Este é um assunto que ainda não está claro: a proteção de dados pessoais (e privacidade) e a segurança cibernética (e segurança da informação) são assuntos ao mesmo tempo similares mas que precisam atuar com segregação e colaboração.
No Reino Unido esta separação é bem clara, por um lado o ICO - Information Commissioner's Office trata de proteção de dados pessoais, e de outro lado o NCSC - National Cyber Security Centre, que cuida da segurança cibernética, e é comum que ambos colaborem e façam uma série de divulgações em conjunto. Por exemplo, um ataque do tipo ransomware é tratado pelo NCSC, porém caso existam dados pessoais, o ICO também vai atuar. Não é uma equação simples e este assunto está em constante evolução.
O Governo Brasileiro por sua vez publicou o "Programa de Privacidade e Segurança da Informação (PPSI)" que orienta a aplicação dos dois assuntos no Poder Executivo Federal. Trata-se de um documento robusto que adota as melhores práticas internacionais como referência (ISO, CIS, NIST) (link nos comentários).
Todas as boas práticas de segurança têm o seu par de privacidade e proteção de dados pessoais (links nos comentários):
ISO 27001 - Sistema de Gestão de Segurança da Informação
- ISO 27701 - Sistema de Gestão em Privacidade da Informação
CIS CSC - Cyber Security Controls
- CIS Privacy Companion Guide
NIST CSF - Cyber Security Framework
- NIST Privacy Framework
Diferente de uma lei, estes documentos são estruturados como um framework e são estrturados por assuntos e prioridades e fazem referência a outros documentos que possibilitam aprofundar o assunto (leia o artigo "Uma lei não é um framework" - link nos comentários). Vejam o exemplo do CIS:
O NCSC do Reino Unido também publicou dicas sobre segurança cibernética em forma de infográfico, notem que os temas são bem parecidos com os frameworks:
As áreas responsáveis pela conformidade com a LGPD precisam refletir sobre o relacionamento, segregação e colaboração com a segurança cibernética (e vice versa), inclusive ações conjuntas são boas para as duas áreas. No Brasil tenho visto diferentes tipos de arranjo, desde a conformidade com a LGPD estar sob responsabilidade da segurança, até iniciativas de conformidade independentes da segurança. Não há certo e errado, é necessário entender a necessidade do negócio e decidir, e a decisão precisa ficar clara para todos.
Boa semana,
Obrigado,
Abraço,
FNery
Descrição da imagem no DALL-E: "“ Usando metodologias ágeis, uma equipe motivada colabora para implementar projetos inovadores em um escritório moderno, cercado por post-its vibrantes nas paredes - capturados em uma pintura em aquarela ”
Comentários:
Frameworks: CIS CSC v8: https://www.cisecurity.org/controls/v8CIS Privacy Companion Guide: https://www.cisecurity.org/insights/white-papers/cis-controls-v8-privacy-companion-guideNIST CSF: https://www.nist.gov/cyberframework/frameworkNIST Privacy Framework: https://www.nist.gov/privacy-frameworkNCSC 10 steps to Cyber Security: https://www.ncsc.gov.uk/collection/10-steps
Programa de Privacidade e Segurança da Informação (PPSI) - https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/PPSI
Artigo: Uma lei não é um framework - https://www.linkedin.com/pulse/uma-lei-n%25C3%25A3o-%25C3%25A9-um-framework-fernando-nery/?trackingId=RVc0UxJsRLudyZegAgSgQg%3D%3D
