Por Edison Fontes
A Lei de Proteção de Dados Pessoais do Brasil, baseada no GDPR da União Europeia, apresenta de maneira direta ou indireta no texto dos seus artigos, objetivos de segurança da informação que, para serem implementados, precisam ser atendidos pelos controles de segurança da informação (dimensões da segurança da informação).
Desta maneira, a existência do processo organizacional de segurança da informação é fator crítico para a adequada conformidade da organização com a Lei de Proteção de Dados Pessoais. A organização que não possuir esse processo de segurança, tem assegurado o seu fracasso a médio prazo, a curto prazo ou nem conseguirá implementar efetivamente as primeiras ações de conformidade.
É importante que esta dependência da Lei de Proteção de Dados Pessoais e o processo organizacional de segurança da informação seja apresentada para o Corpo Diretivo da organização, para garantir a conformidade sustentável com esta diretiva obrigatória de proteção de dados.
Para facilitar um melhor entendimento bem como o trabalho dos profissionais envolvidos na proteção de dados pessoais, descrevo abaixo, de uma maneira resumida os artigos da lei que referenciam direta ou indiretamente os Objetivos de Segurança da Informação, e indico os principais Controles de Segurança da Informação (Dimensões da Segurança da Informação).
Eventualmente, ao ler o texto da lei poderá identificar outros objetivos de segurança da informação e consequentemente novos controles. Confesso que isso acontece comigo. A cada leitura e estudo da lei, identifico ou aprimoro objetivos e controles. Caso você identificar, não esqueça de compartilhar. Gostaria de sempre melhorar esta relação.
ARTIGOS 1 e 2 – Objetivos de Segurança da Informação
Integridade
Confidencialidade
Legitimidade, Sigilo
Proteção das Transações.
Controles de Segurança da Informação (Dimensões)
Política SI
Acesso Informação
Copias Segurança
Classificação Informação.
ARTIGOS 1 e 2 – Objetivos de Segurança da Informação
Segregação de Função Ambiente TI: Desenvolvimento, Teste e Produção
Controles de Segurança da Informação (Dimensões)
Política SI
Acesso Informação
Desenvolvimento Sistemas.
ARTIGOS 1 e 2 – Objetivos de Segurança da Informação
Identificação adequada do Usuário Final
Controles de Segurança da Informação (Dimensões)
Política SI
Acesso Informação.
ARTIGO 6 – Objetivo de Segurança da Informação
Controle Acesso Ambiente Físico
Controle de Segurança da Informação (Dimensões)
Ambiente Físico.
ARTIGO 6 – Objetivo de Segurança da Informação
Políticas de segurança
Controle de Segurança da Informação (Dimensões)
Política SI.
ARTIGO 7 – Objetivo de Segurança da Informação
Consentimento para uso dados
Controle de Segurança da Informação (Dimensões)
Política SI
Acesso Informação.
ARTIGO 7 – Objetivo de Segurança da Informação
Criptografia de Dados, Anonimização
Controles de Segurança da Informação (Dimensões)
Criptografia
Classificação Informação.
ARTIGO 10 – Objetivo de Segurança da Informação
Revisão medidas de S.I.
Controles de Segurança da Informação (Dimensões)
Política SI
Gestão de Riscos S.I.
Gestão mudanças.
ARTIGO 10 – Objetivo de Segurança da Informação
Gerenciamento de Risco (Operacional, SI)
Controles de Segurança da Informação (Dimensões)
Política SI
Gestão de Riscos S.I.
ARTIGO 10 – Objetivo de Segurança da Informação
Elaborar Política de Gestão de Risco Operacional
Controles de Segurança da Informação (Dimensões)
Política SI
Gestão de Riscos S.I.
ARTIGO 15 – Objetivo de Segurança da Informação
Exclusão de dados
Controles de Segurança da Informação (Dimensões)
Acesso Informação
Copias de Segurança.
ARTIGO 15 – Objetivo de Segurança da Informação
Proteção e segurança de dados armazenados
Controles de Segurança da Informação (Dimensões)
Acesso Informação
Desenvolvimento Sistemas
Classificação Informação
Cópias Segurança.
ARTIGOS 18 e 37 – Objetivo de Segurança da Informação
Autenticação e Autorização de Acessos
Controles de Segurança da Informação (Dimensões)
Política SI
Acesso Informação.
ARTIGO 41 – Objetivo de Segurança da Informação
Área de Segurança da Informação ou Proteção de Dados
Controle de Segurança da Informação (Dimensões)
Modelo Operativo S.I.
ARTIGO 46 – Objetivo de Segurança da Informação
Gestão Proteção Técnica
Controles de Segurança da Informação (Dimensões)
Política SI
Proteção Técnica
Produtos Homologados.
ARTIGO 46 – Objetivo de Segurança da Informação
Terceiros/Prestadores Serviço – Responsabilidade
Controle de Segurança da Informação (Dimensões)
Política SI.
ARTIGOS 46 e 37 – Objetivo de Segurança da Informação
Monitoramento acesso, rastreamento de dados, sistemas, transações.
Controles de Segurança da Informação (Dimensões)
Acesso Informação,
Desenvolvimento Sistemas.
ARTIGOS 46 e 48 – Objetivo de Segurança da Informação
Monitoramento falhas S.I. e correção.
Controles de Segurança da Informação (Dimensões)
Gestão Incidentes
Gestão Problemas
Gestão Mudanças
Gestão Capacidade.
ARTIGO 50 – Objetivo de Segurança da Informação
Processo Corporativo da Segurança da Informação.
Controle de Segurança da Informação (Dimensões)
Toda Arquitetura de S.I.
ARTIGOS 50 e 41 – Objetivo de Segurança da Informação
Estrutura tecnológica para garantir S.I.
Controle de Segurança da Informação (Dimensões)
Proteção Técnica.
ARTIGO 50 – Objetivo de Segurança da Informação
Políticas de segurança
Controle de Segurança da Informação (Dimensões)
Política SI.
ARTIGO 50 – Objetivo de Segurança da Informação
Treinamento em S.I. do Usuário e Cliente
Controles de Segurança da Informação (Dimensões)
Política SI
Treinamento.
TODA A LEI
Objetivo de Segurança da Informação
Privacidade, proteção de dados pessoais, sigilo.
Controles de Segurança da Informação (Dimensões)
Política SI
Acesso Informação,
Desenvolvimento Sistemas
Classificação Informação.
A Lei de Proteção de Dados Pessoais é um instrumento que define uma maior rigidez para os controles de segurança da informação em relação a dados pessoais. Quando a organização possui a arquitetura de segurança de informação, onde são apresentados os direcionadores obrigatórios, fica mais explícito a relação.
A propósito, sua organização possui formalizada e aprovada a arquitetura de segurança da informação?
Prof. Ms. Edison Fontes, CISM, CISA, CRISC
Consultor, Mentor, Gestor em Segurança da Informação, Proteção de Dados Pessoais, Gestão de Risco, Continuidade de Negócio.