Você sabe que está levando a segurança de TI a sério quando começa a analisar ISO 27001. Bem feito, pode ser uma virada de jogo para sua organização, pois tem o poder de aumentar sua segurança, proteger suas informações e reduzir riscos.
Este artigo analisará como funciona a norma ISO 27001 e alguns dos principais benefícios que ela traz. A seguir explicaremos como implementar o framework em sua organização e os requisitos para obter o credenciamento. Por fim, descreveremos algumas de suas alternativas mais populares.
Pronto para ficar entusiasmado com a segurança da informação? Vamos começar.
O que é a ISO 27001?
ISO 27001 é o padrão mundialmente reconhecido para Gestão de Segurança da Informação. Ele utiliza uma abordagem de gerenciamento de riscos para fornecer uma estrutura para gerenciar, controlar e proteger informações privilegiadas e confidenciais.
A norma estabelece os requisitos para estabelecer, manter, implementar e melhorar continuamente o desempenho de uma organização Sistema de Gestão de Segurança da Informação (SGSI).
Codifica uma abordagem sistemática e proativa para gerenciar riscos de segurança da informação e monitorar e melhorar continuamente sua eficácia. As palavras-chave às quais você precisa prestar atenção aqui são praticamente continuamente.
Aplicar uma abordagem reativa à segurança de TI já não é suficiente. Faça isso e você estará fadado ao fracasso, porque estará constantemente combatendo incêndios. E é o mesmo continuamente. A segurança da informação não é uma situação única – estará sempre em movimento. À medida que o cenário de ameaças se adapta e muda, a sua resposta também deve mudar.
O que é ISMS e por que você precisa dele?
Resumindo, você precisa de um Sistema de Gerenciamento de Segurança da Informação para proteger periodicamente as informações corporativas sobre confidencialidade, integridade e disponibilidade (CIA) de ativos. Neste sentido, a ISO 27001 SGSI compreende políticas, procedimentos e outros controles envolvendo pessoas, processos e tecnologia.
ISO 27001 versus NIST
Embora possam ser considerados instrumentos semelhantes,ISO 27001 e NIST não são exatamente iguais.
ISO 27001 é um padrão internacional para melhorar o SGSI de uma organização. Entretanto, os controlos do NIST ajudam a gerir e reduzir os riscos de segurança cibernética para as suas redes e dados.
Embora ambos contribuam efetivamente para uma postura de segurança mais robusta, a ISO 27001 é o padrão e o NIST é uma estrutura.
ISO 27001 x ISO 27002
Outra dúvida comum é a diferença entre ISO 27001 e ISO 27002. Pois bem, ambos pertencem à segurança da informação, mas com funções muito diferentes:
- ISO 27001 é um padrão internacional para melhorar os Sistemas de Gestão de Segurança da Informação de uma organização.
- A ISO 27002 fornece diretrizes para implementar e manter controles adequados de segurança da informação. Abrange uma ampla gama de tópicos relacionados à segurança da informação, incluindo gerenciamento de riscos, controle de acesso, criptografia e Gerenciamento de Incidentes.
Como funciona a ISO 27001
A ISO 27001 cria um padrão para SGSI para fornecer uma abordagem estruturada para gerenciar dados da empresa para que permaneçam seguros.
Parte do Processo ISO 27001 o trabalho inclui:
- Estabelecer políticas e procedimentos.
- Realização de avaliações de risco.
- Implementar controles para mitigar e gerenciar riscos.
Para cumprir os itens acima, o padrão de segurança especifica os requisitos para um SGSI – que inclui o gerenciamento de documentação, o processo de auditoria interna e o processo de revisão gerencial.
E para as organizações que demonstrem as suas capacidades de Gestão de Segurança da Informação e compromisso com as melhores práticas, podem receber uma certificação para comprovar isso.
Cláusulas ISO 27001
O padrão é composto por várias cláusulas:
- Escopo- Os requisitos para estabelecer, manter, implementar e melhorar continuamente o SGSI. Esta é uma cláusula essencial. Muitas pessoas lutam com a segurança da informação porque não dedicam tempo para determinar um alcance apropriado para suas organizações. Cada empresa é diferente, portanto, definir as áreas com maiores riscos será mais benéfico do que tentar fazer muitas coisas ao mesmo tempo.
- referências normativas - Outras normas e documentos relevantes e associados.
- Termos e definições - As definições dos termos utilizados em toda a norma.
- Contexto da organização - Contexto interno e externo, partes interessadas e requisitos. Isto é importante porque, como dissemos antes, não existem duas organizações que trabalhem da mesma forma, por isso é crucial definir o seu contexto para que todos saibam com o que estão lidando.
- Liderança- Todos os requisitos de compromisso de liderança, políticas, funções, responsabilidades e autoridades. Todos sabemos que a ISO 27001 não funcionará sem o apoio da liderança, mas como é o apoio? Esta cláusula deixa clara e codifica as responsabilidades daqueles que ocupam posições de liderança.
- Planejamento- Lista de possíveis riscos, a fim de estabelecer objetivos e planos para alcançá-los. É importante ter uma estratégia para os riscos para que você possa organizar as ações apropriadas para mitigá-los e gerenciá-los.
- Apoiar- Os requisitos de recursos, competência, consciência, comunicação e informação documentada. Isso é muito mais do que as pessoas, processos e tecnologias tradicionais que estamos acostumados a ouvir quando lidamos com as melhores práticas de TI: deve incluir documentação de melhores práticas, processos, ferramentas, conhecimento e pessoas. Deve também incorporar a construção de relacionamentos, treinamento e gestão de riscos. A norma exigirá suporte para funcionar de forma eficaz, portanto, esta cláusula garantirá que você tenha as coisas certas para ter sucesso.
- Operação- Cadastro dos processos relevantes para gestão de riscos de segurança da informação e resposta a incidentes.
- Avaliação de desempenho - Monitorar, medir, analisar, avaliar, auditar e revisar o desempenho do SGSI. Confie, mas verifique, certificando-se de que estamos fazendo o que dizemos e tendo essas ações verificadas de forma independente.
- Melhoria- Oportunidades de melhoria e implementação de ações corretivas e preventivas. Pense nisso: a única coisa sobre TI é que as coisas não permanecem iguais por muito tempo. À medida que as melhores práticas continuam a evoluir, precisamos de melhorar continuamente as nossas atividades diárias de segurança da informação para nos alinharmos com as necessidades do negócio.
Controles ISO 27001
Portanto, a ISO 27001 é um grande empreendimento, e qualquer grande empreendimento requer muitos controles para manter o show em andamento. A ISO 27001 especifica um conjunto de 114 controles que podem ser usados para gerenciar riscos de segurança. Esses controles estão organizados em 14 categorias, conforme segue:
- Políticas de segurança da informação - Estabelece e mantém políticas, procedimentos e diretrizes de segurança da informação.
- Organização da segurança da informação - Define as funções e responsabilidades do pessoal de segurança da informação e garante que sejam competentes e tenham recursos apropriados.
- Segurança de Recursos Humanos- Tria, treina e gerencia o pessoal para garantir que eles estejam cientes e cumpram as políticas e procedimentos de segurança da informação.
- Gestão de ativos - Identifica e classifica os ativos de informação e garante que estejam devidamente protegidos. Caso queira explorar mais esta categoria de controle, o anexo A.8.1 contém todas as informações referentes à ISO 27001 e os detalhes para criar um inventário de ativos em conformidade com a norma ISO.
- Controle de acesso- Gerencia o acesso dos usuários aos sistemas de informação e dados e impede o acesso não autorizado.
- Criptografia- Utiliza criptografia para proteger informações, como criptografia e assinaturas digitais.
- Segurança física e ambiental - Protege sistemas de informação e dados contra ameaças físicas, como roubo, incêndio e desastres naturais.
- Operações de Segurança - Garante o funcionamento seguro dos sistemas e redes de informação, tais como procedimentos de backup e recuperação, mudar a gestão e monitoramento.
- Segurança das comunicações - Garante a transferência segura de informações, como por meio de protocolos seguros e segmentação de rede.
- Aquisição, desenvolvimento e manutenção de sistemas- Garante que os sistemas de informação e aplicações sejam desenvolvidos e mantidos de forma segura.
- Relacionamentos com fornecedores - Gerencia a segurança das informações fornecidas ou recebidas de fornecedores externos.
- Gestão de Incidentes de Segurança da Informação - Identifica, relata e responde a incidentes de segurança da informação.
- Aspectos de segurança do gerenciamento de continuidade de negócios - Garante que a segurança da informação esteja integrada nos processos de Gestão de Continuidade de Negócios.
- Conformidade- Controla se a organização cumpre os requisitos regulamentares e legais relacionados à segurança da informação.
Sete benefícios da norma ISO 27001
A norma ISO 27001 pode ajudar as empresas a demonstrar o seu compromisso com a proteção dos ativos de informação e proporcionar confiança às partes interessadas, aos clientes e aos utilizadores finais que estão a tomar as medidas adequadas para gerir e responder aos riscos de segurança da informação.
Mas isso não é tudo, também traz vários outros benefícios, incluindo:
- Um ecossistema de segurança de TI mais resiliente e menos vulnerável a ameaças e ataques cibernéticos.
- CIA de dados (confidencialidade, integridade e disponibilidade de dados).
- Um nível consistente de segurança de TI em toda a organização.
- Economia de custos em termos de proteção contra ataques cibernéticos, ransomware e perda de produtividade.
- Estar preparado para novos desafios à medida que o cenário de ameaças muda e ter sempre um plano.
- Conhecimento e compreensão da importância da segurança da informação.
- Compromisso com a qualidade.
Gostaríamos de poder dizer que não há desvantagens da ISO 27001 e que se você fizer todo o trabalho duro, você e sua organização estarão sempre seguros. Mas, como sabemos, não é assim que funciona no mundo real.
O padrão não é um empreendimento rápido ou barato; você deve investir tempo, dinheiro e esforço para alcançá-lo. Também não garante que seu sistema permanecerá seguro para sempre; é apenas um instantâneo da posição de segurança de uma empresa num determinado momento.
Requisitos da ISO 27001
Então, o que você precisa fazer para obter a certificação ISO 27001? Felizmente, a norma especifica requisitos para implementar e melhorar continuamente o seu SGSI.
O Requisitos da ISO 27001 são como segue:
- Definir o escopo do SGSI- Definir os limites e aplicabilidade do SGSI.
- Realize uma avaliação de risco- Identificar os riscos que podem impactar a confidencialidade, integridade ou disponibilidade de seus ativos de informação.
- Implementar um processo de gerenciamento de risco- Implementar um processo para avaliar e gerenciar os riscos identificados para tomar as medidas adequadas.
- Estabeleça uma estrutura de gestão- Estabelecer um quadro de gestão para garantir a implementação e manutenção eficazes do SGSI.
- Atribuir funções e responsabilidades- Atribua funções e responsabilidades para gerenciar o SGSI para que todos estejam cientes de suas responsabilidades e não haja confusão. Idealmente, você deve codificá-los em um PEGAR UM RESFRIADO gráfico.
- Treinar funcionários e conscientizar- Certifique-se de que os funcionários conheçam suas responsabilidades em relação à segurança da informação e sejam treinados sobre como cumpri-las, e que tenham sessões de treinamento periódicas para atualizá-las.
- Gerenciar documentação- Estabelecer, implementar e manter documentos que definam as políticas, procedimentos e controles utilizados no SGSI.
- Gerenciar registros- Estabelecer, implementar e manter um conjunto de registros que forneçam evidências da implementação e eficácia do SGSI.
- Implementar e operar controles- A organização deve implementar controles destinados a mitigar os riscos identificados.
- Monitorar e revisar o SGSI- Monitorar, medir, analisar e avaliar o SGSI e revisá-lo em intervalos regulares para garantir sua adequação, adequação e eficácia contínuas.
- Melhoria contínua- Melhorar a eficácia do SGSI tomando ações corretivas e preventivas e implementando lições aprendidas para que as práticas de segurança da informação continuem a amadurecer e a melhorar ao longo do tempo.
Dicas extras para uma implementação da ISO 27001
Além dos requisitos específicos listados acima, aqui estão algumas dicas adicionais para ajudá-lo a ter sucesso implementar o SGSI:
- Obtenha o compromisso da gestão- A gestão deve compreender os benefícios de um SGSI e estar comprometida em fornecer os recursos necessários.
- Obtenha a adesão das equipes de suporte- Você também precisará do apoio das suas equipes de prestação de serviços, que realizarão as atividades do dia a dia.
- Crie uma política de segurança da informação- Desenvolver uma política de segurança da informação que reflita o seu compromisso com a segurança da informação.
- Desenvolva uma declaração de aplicabilidade- Desenvolva uma declaração que documente os controles que serão implementados para gerenciar os riscos identificados.
- Procedimentos de projeto e instruções de trabalho- Criar procedimentos e instruções de trabalho para apoiar a implementação dos controles.
- Realizar auditorias internas- As auditorias internas são uma forma muito útil de monitorar o seu trabalho e garantir que o SGSI é eficaz e está em conformidade com os requisitos da ISO 27001.
Melhores práticas da ISO 27001
Ao implementar o padrão de segurança, não se esqueça de siga algumas práticas recomendadas para garantir que o processo corra bem:
- Comunicar- Antes mesmo de considerar a ISO 27001, comunique-se com suas partes interessadas. A implementação exige um compromisso sério de tempo, energia e dinheiro, portanto converse com seu pessoal. Por que você está considerando isso? É um requisito regulatório? Seus clientes estão solicitando isso? Que problemas você acha que isso resolverá?
- Seja claro em seu escopo - Não tente fazer muito no início. Use sua avaliação de risco para direcionar seu foco para lidar com seus maiores pontos problemáticos e áreas de exposição. Lembre-se, a ISO 27001 é uma maratona, não uma corrida, não tenha pressa, ouça seu pessoal e você chegará lá.
- Peça por ajuda -Existem muitas organizações e formulários por aí. Por favor, não faça isso sozinho. Existem muitos grupos de interesses especiais da ISO 27001 e algumas comunidades muito ativas no LinkedIn. É muito menos assustador quando você tem outros colegas da indústria para trocar ideias e histórias de guerra!
Certificação ISO 27001
Um dos muitos benefícios da norma é que, além de fornecer à sua organização o conhecimento necessário para proteger as informações mais valiosas, ela também pode certificar você de acordo com a ISO 27001 e provar aos parceiros e clientes que protege seus dados. Isso requer várias etapas:
- Análise de lacunas- Este é um exercício de "Onde estou agora?" Esta fase envolve a avaliação das práticas de gestão de segurança da informação existentes na organização em relação aos requisitos da norma ISO 27001 para identificar quaisquer lacunas e áreas de melhoria.
- Avaliação de risco- Envolve identificar e avaliar os riscos para os ativos de informação da organização e determinar os controles apropriados para mitigar esses riscos.
- Documentação- Esta etapa envolve o desenvolvimento de políticas, procedimentos, instruções de trabalho e outra documentação para apoiar a implementação do sistema de gestão de segurança da informação.
- Implementação- Aqui, trata-se de tornar a segurança da informação acionável. Envolve a implementação do sistema de gestão da segurança da informação, incluindo os controles identificados na etapa de avaliação de riscos e a documentação desenvolvida na etapa anterior.
- Auditoria interna- Devemos nos manter honestos. A auditoria interna envolve a análise da informação que o sistema de gestão de segurança está a utilizar com os nossos colegas, para garantir que está a funcionar de forma eficaz e em conformidade com a norma ISO 27001. Isto irá destacar quaisquer questões antes que a auditoria externa seja discutida na próxima etapa.
- Auditoria de certificação- Esta etapa final envolve uma auditoria externa por um organismo de certificação para verificar se o sistema de gestão de segurança da informação da organização atende aos requisitos. A organização receberá a certificação ISO 27001 se for aprovada na auditoria.
Os indivíduos também podem obter certificação ISO 27001 frequentando um curso, passando no exame e, desta forma, comprovando as suas competências na implementação ou auditoria de um SGSI a potenciais empregadores.
Alternativas ao padrão de segurança ISO 27001
Embora a ISO 27001 seja uma norma internacional amplamente reconhecida e respeitada para a gestão da segurança da informação, as organizações podem considerar diversas alternativas com base nas suas necessidades e requisitos específicos. Aqui estão algumas opções diferentes:
- Estrutura de segurança cibernética do NIST- A Estrutura de Segurança Cibernética do NIST (Instituto Nacional de Padrões e Tecnologia) fornece uma abordagem baseada em riscos para gerenciar riscos de segurança cibernética. É amplamente adotado nos Estados Unidos e aplica-se a organizações de todos os tamanhos.
- Controles CIS- CIS, ou Centro de Controles de Segurança da Internet, é um conjunto de práticas recomendadas de segurança cibernética projetada para fornecer às organizações ações priorizadas para melhorar sua postura de segurança cibernética.
- PCI-DSS- PCI DSS ou padrão de segurança de dados da indústria de cartões de pagamento. Este é um conjunto de requisitos para garantir que todas as empresas que armazenam, aceitam, processam ou transmitem informações de cartão de crédito mantenham um ambiente seguro.
- Regra de segurança HIPAA- A regra de segurança HIPAA (Lei de Responsabilidade e Portabilidade de Seguros de Saúde) é um conjunto de padrões projetados para proteger a integridade, confidencialidade e disponibilidade de informações de saúde protegidas eletronicamente (ePHI).
- SOC 2- SOC 2 (Service Organization Control) é um conjunto de critérios que mede os controles de uma organização de serviços relacionados à segurança, disponibilidade, integridade de processamento, confidencialidade e privacidade.
- GDPR- O GDPR (Regulamento Geral de Proteção de Dados) é um regulamento da União Europeia (UE) que rege a proteção dos dados pessoais de todos os residentes da UE.
- IASME- O padrão IASME Cyber Assurance, anteriormente conhecido como IASME Governance, é um padrão de segurança cibernética abrangente, flexível e acessível. Ele garante que uma organização implementou uma série de medidas importantes de segurança cibernética, privacidade e proteção de dados.
Principais conclusões
ISO 27001 é um padrão internacional para melhorar os sistemas de gerenciamento de segurança da informação de uma organização. É particularmente benéfico para organizações que gerem informações sensíveis ou confidenciais, tais como dados financeiros, informações pessoais, propriedade intelectual ou segredos comerciais.
A implementação do padrão traz muitos benefícios, mas essencialmente fornecerá conhecimentos e práticas úteis para ajudar a gerenciar e proteger seus dados e reduzir riscos. Tanto organizações como indivíduos podem receber certificações na norma para demonstrar o seu conhecimento e conformidade com a estrutura.
Perguntas frequentes
Quem precisa da ISO 27001?
Qualquer pessoa que precise de uma função de segurança da informação em sua organização que tenha sido certificada de acordo com um padrão ISO.
Por que a certificação ISO 27001 é importante?
Porque isso responsabiliza você e prova que você acertou as medidas exigidas.
O que significa ter a ISO 27001?
Isso significa que você atendeu aos requisitos estabelecidos na norma.
Quais são os três princípios da ISO 27001?
Pense na CIA – confidencialidade, integridade e disponibilidade.
Quem precisa ser certificado pela ISO 27001?
Idealmente, qualquer pessoa lida com informações sensíveis ou confidenciais, como dados financeiros, informações pessoais, propriedade intelectual ou segredos comerciais.
Por que a certificação ISO 27001 é necessária?
A certificação ISO 27001 é exigida caso a empresa ou o profissional manuseie informações sensíveis ou confidenciais.
Qual é a diferença entre ISO 9001 e ISO 27001?
ISO 9001 e ISO 27001 são padrões diferentes que atendem a propósitos diferentes. A ISO 9001 é uma norma de Sistema de Gestão da Qualidade, enquanto a ISO 27001 é uma norma de Sistema de Gestão de Segurança da Informação.
Quais são as seis etapas do processo de certificação ISO 27001?
As seis etapas são análise de lacunas, avaliação de riscos, documentação, implementação e auditorias internas e de certificação.