implementar e renovar tais políticas através de investimentos primários em firewall, licenciamento, backups, gerenciamento do parque de t.i. e treinamentos para encontrar vulnerabilidades.
Após garantir uma boa estrutura para gestão de riscos, é muito importante pensar em como mantê-la, sendo necessário ter uma equipe qualificada para gerenciar desde os equipamentos físicos até os softwares que são utilizados.
Devido à complexidade envolvida em fazer uma gestão de riscos com qualidade, muitos empresários preferem contratar empresas que atuam no mercado com o serviço de outsourcing (terceirização da gestão de TI), a empresa que assume esta responsabilidade fica encarregada de implementar o ambiente ideal, apontar melhorias e manter sempre no padrão que a ISO determina.
As noções básicas que você precisa para dar o pontapé inicial neste trabalho de adequação consistem em:
1. Entender a responsabilidade principal da equipe de T.I, organizar toda a logística do departamento, configurar e gerenciar os equipamentos, instalar e manter os softwares atualizados, criar políticas, controles de acesso aos usuários e gerenciar para que esses usuários cumpram as políticas estabelecidas.
2. Proteger o ambiente contra ataques maliciosos através de tecnologias que trabalhem juntas, softwares e hardwares. Essa junção do físico com o lógico é preservada com a utilização de firewalls, criptografia de dados e monitoramento da rede. Essas ações protegem as informações de serem alteradas de forma imprópria e também são indispensáveis para evitar que problemas ocorram.
3. Não basta implementar as políticas de treinamentos aos colaboradores, todos os membros da empresa devem entender a lógica por trás dessas políticas, mantendo boas práticas que serão garantidas através de rotinas de fiscalização e gerenciamento. Uma das piores vulnerabilidades de uma empresa é não se preocupar com a forma como seus colaboradores estão tratando suas informações.
De forma geral, a segurança de dados da sua empresa está diretamente relacionada com princípios básicos de segurança da informação, estas são garantidas através do cumprimento de políticas e do uso adequado dos equipamentos e softwares proporcionados pela empresa.
