Em 2022, foram vazados 257 terabytes de dados no mundo, sendo que 43% destes vazamentos ocorreram no Brasil – o equivalente a 112 terabytes, ou 984,7 milhões de dados, apontou um importante relatório da empresa norte-americana Tenable, especialista em gerenciamento de exposição cibernética, que também apontou o atraso brasileiro na formação de profissionais de cibersegurança.
Cerca de 35% do total de dados expostos se deu em razão da falta de proteção de bancos de dados, demonstrando uma acentuada fragilidade do país no quesito segurança da informação. Pensando nesta problemática do mundo moderno, a organização sem fins lucrativos International Organization for Standardization (ISO), desenvolveu um conjunto de normas para segurança de dados, sendo a ISO/IEC 27001 a principal delas.
A norma aborda requisitos para implementar, operar, monitorizar, rever, manter e melhorar um Sistema de Gestão da Segurança da Informação, possibilitando que esses requisitos sejam personalizados conforme as necessidades da organização.
A ISO/IEC 27001 é um instrumento de proteção para toda informação considerada crítica, entre elas os dados pessoais. Uma das razões mais importantes para se implementar esta norma é que ela é mais do que uma certificação, já que traz para empresa uma cultura de segurança com treinamentos para colaboradores sobre o tema. Dados do Comitê Gestor da Internet no Brasil (CGI) apontam que apenas 27% das empresas realizam treinamentos sobre segurança digital ou gestão de riscos, número que contribui para a deficiência brasileira neste quesito.
A norma ISO/IEC 27001 possui diversas extensões, como a ISO/IEC 27701, que trata da gestão da privacidade da informação para todas as organizações que realizam controle e processo de informações de identificação pessoal, ou a ISO/IEC 27018, que é específica para proteção de informação de identificação pessoal (PII) em nuvens públicas.
As normas ISO/IEC também são aliadas na adequação à Lei Geral de Proteção de Dados (LGPD), possibilitando comprovar a conformidade por meio de certificações com a ISO/IEC 27001 e 27701. Ambas as normas são complementares, sendo necessário o estabelecimento da primeira, que implementa um Sistema de Gestão da Segurança da Informação, para aquisição da segunda, que instaura uma gestão da privacidade da informação, sendo específica para dados pessoais.
Enquanto o cuidado e o respeito à segurança dos dados pessoais aumentam a confiança dos clientes e parceiros em uma organização, o contrário também acontece. Após uma experiência ruim, é costume que negócios não voltem a ser feitos. Por isso, é cada vez mais vital que as organizações estejam alinhadas com os requisitos atuais de segurança da informação, proteção de dados e possuam planos de contingência para atravessar crises provocadas por um cenário digital cada vez mais inóspito.
Paulo Bertolini, diretor-geral da APCER Brasil
