Apesar da velocidade e do crescente impacto comercial das violações de segurança, a maioria das instituições ainda controla a segurança digital de uma maneira projetada para atender aos ataques de ontem, usando restrições pesadas que dificultam a inovação.
Adições
A ISO 27001 cria uma estrutura para proteger as informações valiosas da organização – incluindo dados pessoais – de forma segura e confiável. A norma define os requisitos para um sistema de gerenciamento de segurança da informação (ISMS) destinado a proteger contra exclusão entre outros, vazamento ou perda de acesso a dados. Ao mesmo tempo, garante que as empresas mantenham esforços contínuos de segurança, onde a avaliação e o manuseio de eventos criam uma proteção contemporânea das informações. Está em consonância com o texto legislativo do GDPR, que, entre outros, pede às organizações que implementem medidas técnicas e organizacionais adequadas para garantir um nível de segurança que corresponda ao risco. Abaixo estão listadas 5 áreas onde a ISO 27001 atende diretamente aos requisitos do GDPR:
Primeira documentação
A transição para o GDPR significa que as empresas devem agora ser capazes de documentar o seu cumprimento da lei. Este também é um pré-requisito para o cumprimento dos requisitos da ISO 27001 – se não puder ser documentado, os requisitos não são considerados para serem atendidos. Ergo: Deve haver uma visão geral dos dados pessoais, um relatório sobre avaliação de risco, um registro de eventos, etc.
2ª Visão geral dos dados pessoais
Uma visão geral dos dados críticos e sensíveis da empresa está na ISO 27001 a chave para designar medidas de segurança relevantes. Este também é um requisito para dados pessoais no GDPR, a fim de controlar onde, como e quanto tempo os dados são armazenados, quem pode acessá-los, etc.
Avaliação do terceiro risco
O GDPR exige que as empresas realizem avaliações de risco para identificar riscos para comprometer os dados pessoais dos cidadãos da UE. Isso também se aplica à implantação de novos sistemas ou ao estabelecimento de novos processos de negócios. Da mesma forma, a ISO 27001 exige que as empresas estabeleçam uma resposta de segurança relevante através da gestão de riscos, ou seja. avaliar a probabilidade de diferentes eventos e identificar a consequência correspondente para os dados dos sujeitos dos dados.
4ª Pausas
O GDPR exige que as empresas informem as autoridades dentro de 72 horas após uma possível quebra de dados. Também pode incluir notificação aos sujeitos de dados. Da mesma forma, a ISO 27001 estabelece requisitos para o manuseio do desvio e propõe processos de tratamento de eventos.
5ª Avaliação e melhorias contínuas
É um precedente subjacente para o cumprimento do GDPR, que as organizações estabeleçam alguns fluxos de trabalho que garantam a continuidade da proteção de dados pessoais, independentemente do quadro de ameaças, novos tratamentos ou mudanças nos processos de negócios. Aqui, a ISO 27001 fornece uma caixa de ferramentas de atividades que garantirão a proteção adequada das informações mesmo quando o contexto mudar. A avaliação dos controles de segurança, auditorias internas e avaliação de gerenciamento são componentes fundamentais para manter e melhorar continuamente a proteção de dados.
Valor
As empresas são capazes de estabelecer os mecanismos de defesa mais rigorosos contra os principais ativos de informação. Ajudamos os clientes a decidir o que proteger e o quanto precisam através de uma combinação de ISO27000 que ajuda as empresas a priorizar seus riscos e ativos de negócios, bem como estratégias e planos táticos que ajustam as capacidades de risco da empresa.