A NBR ISO/IEC 27701 é a norma que determina requisitos dos sistemas de gestão da privacidade da informação, que é uma extensão das normas ISO 27001 e ISO 27002.A NBR ISO/IEC 27701:2020 nos traz que “onde o termo “segurança da informação” for usado na ABNT NBR ISO/IEC 27001 ou na ABNT NBR ISO/IEC 27002, o termo “segurança da informação e privacidade” se aplica.
Na seção 6 da ABNT NBR ISO/IEC 27002:2013, temos os controles para a “organização da segurança da informação e privacidade” em ambientes corporativos, que tem por objetivo “estabelecer uma estrutura organizacional de gerenciamento de processos para controlar a implementação, operação, revisão e melhoramento da segurança da informação e privacidade”.
Diante desse contexto, trago insumos para algumas reflexões:
1 – As organizações públicas ou privadas estão realmente estabelecendo uma estrutura administrativa interna de segurança da informação, privacidade e proteção de dados pessoais, bem como, de segurança cibernética?
2 – Na prática, temos realmente a aplicação dos conceitos de Security/Privacy by Design/Default nos processos da organização?
3 – Existe um time de especialistas composto, no mínimo, por administradores de segurança, administradores de sistema, administradores de banco de dados, administradores de rede e analistas de suporte, aptos a atuarem em incidente que coloque em risco a segurança da informação e a privacidade?
4 – O encarregado de proteção de dados (DPO) é envolvido para acompanhar e apoiar os procedimentos para a identificação e registro de violações de dados pessoais, bem como, para notificação das partes envolvidas nas violações de dados pessoais e à divulgação para as autoridades, observando a regulamentação e/ou legislação aplicadas?
5 – A alta administração está comprometida em garantir os recursos necessários para a execução das ações de segurança da informação e privacidade no âmbito da organização?
A jornada é longa e para que se alcance o êxito esperado nas respostas às perguntas, é preciso sair, urgentemente, do campo da teoria e trazer essas questões para as mesas de discussões do alto escalão das organizações, sejam elas púbicas ou privadas. Pois, estabelecer uma estrutura organizacional que saia do papel e funcione na prática, depende de múltiplos fatores que refletem diretamente no dia a dia do negócio.
Entendemos que se esse tema for “deixado para depois”, talvez não haja tempo de recuperar o tempo perdido.