Bom Dia LGPD

Qual o seu framework cyber + privacy?

#bomdialgpd


Todo projeto de proteção de dados pessoais e privacidade precisa estar, no mínimo, alinhado com ações de segurança cibernética. A boa notícia é que existem três bons frameworks que combinam boas práticas de proteção de dados, privacidade, segurança da informação e segurança cibernética, e podem apoiar seu projeto de atendimento à LGPD:


  • ISO 27001/2 - Segurança da Informação e ISO 27701 - Privacidade da Informação (ISO - International Organization for Standardization, no Brasil: ABNT - Associação Brasileira de Normas Técnicas);
  • NIST Cybersecurity Framework e NIST Privacy Framework (NIST - National Institute of Standards and Technology);
  • CIS Cybersecurity Controls v8 e CIS Privacy Guide (CIS - Center for Internet Security).


Todos são maduros, de ótimo nível técnico e administrativo, e organizam o mapeamento entre os controles de cyber e privacy.


Nossa escolha na maior parte das vezes recai sobre os frameworks do CIS, dos quais destacamos:


  • O CIS é uma organização tradicional e com alta maturidade, atua por consensos com grupos técnicos de alto nível e divulga atualizações e expansões regularmente;
  • CIS Controls são estruturados por ordem de relevância e por três grupos de implementação;
  • Está alinhado com o CIS RAM, um modelo de avaliação de riscos cibernéticos;
  • O pacote é completado com os CIS Benchmarks, bases de conhecimento para avaliação de ativos de TI (sistemas operacionais, bancos de dados, redes, nuvens, ...), inclusive com scripts desenvolvidos em OVAL - Open Vulnerability Assessment Language;
  • O Privacy Guide é associado aos controles e às medidas de segurança do CIS Controls v8 e formam uma integração harmônica;
  • Os CIS Controls v8 têm versão oficial em Português, e o Privacy Guide será publicado em português em breve;
  • Recentemente os CIS Controls passaram a ser adotados por grande organizações brasileiras e recomendados por reguladores como a Secretaria de Governo Digital do Governo Federal, o Tribunal de Contas de União e o Conselho Nacional de Justiça, dentre outros;
  • O CIS mantém diversos mapeamentos com frameworks (NIST, PCI DSS, HIPPA, FISMA, GDPR, ...) e com regulamentações locais de diversos países (em breve LGPD, aguardem...).


Adotar frameworks é uma boa prática para fortalecer sua gestão com eficácia transparência, padronização e maior capacidade para prestação de contas.


Alberto Bastos é o coordenador da tradução dos frameworks do CIS para o Português, conheça o Controles CIS versão 8.


Nesta quinta 10h (hoje) falaremos sobre o assunto em uma live sobre o Artigo 50 da LGPD: Governança em Privacidade e Boas Práticas.


Você pode saber mais sobre os frameworks do CIS nas lives gravadas: CIS Privacy Guide e a LGPD - 10/02 e CIS Controls v8: Consulta Pública em português - 21/07.


Obrigado,


Abraço,


FNery

ISO 27001/2 ISO 27701 CIS Controls NIST (Art 46 .. 49) Segurança da Informação (Art 50) Boas Práticas e Governança
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato