Novas regulamentações em cybersecurity e privacidade estão a caminho e as organizações precisam se preparar desde agora, manter contato com as autoridades relevantes para conhecer suas expectativas, bem como acompanhar o que vem sendo discutido e publicado.
Este é o controle 5.5 Contato com autoridades da nova norma ISO 27002 - Segurança da informação, segurança cibernética e proteção à privacidade - Controles de segurança da informação.
5.5 Contato com autoridades
Convém que a organização estabeleça e mantenha contato com as autoridades relevantes.
Como propósito do controle, a norma recomenda às organizações que assegurem o fluxo adequado de informações referentes à segurança da informação mantendo o contato com as autoridades legais, regulatórias e fiscalizadoras relevantes.
Este controle apoia também as atividades de compliance, garantindo que a organização conheça e cumpra com as leis, padrões, normas, procedimentos e regulamentações externas e internas aplicáveis.
Recentemente a Harvard Business Review publicou um artigo sobre como se preparar para as novas regulamentações de segurança cibernética que estão chegando (título em inglês New Cybersecurity Regulations Are Coming. Here’s How to Prepare). Informa que está a caminho um conjunto completo de leis e regulamentações sobre o tema, tanto no âmbito estadual como federal, nos EUA e no mundo inteiro. Alerta que as organizações precisam se adiantar e trabalhar agora, para entender o que vem sendo discutido e considerado, para avaliar o potencial impacto em seus negócios e começarem a se preparar, desde já, antes mesmo de as regras serem escritas e publicadas oficialmente.
Privacidade e Proteção de Dados Pessoais
No Brasil, a ANPD - Autoridade Nacional de Proteção de Dados vem realizando um excelente trabalho publicando guias e documentos que orientam a adequada implementação das ações de tratamento de dados pessoais, em conformidade com a LGPD - Lei Geral de Proteção de Dados Pessoais. Recomendamos a leitura e acompanhamento destas publicações diretamente no link específico da entidade, alguns documentos como:
- Planejamento Estratégico Institucional 2021-2023
- Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado
- RESOLUÇÃO CD/ANPD Nº 1, DE 28/10/2021 - Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD.
- RESOLUÇÃO CD/ANPD Nº 2, DE 27/1/2022 - Aprova o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte.
- Relatório de Análise de Impacto Regulatório emitido no processo de proposição do Regulamento de Microempresas, empresas de pequeno porte, startups e pessoas físicas que tratam dados pessoais.
- Relatório de Análise de Impacto Regulatório - Construção do modelo regulatório previsto na LGPD com relação à aplicação de sanções administrativas e às metodologias de cálculo do valor-base das sanções de multas.
- Além de Estudos Técnicos, Consultas Públicas e Tomadas de Subsídios.
Instituições Financeiras
No caso de instituições financeiras, resolução relevante publicada pelo Banco Central é a CMN 4.893, de 26/2/2021 que dispõe sobre a política de segurança cibernética e sobre os requisitos para a contratação de serviços de processamento e armazenamento de dados e de computação em nuvem a serem observados pelas instituições autorizadas a funcionar pelo Banco Central do Brasil.
RESOLUÇÃO CMN Nº 4.893, Art. 2º
As instituições referidas no art. 1º devem implementar e manter política de segurança cibernética formulada com base em princípios e diretrizes que busquem assegurar a confidencialidade, a integridade e a disponibilidade dos dados e dos sistemas de informação utilizados.
Poder Judiciário
Para garantir a segurança cibernética do ambiente digital do Poder Judiciário brasileiro, o Conselho Nacional de Justiça - CNJ publicou a Resolução nº 370/2021, que instituiu a Estratégia Nacional de Tecnologia da Informação e Comunicação do Poder Judiciário (ENTIC-JUD), além da Resolução nº 396/2021, que instituiu a Estratégia Nacional de Segurança Cibernética do Poder Judiciário (ENSEC-PJ).
OBJETIVOS DA ESTRATÉGIA NACIONAL DE SEGURANÇA CIBERNÉTICA DO PODER JUDICIÁRIO (ENSEC-PJ)
Art. 2º A ENSEC-PJ tem o objetivo de aprimorar o nível de maturidade em segurança cibernética nos órgãos do Poder Judiciário, abrangendo os aspectos fundamentais da segurança da informação para o aperfeiçoamento necessário à consecução desse propósito.
No setor de Energia, a Agência Nacional de Energia Elétrica - ANEEL publicou a Resolução Normativa nº 964, de 14/12/2021, que dispõe sobre regras de segurança cibernética a serem adotadas pelos agentes do setor de energia elétrica, com o objetivo de mitigar os riscos relacionados a incidentes de segurança cibernética no setor elétrico, incluindo eventual interrupção no suprimento de energia e possíveis extravios ou vazamento de dados.
RESOLUÇÃO NORMATIVA ANEEL Nº 964, DE 14 DE DEZEMBRO DE 2021
DIRETRIZES GERAIS
Art. 3º As diretrizes para a atuação em segurança cibernética são:
I - adotar normas, padrões e referências de boas práticas em segurança cibernética;
II - atuar com responsabilidade, zelo e transparência;
III - disseminar a cultura de segurança cibernética;
IV - buscar a utilização segura das redes e serviços de energia elétrica;
V - identificar, proteger, diagnosticar, responder e recuperar os incidentes cibernéticos;
VI - identificar, avaliar, classificar e tratar os riscos cibernéticos na estrutura estabelecida pelo agente; e
VII - buscar a cooperação entre os diversos agentes envolvidos com fins de mitigação dos riscos cibernéticos, respeitadas as regras de confidencialidade das informações definidas pelo agente.
Meios de Pagamento
Para a indústria de pagamento, uma referência é o PCI/DSS (Payment Card Industry Data Security Standard), padrão de segurança de dados da indústria de cartões de pagamento, para proteger os dados dos consumidores em transações com cartões de crédito. Também sua aplicação específica para as agências de viagens e turismo publicada pelo órgão regulador IATA(International Air Transport Association), com objetivo de elevar o nível de segurança da informação e reduzir os índices de fraudes no setor.
Outras Leis e Regulamentações
Com a preocupação do recentes ataques cibernéticos e a adequada resiliência e notificação dos incidentes em tempo hábil, são muitos ainda os exemplos de leis e regulamentações em diferentes setores como da saúde, telecomunicações (Resolução nº 740 - Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações da Agência Nacional de Telecomunicações - ANATEL), governo (Estratégia Nacional de Segurança Cibernética e Instruções Normativas do Gabinete de Segurança Institucional da Presidência da República - GSI/PR e Acórdãos do Tribunal de Contas da União - TCU), seguradoras (Circular nº 638/2021 da Superintendência de Seguros Privados - Susep), e outras.
Resumindo, o controle 5.5 Contato com Autoridades recomenda que cada organização defina a responsabilidade e respectivos procedimentos para que as autoridades relevantes (por exemplo, representantes da lei, órgãos reguladores e autoridades de supervisão) sejam identificadas e contatadas.
Boa semana, e até a próxima,
