A ISO 27001 e a sua relação com a LGPD

Temos então que o objetivo geral desse trabalho é verificar se o uso da ISO 27001 atende a todos os requisitos exigidos pela LGPD. Palavras-chave: LGPD; ISO 27001; segurança de dados Introdução Os autores Alves et al. citam que atualmente são diversos os setores que utilizam a tecnologia da informação (TI) como meio de informação e comunicação, bem como para armazenamento de informações e dados. Assim podemos citar os setores de educação, finanças, institucionais, entre outros. Dessa forma torna-se praticamente inviável planejar atividades e negócios sem o uso da tecnologia, pois a mesma está presente no dia a dia de diversas formas e usos através de computadores, smartphones e tablets, bem como a ampla disponibilidade de redes de acesso a internet seja via wifi ou 3/ 4G.

Ainda assim não suficiente quanto as penalidades previstas, em 2018 foi aprovada a Lei nº 13. referente a LGPD, Lei Geral de Proteção de Dados Pessoais, que altera também os artigos 7 e 16 do Marco Civil da Internet. Dessa maneira, temos como objetivo geral desse trabalho relacionar a ISO 27001 com a LGPD, analisando se a mesma atende a todos os pontos previstos da legislação e as vantagens dessa relação. Como objetivos específicos temos os seguintes pontos que devem ser abordados: • Entendimento dos pontos previstos na LGPD; • Analise dos padrões de segurança abordados pela ISO 27001; • Estudo de tratamento de incidentes e principios básicos de segurança da informação; • E por fim, analisar como a ISO 27001 pode ser utilizada para conformidade com a LGPD. Para que sejam atingidos esses objetivos, utilizamos como base metológica a pesquisa bibliográfica, com uma abordagem qualitativa, tendo objetivo de pesquisa exploratória através de estudos de caso.

As ferramentas servem para monitoramento, tentar impedir ou alertar sobre possíveis incidentes. Os controles fazem a verificação se os demais fatores estão fazendo o que foi planejado, tal como um processo de auditoria, e por fim as políticas de segurança são o pilar norteador da instituição sobre como agir com relação a qualquer incidente que ocorra, bem como a organização deve agir com seus ativos. Infelizmente muitas empresas acabam somente se dando conta da importância da segurança da informação depois de passarem por algum incidente, seja de vazamento de dados, ransoware, entre outros. Tratamento de Incidentes De acordo com o grupo Gartner (Gartner, 2002), cerca de 80% das causas de serviços de TI ficarem indisponíveis é decorrente, em geral, dos seguintes problemas: falta de testes nas aplicações, falta de gerenciamento das mudanças, sobrecarga no servidor, falhas em procedimentos ou no cumprimento dos requisitos, erros relacionados a segurança e a rotinas de backup.

De forma a exemplificar isso, apresentamos anteriormente, na Figura 1, o número de incidentes que vem sendo reportado ao CERT. Dessa maneira essa norma pode ser utilizada por organizações de qualquer tamanho e de qualquer setor, pois conforme 27001 (2020) a mesma tem como princípios a organização de um conjunto de requisitos, processos e controles que vão ser utilizadas para mitigar e gerir o risco da organização. O que deve ser observado é o tamanho da empresa, a complexidade das tarefas e funções e a quantidade de profissionais que serão envolvidos. Ela pode ser implementada na sua totalidade, cobrindo toda a gestão de TI da organização, ou então apenas os tópicos desejados, sendo composta pelas divisões apresentadas na Figura 3. Figura 3: Divisões da ISO 27001 (ISO 27001 a, 2020).

As políticas de segurança, conforme Dantas (2011) é um documento que vai estabelecer todos os princípios, valores, compromissos, requisitos, orientações e responsabilidades para com a segurança da informação, e é por meio dela que serão ditadas regras, normas e procedimentos com o objetivo de que os recursos sejam utilizados de forma segura e confiável, no âmbito interno e externo, conforme Silva (2012). Seu objetivo é regulamentar o tratamento de dados pessoais de clientes e usuários por parte de empresas públicas e privadas. De acordo com Peck (2020), a lei é um novo marco legal brasileiro de grande impacto, pois trata da proteção de dados pessoais independente do meio em que sejam adquiridos e independente se seja por pessoa física ou jurídica. Ela foi promulgada pelo então presidente Michael Temer em 14 de agosto de 2018, sendo originada da PLC nº 53/2018.

Inicialmente ela entraria em vigor após 18 meses, tempo que as instituições públicas e privadas teriam para se adequar, depois foram adicionados mais 6 meses e seu prazo passou para agosto de 2020. Com a chegada de 2020, a lei acabou sendo deixada um pouco de lado pelos governantes devido ao Covid-19 e no momento sua entrada em vigor depende da assinatura pelo atual presidente Jair Bolsonaro, porém parte dela já está valendo desde 2018. Figura 4: Aplicação da ISO 27001 na LGPD (Luz, 2019). Dessa maneira, após a criação da estratégia deve-se indicar os responsáveis, que através da criação de políticas e procedimentos farão a correta gestão dos dados, bem como comunicação, conscientização e treinamento dos demais membros do time. A gestão dos dados poderá ser auditada a qualquer momento de forma a verificar se as políticas criadas estão sendo seguidas, bem como esse precisa ser um processo contínuo de gestão dos dados, que deverão ser tratados desde o momento de entrada até o final do seu ciclo de vida.

Conclusões A evolução de uma tecnologia e adoção da mesma em massa pela população ocasiona inúmeras vantagens, tal como a possibilidade de se comunicar com quem está longe, realizar compras e pagamentos através de um aparelho celular, entre outros. Por outro lado, faz-se necessário que exista uma gestão por trás dos sistemas, de forma a garantir que os pilares básicos de segurança da informação não sejam alterados, sendo eles: confidencialidade, integridade e disponibilidade. Como trabalhos futuros desejamos a continuidade da pesquisa focando na questão de tratamento dos dados desde que os mesmos dão entrada na organização, com base na utilização das normas citadas. Referências 27001. O que é a normal ISO 27001? Disponível em <https://www.

pt/>. Acessado em 8 de setembro de 2020. Revista Gestão. Org, av. Edição Especial, 2015. p. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS (ABNT) – Tecnologia da Informação - Código de Prática para Gestão da Segurança da Informação: NBR ISO/IEC 17799:2001. Politec, 2002. CERT. Total de incidentes reportados por ano. Disponível em <https://www. cert. Gartner Group Top 10 Predicts 2002. Disponível em <https://www. gartner. com/doc/351521/gartner-predicts--top->. Acessado em 01 de fevereiro de 2019. br/wp-content/uploads/2017/12/Brazil-Data-Protection-in-the-Financial-Sector_2017_PORT. pdf>. Acesso em 3 ago. LGPD. Lei Geral de Proteção de Dados Pessoais. senado. leg. br/institucional/arquivo/apresentacoes/slide-7a>. Acessado em 16 de setembro de 2020. MACHADO, F. Revista dos tribunais, 3ª tiragem. PINHEIRO, Patrícia Peck. Proteção de dados pessoais. Saraiva Jur, 2ª edição. SÊMOLA, M. Rio de Janeiro: Editora Ciência Moderna Ltda, 2012.

SILVA, Edna Lúcia da; Menezes, Estera Muszkat. Metodologia da Pesquisa e Elaboração de Dissertação. a ed. Florianópolis: Universidade Federal de Santa Catarina – UFSC. A tutela da imagem da pessoa humana na internet na experiência jurisprudencial brasileira. In: Direito privado e Internet. São Paulo: Atlas, 2014.