MPE SOLUÇÕES NEGÓCIOS

LEI DE PROTEÇÃO DE DADOS PESSOAIS, OS OBJETIVOS E CONTROLES DE SEGURANÇA DA INFORMAÇÃO

Por Edison Fontes

A Lei de Proteção de Dados Pessoais do Brasil, baseada no GDPR da União Europeia, apresenta de maneira direta ou indireta no texto dos seus artigos, objetivos de segurança da informação que, para serem implementados, precisam ser atendidos pelos controles de segurança da informação (dimensões da segurança da informação).

Desta maneira, a existência do processo organizacional de segurança da informação é fator crítico para a adequada conformidade da organização com a Lei de Proteção de Dados Pessoais. A organização que não possuir esse processo de segurança, tem assegurado o seu fracasso a médio prazo, a curto prazo ou nem conseguirá implementar efetivamente as primeiras ações de conformidade.

É importante que esta dependência da Lei de Proteção de Dados Pessoais e o processo organizacional de segurança da informação seja apresentada para o Corpo Diretivo da organização, para garantir a conformidade sustentável com esta diretiva obrigatória de proteção de dados.

Para facilitar um melhor entendimento bem como o trabalho dos profissionais envolvidos na proteção de dados pessoais, descrevo abaixo, de uma maneira resumida os artigos da lei que referenciam direta ou indiretamente os Objetivos de Segurança da Informação, e indico os principais Controles de Segurança da Informação (Dimensões da Segurança da Informação).

Eventualmente,  ao ler o texto da lei poderá identificar outros objetivos de segurança da informação e consequentemente novos controles. Confesso que isso acontece comigo. A cada leitura e estudo da lei, identifico ou aprimoro objetivos e controles. Caso você identificar, não esqueça de compartilhar. Gostaria de sempre melhorar esta relação.

ARTIGOS 1 e 2Objetivos de Segurança da Informação

Integridade

Confidencialidade

Legitimidade, Sigilo

Proteção das Transações.        

Controles de Segurança da Informação (Dimensões)

Política SI

Acesso Informação

Copias Segurança

Classificação Informação.

ARTIGOS 1 e 2Objetivos de Segurança da Informação

Segregação de Função Ambiente TI: Desenvolvimento, Teste e Produção         

Controles de Segurança da Informação (Dimensões)

Política SI

Acesso Informação

Desenvolvimento Sistemas.

ARTIGOS 1 e 2Objetivos de Segurança da Informação

Identificação adequada do Usuário Final          

Controles de Segurança da Informação (Dimensões)

Política SI

Acesso Informação.

ARTIGO 6Objetivo de Segurança da Informação

Controle Acesso Ambiente Físico         

Controle de Segurança da Informação (Dimensões)

Ambiente Físico.

ARTIGO 6Objetivo de Segurança da Informação

Políticas de segurança 

Controle de Segurança da Informação (Dimensões)

Política SI.

ARTIGO 7Objetivo de Segurança da Informação

Consentimento para uso dados

Controle de Segurança da Informação (Dimensões)

Política SI

Acesso Informação.   

ARTIGO 7Objetivo de Segurança da Informação

Criptografia de Dados, Anonimização    

Controles de Segurança da Informação (Dimensões)

Criptografia

Classificação Informação.

ARTIGO 10Objetivo de Segurança da Informação

Revisão medidas de S.I.          

Controles de Segurança da Informação (Dimensões)

Política SI        

Gestão de Riscos S.I.  

Gestão mudanças.

ARTIGO 10Objetivo de Segurança da Informação

Gerenciamento de Risco (Operacional, SI)       

Controles de Segurança da Informação (Dimensões)

Política SI        

Gestão de Riscos S.I. 

ARTIGO 10Objetivo de Segurança da Informação

Elaborar Política de Gestão de Risco Operacional         

Controles de Segurança da Informação (Dimensões)

Política SI        

Gestão de Riscos S.I.

ARTIGO 15Objetivo de Segurança da Informação

Exclusão de dados       

Controles de Segurança da Informação (Dimensões)

Acesso Informação       

Copias de Segurança.

ARTIGO 15Objetivo de Segurança da Informação

Proteção e segurança de dados armazenados  

Controles de Segurança da Informação (Dimensões)

Acesso Informação

Desenvolvimento Sistemas      

Classificação Informação          

Cópias Segurança.

ARTIGOS 18 e 37Objetivo de Segurança da Informação

Autenticação e Autorização de Acessos

Controles de Segurança da Informação (Dimensões)

Política SI        

Acesso Informação.

ARTIGO 41Objetivo de Segurança da Informação

Área de Segurança da Informação ou Proteção de Dados         

Controle de Segurança da Informação (Dimensões)

Modelo Operativo S.I. 

ARTIGO 46Objetivo de Segurança da Informação

Gestão Proteção Técnica         

Controles de Segurança da Informação (Dimensões)

Política SI        

Proteção Técnica         

Produtos Homologados.

ARTIGO 46Objetivo de Segurança da Informação

Terceiros/Prestadores Serviço – Responsabilidade        

Controle de Segurança da Informação (Dimensões)

Política SI.

ARTIGOS 46 e 37Objetivo de Segurança da Informação

Monitoramento acesso, rastreamento de dados, sistemas, transações.

Controles de Segurança da Informação (Dimensões)

Acesso Informação,     

Desenvolvimento Sistemas.

ARTIGOS 46 e 48Objetivo de Segurança da Informação

Monitoramento falhas S.I. e correção.

Controles de Segurança da Informação (Dimensões)

Gestão Incidentes

Gestão Problemas

Gestão Mudanças

Gestão Capacidade.

ARTIGO 50Objetivo de Segurança da Informação

Processo Corporativo da Segurança da Informação.     

Controle de Segurança da Informação (Dimensões)

Toda Arquitetura de S.I.

ARTIGOS 50 e 41Objetivo de Segurança da Informação

Estrutura tecnológica para garantir S.I. 

Controle de Segurança da Informação (Dimensões)

Proteção Técnica.

ARTIGO 50Objetivo de Segurança da Informação

Políticas de segurança 

Controle de Segurança da Informação (Dimensões)

Política SI. 

ARTIGO 50 Objetivo de Segurança da Informação

Treinamento em S.I. do Usuário e Cliente         

Controles de Segurança da Informação (Dimensões)

Política SI        

Treinamento.

TODA A LEI

Objetivo de Segurança da Informação

Privacidade, proteção de dados pessoais, sigilo.          

Controles de Segurança da Informação (Dimensões)

Política SI        

Acesso Informação,     

Desenvolvimento Sistemas      

Classificação Informação.

A Lei de Proteção de Dados Pessoais é um instrumento que define uma maior rigidez para os controles de segurança da informação em relação a dados pessoais. Quando a organização possui a arquitetura de segurança de informação, onde são apresentados os direcionadores obrigatórios, fica mais explícito a relação.

A propósito, sua organização possui formalizada e aprovada a arquitetura de segurança da informação?

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor, Mentor, Gestor em Segurança da Informação, Proteção de Dados Pessoais, Gestão de Risco, Continuidade de Negócio.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *