Segurança da Informação garante a sustentabilidade da Proteção de Dados Pessoais

Edison Fontes, CISM, CISA, CRISC, edison@pobox.com.

 

O Processo Organizacional de Segurança da Informação é a base para a existência da Proteção de Dados Pessoais. Se a sua organização não possui um efetivo Processo Organizacional de Segurança da Informação qualquer ação para a conformidade com a Lei de Proteção de Dados Pessoais será uma construção sem alicerce: como construir uma casa na areia da praia sem nenhum alicerce.

 No tempo atual a responsabilização de profissionais e executivos está ficando cada vez mais rígida. Algo que é bem comum em países do primeiro mundo, começa a ser realidade no nosso Brasil. Engenheiros são presos para averiguação de laudo sobre barragens e executivo chefe de organização já é levado ao tribunal por questões penais corporativas, ou por simples negligência.

 Sendo assim, recomendo que a Proteção de Dados Pessoais seja implementada na organização, de maneira estruturada, sólida e com sustentabilidade de ações.

 As Dimensões de Segurança da Informação, descritas abaixo são os elementos que possibilitam proteger a informação de uma maneira completa. Proteger a informação pessoal é um detalhamento de controle para um tipo de informação.

Dimensões ou Elementos da Segurança da Informação:

1. Políticas, normas e demais regulamentos.

2. Acesso à informação

3. Classificação da Informação.

4. Proteção técnica dos recursos de informação

5. Flexibilidade operacional. Gestão de incidentes, problemas, mudança,

Capacidade e prestadores de serviço.

6. Desenvolvimento aplicativos ou programas produto.

7. Conscientização e treinamento.

8. Continuidade de negócio.

9. Cópias de segurança

10. Ambiente físico da informação

11. Modelo operativo da segurança da informação

12. Gestão de riscos de segurança da informação.

13. Gestão de prestadores de serviços.

14. Criptografia

 Descrevemos a seguir os principais elementos de controle da Lei de Proteção de Dados brasileira e o seu relacionamento com as Dimensões ou Elementos da Segurança da Informação. Consideramos que existe relacionamento do elemento da lei com a dimensão de segurança da informação, quando controles de segurança são necessários ou convenientes para possibilitar a conformidade com as exigências da lei.

 Diretriz da lei: Titularidade dos dados pessoais

=> Dado pessoal é da pessoa natural, singular.

Dimensões ou elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Classificação da informação.

- Gestão de Risos de Informação.

- Conscientização e treinamento.

- Criptografia.

- Gestão Prestadores de serviço.

1. Aplicação e abrangência da lei

=> Âmbito aplicação territorial e lógico

Dimensões ou elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Classificação da informação.

- Gestão Prestadores de serviço.

2. Requisitos para tratamento dados pessoais

=> Base legal para tratamento de dados pessoais.

Dimensões ou elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

3. Direitos do Titular

=> Direitos da pessoa singular

Dimensões ou elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Classificação da informação.

- Proteção técnica dos recursos de informação.

- Desenvolvimento aplicativos ou programas produto.

- Continuidade de Negócio.

- Cópias de segurança.

- Gestão de Riscos de Segurança Informação

- Criptografia

- Gestão de prestadores de serviço.

4. Consentimento do Titular

=> Autorização de uso de dado pessoal

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Classificação da informação.

- Proteção técnica dos recursos de informação.

- Desenvolvimento aplicativos ou programas produto.

- Cópias de segurança.

- Gestão de Riscos de Segurança Informação

- Criptografia

5. Uso com finalidade específica

=> Limitação de uso

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Proteção técnica dos recursos de informação.

- Desenvolvimento aplicativos ou programas produto.

- Cópias de segurança.

- Gestão de Riscos de Segurança Informação 

6. Tempo de tratamento

=> Limitação de uso

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Proteção técnica dos recursos de informação.

- Desenvolvimento aplicativos ou programas produto.

- Cópias de segurança.

- Gestão de Riscos de Segurança Informação

- Criptografia

- Gestão de prestadores de serviço

7. Coleta mínima e adequada

=> Limitação de uso

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Cópias de segurança.

- Gestão de Riscos de Segurança Informação

8. Livre acesso pelos Titulares

=> Direitos do Titular

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Proteção técnica dos recursos de informação.

- Desenvolvimento aplicativos ou programas produto.

- Cópias de segurança.

- Gestão de Riscos de Segurança Informação

9. Adequação

=> Limitação de uso

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Cópias de segurança

- Gestão prestadores de serviço. 

10. Gestão segurança pelo Controlador

=> Segurança da informação – Controles

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Classificação da informação.

- Proteção técnica dos recursos de informação.

- Flexibilidade operacional.

- Desenvolvimento aplicativos ou programas produto.

- Continuidade de Negócio.

- Cópias de segurança.

- Gestão de Riscos de Segurança Informação

- Treinamento e conscientização.

- Ambiente físico da informação

- Criptografia

- Gestão de prestadores de serviço.

- Processo Organizacional de Segurança Informação.

11. Estruturação da segurança dados pessoais

=> Proteção técnica

Dimensões ou Elementos da Segurança da Informação:

- Acesso informação.

- Proteção técnica dos recursos de informação.

- Flexibilidade operacional.

- Desenvolvimento aplicativos ou programas produto.

- Continuidade de Negócio.

- Cópias de segurança.

- Treinamento e conscientização.

- Gestão de prestadores de serviço.

12. Comunicação de incidentes

=> Comunicação a autoridade, mercado, etc..

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Proteção técnica dos recursos de informação.

- Flexibilidade operacional.

- Continuidade de Negócio.

- Gestão de Riscos de Segurança Informação

- Treinamento e conscientização.

- Gestão de prestadores de serviço.

13. Anonimização de dados

=> Proteção de dados

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Proteção técnica dos recursos de informação.

- Desenvolvimento aplicativos ou programas produto.

- Criptografia

14. Governança privacidade de dados pessoais

=> Governança

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Classificação da informação.

- Proteção técnica dos recursos de informação.

- Desenvolvimento aplicativos ou programas produto.

- Treinamento e conscientização.

- Gestão de prestadores de serviço.

- Processo Organizacional de Segurança Informação.

15. Transferência internacional de dados

=> Transferência de dados.

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Classificação da informação.

- Proteção técnica dos recursos de informação.

- Flexibilidade operacional.

- Cópias de segurança.

- Criptografia

- Gestão de prestadores de serviço.

16. Tratamento dados crianças e adolescentes

=> Crianças e adolescentes

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Classificação da informação.

- Proteção técnica dos recursos de informação.

- Gestão de Riscos de Segurança Informação

- Treinamento e conscientização.

17. Encarregado tratamento de dados pessoais

=> Gestor dados pessoais

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Treinamento e conscientização.

- Processo Organizacional de Segurança Informação.

18. Impacto proteção de dados pessoais

=> Gestão de risco de dados pessoais

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Gestão de Riscos de Segurança Informação

- Processo Organizacional de Segurança Informação.  

19. Penalidades

=> Responsabilidades e penalidades

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Gestão de Riscos de Segurança Informação

- Treinamento e conscientização.

- Processo Organizacional de Segurança Informação.

20. Autoridade Nacional

=> Autoridade Nacional

Dimensões ou Elementos da Segurança da Informação:

- Flexibilidade operacional.

- Gestão de Riscos de Segurança Informação

- Processo Organizacional de Segurança Informação.

21. Política de Dados Pessoais

=> Regulamento Dados Pessoais

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Gestão de Riscos de Segurança Informação

- Gestão de prestadores de serviço.

22. Direito ao esquecimento

=> Direito ao esquecimento

Dimensões ou Elementos da Segurança da Informação:

- Política, normas e regulamentos de segurança informação.

- Acesso informação.

- Proteção técnica dos recursos de informação.

- Desenvolvimento aplicativos ou programas produto.

- Cópias de segurança.

- Gestão de Riscos de Segurança Informação

- Gestão de prestadores de serviço.

Conclusão

Sua organização precisa ficar em conformidade com a Lei de Proteção de Dados Pessoais. O caminho correto é começar pelo Processo Organizacional de Segurança da Informação. Caso contrário, o risco de fracasso é muito alto e com certeza os acionistas e os executivos que respondem com seus bens não querem correr este risco.

Prof. Ms. Edison Fontes, CISM, CISA, CRISC

Consultor, Mentor, Gestor em Segurança da Informação, Proteção de Dados Pessoais, Gestão de Risco, Continuidade de Negócio.

edison@pobox.com

Núcleo Consultoria em Segurança

www.nucleoconsult.com.br