Linkedin Youtube Instagram
Faça parte
Linkedin Youtube Instagram

Framework CIS Controls como Aliado Estratégico na Conformidade com a LGPD

‎Por Rodrigo Nogueira

Introdução

A proteção de dados pessoais deixou de ser apenas uma preocupação técnica e passou a ocupar posição estratégica nas organizações. Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), empresas passaram a ter a responsabilidade legal de garantir a segurança das informações e a privacidade dos seus clientes. Isso envolve não apenas aspectos jurídicos, mas também decisões operacionais, tecnológicas e de governança.

Para apoiar essa jornada, frameworks de segurança da informação se tornaram ferramentas fundamentais. Dentre eles, destaco o CIS Controls, desenvolvido pelo Center for Internet Security (CIS). Tal framework possui abordagem prática, priorizada e adaptável. Composto por 18 controles, o modelo oferece diretrizes claras sobre como proteger ativos, dados e usuários, ajudando as organizações a fortalecerem sua postura de segurança e atender, com mais confiança, às exigências da LGPD.

Como o CIS Controls se Alinha à LGPD

A LGPD não impõe ferramentas específicas, mas exige que o controlador e o operador adotem medidas eficazes para proteger os dados que realizam o tratamento. Para tanto, a Lei estabelece princípios e obrigações que precisam ser traduzidos em ações concretas. Nesse sentido, o CIS Controls atua como um guia prático que ajuda as organizações a incorporarem esses princípios de forma estruturada, especialmente os previstos:

  • no Art. 6 (Princípios da Lei),
  • na Seção I (Art. 46 a 49 – Da Segurança e das Boas Práticas),
  • e na Seção II (Art. 50 a 52 – Da Governança).

1. Princípios da LGPD (Art. 6) e os Controles CIS

A LGPD se estabelece diversos princípios que são a base para a aplicabilidade das demais diretrizes estabelecidas pelo legislador, destaco aqui os princípios da necessidade, prevenção, segurança e responsabilização. O CIS Controls oferece ferramentas técnicas que dão suporte direto à aplicação desses princípios no dia a dia das operações da seguinte forma:

  • Segurança e Prevenção:

A partir da implementação dos controles de segurança previstos no CIS Controls, a organização consegue demonstrar que adotou medidas de proteção contra acessos indevidos, vazamentos ou perdas de dados. De maneira geral, todos os 18 controles apoiam no cumprimento desse princípio.

  • Necessidade e Finalidade:

O controle de acessos (domínio 6) e o inventário de ativos e softwares (domínios 1 e 2) ajudam a garantir que apenas os dados estritamente necessários sejam acessados por pessoas autorizadas, sempre dentro do propósito estabelecido.

  • Responsabilização e Prestação de Contas:

Controles como registro de logs de auditoria (domínio 8) e desenvolvimento seguro de sistema (domínio 16) apoiam a produção de evidências que comprovam a adoção de boas práticas, reforçando a transparência e a responsabilidade das organizações.

O CIS também disponibiliza gratuitamente uma planilha de autoavaliação dos controles. Esse recurso permite que o agente de tratamento avalie de forma estruturada o grau de implementação de cada controle com base nos Implementation Groups (IG1, IG2 e IG3). A ferramenta ajuda a identificar lacunas, justificar ações corretivas e priorizar investimentos com base no risco. Além disso, serve como base objetiva para definir o nível de maturidade do programa de governança em segurança da informação, contribuindo diretamente para a prestação de contas exigida pela LGPD e o planejamento de evolução contínua da organização.

2. Segurança no Tratamento dos Dados (Art. 46 a 49)

A Seção I, do Capítulo VII da LGPD trata diretamente da obrigação de proteger os dados pessoais, com base em medidas técnicas e administrativas. Nesse contexto, o CIS Controls consegue atender às obrigações previstas nesses artigos da seguinte forma:

  • Art. 46 – Medidas de Segurança – alicerce técnico necessário para atender a esse artigo:
    • Domínios 1 e 2 garantem visibilidade dos ativos e softwares utilizados.
    • Domínio 3 estabelece proteção e governança sobre o processo de tratamento dos dados.
    • Domínio 4 foca em configurações seguras para reduzir vulnerabilidades.
    • Domínios 5 e 6 organizam e restringem o acesso aos dados tratados pela organização.
    • Domínio 7 estabelece diretrizes para que organização consiga monitorar e tratar diferentes vulnerabilidades em seus ativos.
    • Domínio 8 traz orientações sobre como a organização deve manter registros para auditoria e detecção de falhas e/ou eventos que podem ajudar a resolver e explicar um incidente.
    • Domínio 17 estrutura a resposta a incidentes com clareza.
  • Art. 47 – Segurança desde a Concepção

A LGPD orienta que medidas de proteção devem ser consideradas desde a criação de produtos e serviços. O domínio 16 reforça esse princípio ao estabelecer práticas seguras no desenvolvimento e manutenção de sistemas.

  • Art. 48 – Comunicação de Incidentes

Um dos maiores desafios práticos da LGPD é o tratamento de incidentes. O Domínio 17 trata diretamente desse tema, propondo a criação de planos de resposta, atribuição de responsabilidades e fluxos de comunicação — aspectos fundamentais para a notificação à ANPD e aos titulares.

  • Art. 49 – Proteção em Transferências Internacionais

A proteção de dados transferidos internacionalmente exige a adoção de práticas robustas. Os CIS Controls oferecem suporte por meio de:

  • Domínio 3 – Proteção de Dados: criptografia e restrição de acesso, aplicáveis tanto local quanto em ambientes externos;
  • Domínio 13 – Segurança de Rede: proteção do tráfego de dados que podem ser aplicados em redes públicas ou interorganizacionais;
  • Domínio 15 – Gestão de Provedores de Serviço: monitoramento e avaliação de terceiros, incluindo provedores em nuvem;
  • Domínio 4 – Configuração Segura: garantia de segurança técnica mesmo em ambientes terceirizados ou distribuídos.

3. Boas Práticas e Governança (Art. 50 a 52)

A segunda seção do capítulo VII da LGPD trata de práticas de governança que reforçam a cultura de proteção de dados. Assim como nos demais pontos trazidos até aqui, para tais artigos o CIS Controls também se mostra uma ferramenta eficiente para garantir um cumprimento da Lei.

  • Art. 50 – Programas de Governança em Privacidade

A LGPD incentiva a adoção de políticas, treinamentos (ações educativas) e procedimentos internos. O domínio 14, dedicado à conscientização e capacitação, cumpre papel essencial nesse aspecto, promovendo a cultura de segurança em todos os níveis da organização.

  • Art. 52 – Aplicação de Sanções

Em caso de infrações, a existência de uma estrutura técnica e de governança baseada nos CIS Controls pode ser considerada um atenuante, ao evidenciar o esforço da empresa em cumprir seus deveres legais.

Conclusão

A adequação à LGPD não se faz apenas com políticas ou boas intenções. É necessário estruturar processos, adotar práticas de segurança consistentes e manter evidências de conformidade. O CIS Controls surge como um guia objetivo e testado, que transforma os princípios da LGPD em ações técnicas viáveis, escaláveis e auditáveis.

Ao alinhar seus processos de segurança da informação ao CIS Controls, as organizações fortalecem sua capacidade de proteger dados pessoais, ganham maturidade operacional e constroem uma reputação baseada na responsabilidade e na confiança — pilares fundamentais da nova era digital.

Referência:


Center for Internet Security – CIS Controls v8: https://www.cisecurity.org/controls

Rodrigo-nogueira3001

CONSELHEIR@

Rodrigo Nogueira

Sou um profissional especializado em privacidade, gestão de riscos e controles internos, com ampla experiência em diversos setores, atuando tanto como prestador de serviços quanto como consultor e gestor de processos. Minha trajetória abrange áreas como seguros, saúde, serviços, consultoria de TI e telecomunicações.

Minha formação acadêmica inclui um bacharelado em Direito e um MBA em Gestão Estratégica de TI e pós-graduação em perícia forense digital.

Em relação às minhas credenciais e certificações, destaco: CIPM e CDPO/BR (IAPP), CDPO (EXIN), PDPP (EXIN), PDPF (EXIN), IFSF (EXIN), Auditor Líder ISO 9001, ITIL Foundation, OSA e PPO.

Ao longo da minha carreira, alcancei realizações significativas, tais como:

  • Implementação bem-sucedida de programas de privacidade em setores de saúde e seguros.

  • Revisão e implementação de programas de gestão de riscos e controles internos.

  • Apoio na criação de programas de prevenção à fraude e lavagem de dinheiro.

  • Gestão de equipes diversificadas, incluindo equipes remotas em diferentes estados, além de liderança e orientação a coordenadores e gerentes.

  • Condução de mais de 100 horas de auditorias internas.

  • Atuação como gerente de projeto em processos de fusões e aquisições no setor de tecnologia.

  • Liderança em processos de RFP para diversos serviços, como ferramentas ITSM, outsourcing de impressão, NSOC e suporte técnico de TI.

  • Gestão de projetos de sucesso na implementação de ferramentas como ITSM, ERP e BI.

Estou comprometido em continuar contribuindo para a excelência nas práticas de gestão e compliance nas organizações em que atuo.

Search
LinkedIn
Twitter
Facebook
WhatsApp
Email

, ,

Quem também está com a gente

Empresas, Startups, Centros de Pesquisa e Investidores

blocoAssociados_1811-mix_01
blocoAssociados_1811-mix_02
blocoAssociados_1811-mix_03
blocoAssociados_1811-mix_11
blocoAssociados_1811-mix_04
blocoAssociados_1811-mix_10
blocoAssociados_1811-mix_09
blocoAssociados_1811-mix_08
blocoAssociados_1811-mix_07
blocoAssociados_1811-mix_06
blocoAssociados_1811-mix_05

Um ecossistema onde inovação e conexão se somam para desbloquear o potencial
ilimitado da transformação digital. Faça parte!

assessoria@redelideres.com

55 (11) 98426-4469

© 2024 Rede Líderes Digitais. Todos os direitos reservados.