Proteção de dados e segurança de TI de acordo com a ISO 27001

A segurança de TI e a proteção de dados são tópicos relevantes na era digital, mas muitas vezes levam as empresas de médio e grande porte ao desespero. Os legisladores estão cada vez mais tentando proteger cidadãos e consumidores em nível nacional e internacional - por exemplo, através de regras sobre o processamento de dados pessoais (GDPR). 

No entanto, são precisamente esses regulamentos legais que contêm muitos termos que importam na prática. Afinal, obrigações sérias para as empresas surgem da GDPR e de outras leis. 

Para pessoas não familiarizadas com o assunto, a interpretação correta das leis de proteção de dados e segurança de TI representa um grande desafio. Entretanto, as conseqüências de uma proteção de dados inadequada não são apenas problemáticas internamente, mas também podem acarretar sanções governamentais.

Mas o que exatamente se entende por proteção de dados e segurança de TI? E quais são as obrigações para as empresas? A certificação ISO 27001 pode ajudar no cumprimento das exigências legais? - Leia mais sobre isto neste artigo.

Você precisa de apoio individual sobre este tópico? Nossa equipe é composta por especialistas experientes em direito de proteção de dados, TI e segurança. Teremos prazer em apoiá-lo na implementação dos regulamentos de proteção de dados. Entre em contato diretamente para uma consulta inicial sem compromisso.

Os fatos mais importantes em resumo

• Com a introdução do GDPR, as empresas devem desenvolver um conceito de proteção de dados e tomar medidas para proteger os dados pessoais.
• As empresas devem atender às exigências operacionais e garantir a segurança da informação internamente. A ligação entre proteção de dados e segurança da informação pode parecer complicada, mas também apresenta algumas vantagens para as empresas.
• A certificação no contexto do GDPR, como a ISO 27701, pode ajudar a ligar a proteção de dados e a segurança da informação e entrelaçá-los em um sistema de gestão comum.

Como a proteção de dados e a segurança da informação diferem?

No início, a segurança da informação e a proteção de dados soam muito sinônimo. Você pode pensar que os dois termos descrevem a mesma coisa. Além disso, outras palavras, como segurança de dados ou segurança de TI podem confundir. O que se entende por qual termo e como utilizá-los corretamente? 

Como estamos sempre discutindo a segurança do processamento de dados pessoais na empresa, os termos, naturalmente sobreposição, às vezes mais, às vezes menos. No entanto, vários termos assumem diferentes tarefas e posições nas empresas.

Devido às sobreposições às vezes significativas, as definições e delimitações exatas são impossível. Muitas vezes depende do autor e do contexto, de como os diferentes termos devem ser interpretados. Naturalmente, isto não facilita nada para os consumidores ou leigos.

Para fornecer um visão geral e compreender as diferenças fundamentais, vamos explicar os termos:

Privacidade dos dados

A proteção de dados é o proteção da privacidade de cada pessoa. Nos países ocidentais, especialmente na região DACH, todos têm o direito de autodeterminação informativa. Isto garante que os indivíduos possam determinar como seus dados são utilizados.

Ao mesmo tempo, as pessoas devem ser protegidas de uso indevido de dados. Portanto, regulamentos de proteção de dados, como o GDPR, regem o tratamento de dados pessoais e a obrigação de informar cada pessoa sobre o uso de seus dados.

Segurança dos dados

A segurança dos dados também se refere à proteção de dados, mas este termo é aplicado de uma forma mais geral. Não se trata apenas de dados pessoais, mas de qualquer tipo de dado que vale a pena proteger. Inclui dados analógicos e digitais, por exemplo, informações secretas sobre uma empresa ou seus produtos.

A segurança dos dados deve proteger contra manipulação, roubo, perda, ou mesmo simples conhecimento. Ao contrário da proteção de dados, o processamento e a coleta de dados não desempenham necessariamente um papel, mas sim a questão de como os dados geralmente podem ser protegidos contra o acesso não autorizado.

Segurança da informação

Em particular, Normas ISO 27001 e 27701 falar sobre segurança da informação, ou seja a proteção de informações de todos os tipos. Também aqui é irrelevante se a informação é digital ou analógica, com ou sem referência pessoal. A segurança dos dados pode ser considerada parte da segurança da informação, uma vez que esta última é mais abrangente.

Segurança informática

Como a segurança de dados, a segurança de TI pode ser vista como parte da segurança da informação e descreve informações armazenadas eletronicamente e sistemas de TI. Além do processamento técnico de informações, isto também inclui a segurança operacional dos sistemas de TI.

Quais são as obrigações das empresas em relação à proteção de dados?

Os requisitos de proteção de dados são regulamentados nos países da UE, particularmente no GDPR (Regulamento Geral de Proteção de Dados). Além disso, existe a Lei Federal Alemã de Proteção de Dados (BDSG) na Alemanha.

O GDPR dá aos estados membros individuais uma certa margem de manobra, razão pela qual o BDSG foi adaptado e complementado. Para as empresas, entretanto, a GDPR é ainda mais relevante.

Uma abordagem estruturada é prescrita:

• Para poder tomar medidas de proteção de dados, as empresas devem sempre formular exigências e objetivos de proteção e usá-los para desenvolver um sistema de gerenciamento integrado.
• Análises de risco são usados para definir metas de proteção e determinar quais perigos existem e onde a necessidade de proteção é particularmente alta. Apropriado medidas técnicas e organizacionais são então desenvolvidos para alcançar as metas de proteção.
• Os objetivos de proteção são sempre os estado alvo e não são estabelecidos apenas pelas próprias empresas, mas também podem ser encontrados em padrões.

Com relação a estas metas de proteção definidas, as empresas devem tomar medidas para atingir estas metas. Os objetivos relativos a proteção de dados e segurança da informação devem ser incluídos neste processo.

Em linguagem simples:  Na prática, geralmente é impossível separar claramente os objetivos individuais e as ações para alcançá-los. Todas as metas de proteção e suas ações estão inter-relacionadas e devem ser consideradas como um todo.

O GDPR estipula metas de proteção em particular:

• Confidencialidade dos dados pessoais
• Disponibilidade dos dados (os dados podem ser acessados com segurança)
• Integridade (assegurando a autenticidade dos dados)
• A resiliência dos sistemas e serviços
• A restauração mais rápida possível do acesso aos dados em caso de incidentes
• A intervenção é possível (os titulares dos dados podem retirar seu consentimento para o processamento de dados a qualquer momento)
• Revisão regular, avaliação e melhoria das medidas organizacionais
• Instruir os funcionários a processar os dados somente dentro do escopo especificado e mantê-los confidenciais
• Limitação da finalidade do processamento de dados (os dados só podem ser utilizados para fins específicos e legítimos que tenham sido claramente definidos com antecedência)
• Minimização de dados
• Limitação de armazenamento (os dados só podem ser armazenados durante o tempo necessário, após o qual é necessário apagá-los)
• Responsabilidade das partes responsáveis (a empresa tem a responsabilidade e deve provar o cumprimento dos princípios em caso de dúvida)

Você tem perguntas abertas sobre proteção e certificação de dados? Nosso pessoal legal e tecnicamente treinado o aconselhará de forma abrangente sobre todas as questões da lei de proteção de dados. Esteja à vontade para entre em contato conosco a qualquer momento.

Como as empresas podem determinar suas metas de proteção?

A ciclo de segurança ou gestão de risco é a base de todas essas medidas de segurança. Este círculo designa várias etapas que são passadas de novo e de novo na busca de objetivos de proteção. As etapas seguintes contam neste ciclo recorrente de mitigação de riscos:

1. Identificação

As empresas devem identificar ameaças a áreas e operações específicas e onde riscos pode estar localizado aqui.

É um desafio identificar todos fatores de risco e processos propensos a erros e para citar cada um dos pontos. Não basta, portanto, realizar tal análise uma vez; é um processo contínuo - daí o ciclo.

2. 2. Avaliação

Cada risco deve ser avaliado de acordo com o quanto o risco é grande, ou seja, como provavelmente é que ocorrerá um evento prejudicial à proteção de dados para as empresas. Além da probabilidade, também é necessário considerar como os danos significativos seria para a pessoa interessada e para a empresa.

3. Controle

Controle significa minimizando o risco. Em outras palavras, devem ser tomadas medidas adequadas para eliminar ou manter o risco tão pequeno quanto possível. Estas podem ser procedimentos de segurança específicos, atribuições de tarefas, instruções de trabalho dos funcionários, ou reestruturação. 

A adequação das medidas também depende de como o risco foi previamente avaliado. As medidas tomadas também devem estar nesta proporção.

4. Monitoramento

Aqui, não apenas os riscos, mas também as medidas tomadas são monitoradas. O objetivo é verificar se o Os riscos foram eficiente e efetivamente eliminados ou minimizados, ou se há potencial para melhorias. Se necessário, novas ameaças também podem se tornar aparentes durante o monitoramento, que deve então ser combatido novamente a partir do ponto 1.

A segurança da informação também é proteção de dados?

A segurança da informação é uma espécie de "proteção de dados" para as empresas e seus processos. Naturalmente, as empresas têm um interesse legítimo em proteger seus dados, processos e segredos comerciais. Assim como a proteção de dados, isto requer um conceito que consiste em metas de proteção, análises de risco e medidas.

Este conceito não se destina a proteger terceiros e seus dados, mas o dados da empresa, principalmente processos de produção e negócios. Estes são particularmente vulneráveis ao roubo ou manipulação intencional de dados. Mas uma empresa também deve evitar sistematicamente interferências não intencionais com seus dados.

O Escritório Federal Alemão para Segurança da Informação (BSI) desenvolveu o que é conhecido como Proteção básica de TI. Esta diretriz contém normas e medidas para orientar as empresas na determinação das necessidades de proteção existentes e das ações que devem ser tomadas.

A proteção básica de TI requer consideração e análise de todo o fluxo de informações, incluindo todos os processos, aplicações, sistemas, etc. Cada sistema e cada módulo de processo deve então ser separado e dividido em etapas de trabalho separadas (o chamado "modelo em camadas“).

Particularmente no caso de processos de trabalho complexos, isto cria mais clareza e torna mais fácil de encontrar medidas e riscos de segurança. Posteriormente, aspectos com as mesmas exigências de proteção podem ser facilmente identificados e tratados de forma agrupada.

Ao mesmo tempo, sobreposições e duplicações são evitadas, o que minimiza o esforço e os custos. A melhoria contínua ou atualizações também podem ser integradas mais rapidamente, uma vez que apenas a camada afetada é abordada.

Assim como na proteção de dados, isto requer um ciclo de gerenciamento de risco que filtra, prioriza, minimiza e então monitora os riscos a longo prazo.

Como a segurança da informação e a proteção de dados estão relacionadas?

Como já está claro nas definições, a proteção de dados se refere à proteção de dados pessoais no dia-a-dia - em outras palavras, proteger as pessoas e sua autodeterminação em vez de proteger a empresa.

A segurança da informação também cobre estes dados, mas o foco aqui é mais nos dados relacionados a processos e processos técnicos. Um link sempre surge quando os dados pessoais passam por esses processos, por exemplo, para ser editado ou armazenado.

É também importante mencionar que A minimização dos dados também significa a minimização dos riscos. Naturalmente, os grandes dados desempenham um papel significativo para as empresas. Mas não apenas em relação às exigências de proteção de dados dos legisladores, mas também na implementação da segurança da informação, menos dados também significa menos riscos. A este respeito, a proteção de dados também facilita regularmente a segurança da informação.

Além disso, a lei metas de proteção definidas criar um contexto. Não apenas os aspectos de proteção de dados na empresa são garantidos pela segurança da informação e segurança de TI, mas o mecanismos e obrigações para as empresas são similares, se não idênticos.

Assim, muitas especificações também são feitas sobre como a proteção de dados deve ser tratada dentro da segurança da informação: os sujeitos dos dados devem, por exemplo, ser informados sobre o processamento e os processos que acontecem através de um procedimento de informação.

Neste sentido, há muitas maneiras de oferecer produtos, serviços ou similares de TI, e fornecer mais transparência às partes afetadas, e cumprir as exigências legais através de certificação, por exemplo.

Empregados formar um interface essencial entre privacidade dos dados e segurança da informação, uma vez que eles gerenciam os processos corporativos ou mesmo os executam eles mesmos e devem estar atentos à segurança corporativa e à privacidade dos dados. É, portanto, igualmente importante assegurar a conscientização necessária internamente. Os funcionários devem ser adequadamente treinados sobre a ameaça de incidentes de proteção de dados e suas sanções. Eles são parte da primeira linha de defesa.

A proteção de dados leva a uma maior segurança da informação?

É particularmente complexo para as empresas combinar os dois conceitos de segurança de TI e proteção de dados em um conceito geral eficiente e eficaz. No entanto, tal combinação tem muitas vantagens:

• Muitas certificações não estão ligadas à proteção de dados, mas à segurança de TI, e é por isso que as normas estabelecidas e os modelos de medidas concretas são amplamente difundidos.
• Por outro lado, a legislação concede muito mais liberdade aqui e não regulamenta em demasia. No entanto, o legislador se concentra na proteção de dados, portanto, há aqui uma regulamentação rigorosa. No entanto, há uma falta de especificações concretas para implementação.
• Devido às sobreposições, por vezes de grande alcance, em matéria de proteção de dados e segurança da informação, ambas podem ser baseadas nas leis de proteção de dados e nas normas de segurança da informação, de modo que ambos os lados se beneficiam e um conceito geral consistente pode ser criado. A proteção de dados sem segurança da informação dificilmente pode funcionar.

Como a certificação ISO ajuda a cumprir essas obrigações?

Uma certificação reconhecida de gerenciamento de proteção de dados, por exemplo, através de normas internacionais como a ISO 27701 como padrão internacional, pode ajudar as empresas a garantir que os regulamentos de proteção de dados possam ser cumpridos.

Embora a ISO 27701 não seja totalmente idêntica à GDPR, ela pode ser apresentada como um componente para o cumprimento das obrigações legais. A este respeito, a ISO 27701 estende a certificação ISO 27001 e fornece diretrizes e controles de implementação para o tratamento adequado de dados pessoais.

Na complexa selva de exigências legais que envolvem a proteção de dados, pode ser um desafio desenvolver um conceito de proteção de dados mantendo ao mesmo tempo uma interação estreita com a segurança da informação. A certificação verifica que todos os requisitos são atendidos e assegura que um conceito geral bem fundamentado esteja em vigor.

Isto facilita às empresas o cumprimento de suas obrigações legais e corporativas e auxilia na implementação de medidas e controles adicionais.

Embora o objetivo principal da ISO 27701 seja proteger os dados pessoais, é uma boa idéia, no entanto, aproveitar as sinergias existentes. Por exemplo, a ISO 27701 se baseia nas sinergias existentes. sistema de gestão da segurança da informação (ISMS), acrescenta aspectos relevantes de proteção de dados à segurança da informação, e se encaixa perfeitamente na interface entre proteção de dados e segurança da informação.