computer-1591018_1920_edited.jpg

SEGURIDAD DE LA INFORMACIÓN Y GESTIÓN DE LA PRIVACIDAD

ISO / IEC 27001, ISO / IEC 27701 Y LGPD

En una época en la que el intercambio de información en todos los niveles se produce casi exclusivamente a través de medios virtuales, la privacidad es un activo extremadamente valioso y una preocupación omnipresente entre las personas y las empresas en todo el mundo. Cada vez con mayor frecuencia, somos testigos de episodios de filtración de información, accidental o deliberada, que ponen en riesgo la seguridad de los datos privados y exponen información que puede tener el poder de arruinar negocios y reputación en diferentes niveles.

Somos un negocio operado y de propiedad familiar.

Aunque la mayoría de las organizaciones asumen que su información es segura, la tecnología utilizada por intrusos y ladrones de datos está extremadamente evolucionada y se renueva constantemente, lo que pone en duda la efectividad real de los sistemas de gestión de seguridad de la información actualmente implementados en estas organizaciones.

ISO / IEC 27001

REQUISITOS PARA LOS SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

ISO / IEC 27001 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos es una norma internacional que establece los requisitos mínimos para que una organización identifique, prevenga, detecte y reaccione de manera apropiada a los eventos que puedan ocurrir. arriesgar la seguridad de la información de la organización, sus empleados, clientes y demás partes interesadas.

Somos un negocio operado y de propiedad familiar.

La estructura de esta norma está alineada con las demás normas de la familia ISO, respetando el HLS (High Level Structure) diseñado en el Anexo SL. De esta forma, su integración con ISO 9001 (calidad), ISO 22301 (Business Continuity), ISO 37001 (Anti-Bribery Management) y otros estándares relacionados es perfectamente aplicable, aprovechando los elementos comunes entre todos los estándares.

Somos un negocio operado y de propiedad familiar.

Los siguientes elementos son los que se consideran clave para la implementación y el mantenimiento efectivos de un Sistema de Gestión de Seguridad de la Información basado en ISO / IEC 27001:

Somos un negocio operado y de propiedad familiar.

  • Compromiso de liderazgo y alta dirección : ningún sistema de gestión de seguridad de la información basado en ISO / IEC 27001 tiene posibilidades de éxito si la alta dirección y el liderazgo de procesos de la organización están comprometidos con los objetivos del SGSI.

  • Gestión de riesgos : la identificación, prevención, detección y tratamiento de los riesgos de seguridad de la información es el concepto fundamental presente en ISO / IEC 27001.

  • Competencia de Recursos Humanos - definición de elementos de calificación (competencia) en cuanto a la formación, experiencia, habilidades y conocimientos específicos requeridos y la formación (integración, formación en el puesto de trabajo y reciclaje) para el pleno ejercicio de las funciones previstas para cada empleado.

  • Planificación e Implementación de Controles Operacionales - La determinación de los controles aplicables a la organización se define predominantemente en el Anexo A (Referencia a Controles y Objetivos de Controles), evidenciada por la emisión de una Declaración de Aplicabilidad, cuyo acrónimo en inglés es SoA - Declaración de Aplicabilidad , emitido por la organización sujeto a verificación por parte de las partes interesadas (clientes, por ejemplo).

  • Compromiso de la cadena de suministro : extender los requisitos aplicables a la organización a sus socios comerciales es esencial para la gestión de la seguridad de la información, ya que las brechas a través de las cuales se puede acceder y eventualmente filtrar la información pueden estar en cualquier etapa de la cadena de suministro. .

LGPD

LEY GENERAL DE PROTECCIÓN DE DATOS - LEY N ° 13.709 / 18

13,709 de 20018, más conocida como la Ley General de Protección de Datos, está fuertemente inspirada en el GDPR (Reglamento General de Protección de Datos) aplicable a los miembros de la Unión Europea, y contiene pautas para el “tratamiento de datos personales, incluso en medios digitales, por persona natural o jurídica de derecho público o privado, con el objetivo de proteger los derechos fundamentales de libertad y privacidad y el libre desarrollo de la personalidad de la persona natural ”.

Somos un negocio operado y de propiedad familiar.

Los principales pasos para implementar y cumplir con esta ley son:

Somos un negocio operado y de propiedad familiar.

  • Realizar diagnóstico de prácticas adoptadas y procedimientos implementados (análisis de brechas)

  • Entrenar al equipo de despliegue

  • Estudio de la LGPD y otras leyes que regulan el negocio

  • Mapear la entrada y procesamiento de datos personales

  • Mapear los riesgos y preparar el Informe de Impacto

  • Crear la Política de Protección de Datos y adaptar los documentos internos

  • Gestionar pedidos de titulares y agencias

  • Capacitación de equipos que manejan / tratan con datos sensibles

  • Gestionar la aplicación de procedimientos

  • Ampliar procedimientos y políticas aplicables a proveedores

  • Realizar auditoría interna (análisis de brechas) con referencia a LGPD

  • Realizar un análisis crítico de los resultados y planificar un nuevo ciclo


Existe una afinidad muy fuerte entre la LGPD - Ley General de Protección de Datos e ISO / IEC 27001 - Sistema de Gestión de Seguridad de la Información, y la certificación en esta última prácticamente garantiza el cumplimiento de la legislación.

OTRAS NORMAS DE SEGURIDAD DE LA INFORMACIÓN QUE FORMAN PARTE DE LA FAMILIA ISO / IEC 27001

Además de ISO / IEC 27001, otras normas forman parte de la familia de normas que definen los requisitos para la adopción de sistemas de gestión de protección de la información, que incluyen:

Somos un negocio operado y de propiedad familiar.

  • ISO / IEC 27003 - Tecnología de la información - Técnicas de seguridad - Directrices para implementar un sistema de gestión de seguridad de la información.

  • ISO / IEC 27004 - Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Seguimiento, medición, análisis y evaluación.

  • ISO / IEC 27701 - Técnicas de seguridad - Extensión de ABNT NBR ISO / IEC 27001 y ABNT NBR ISO / IEC 27002 para gestionar la privacidad de la información - Requisitos y directrices.

TE PODEMOS AYUDAR

Somos un negocio operado y de propiedad familiar.

En más de dos décadas, PM Analysis ha asesorado a cientos de clientes en la implementación o mejora de su sistema de gestión. Los servicios se basan en cronogramas previos y una planificación exhaustiva , para que la conducción de los proyectos se produzca de forma totalmente monitorizada, garantizando su éxito en el tiempo previsto.

Somos un negocio operado y de propiedad familiar.

Las actividades de asesoramiento son realizadas por consultores calificados y con experiencia , capaces de proponer soluciones para los distintos procesos que conforman el Sistema de Gestión de su empresa.

Somos un negocio operado y de propiedad familiar.

La sencillez , la creatividad, el respeto por la cultura y los recursos disponibles en cada empresa son nuestras principales premisas en las decisiones que se toman junto con el cliente.