A grade de normas ISO 27000 atua como uma estrutura de gerenciamento de segurança da informação para instituições em todo o mundo. A ISO 27001 é um padrão de segurança cibernética que consiste nas melhores práticas e controles que as organizações podem usar para implementar um sistema de gerenciamento de segurança da informação (ISMS) e a tríade CIA (confidencialidade, integridade e disponibilidade) para proteger seus dados.
O que é a ISO 27001?
A ISO 27001 é um padrão e estrutura de segurança cibernética que ajuda as organizações a implementar um SGSI. É uma abordagem baseada em risco e ajuda as organizações a avaliar sua postura de segurança.
Como surgiu a ISO 27001?
A versão legada da ISO 27001, BS 7799, originalmente escrita pelo Departamento de Comércio e Indústria (DTI) do Reino Unido, foi publicada pela British Standards Institution (BSI) em 1995. Uma parte da BS 7799 que lidava melhor com gerenciamento de segurança da informaçãofoi revisado em 1998. Em 2000, foi adotado pela ISO como ISO/EC 17799 e foi denominado Tecnologia da Informação: Código de Prática para Gerenciamento de Segurança da Informação.A segunda parte da BS 7799 com o título Information Security Management System lançada em 1999 que mais tarde foi adotada como parte da gestão e avaliação de riscos na série ISO 27000, chamada ISO 27001.
É uma norma de conformidade obrigatória?
A ISO 27001 não é um mandato de conformidade. Como sua estrutura sugere, o padrão se concentra nos requisitos individuais de cada organização e reconhece que o SGSI implementado deve se concentrar nessas necessidades exclusivas e riscos de segurança. As organizações que pretendem obter uma certificação ISO 27001 devem cumprir a norma, no entanto.
O que é um SGSI e quais são os benefícios de ter um?
Um SGSI define a abordagem de uma organização à segurança da informação e os controles e especificações que ela possui para garantir a segurança de seus dados. Ter um ISMS compatível com ISO 27001 também ajuda as organizações a aderirem a outros padrões de segurança, como o GDPR e a LGPD.
O objetivo de um ISMS é facilitar que as organizações implementem a tríade de proteção de dados da CIA. A tríade da CIA consiste em:
-
Confidencialidade: As medidas que uma organização toma para proteger a privacidade de seus dados contribuem para sua confidencialidade, como garantir acesso autorizado e restrito.
-
Integridade: As organizações devem se esforçar para manter a autenticidade e a confiabilidade dos dados e garantir que não haja erros para facilitar a integridade dos dados.
-
Disponibilidade: As organizações devem verificar a disponibilidade dos dados sempre que forem acessados. Isso significa garantir que todos os sistemas e operações que lidam com os dados funcionem sem problemas e tomar medidas como eliminar servidores redundantes ou garantir que as atualizações ocorram no prazo.
A implementação de todas as três partes da tríade da CIA aumenta significativamente a resiliência cibernética e melhora a capacidade das organizações de lidar com ameaças.
Benefícios de um ISMS
Além de estar em conformidade com a ISO 27001, ter um SGSI em vigor oferece várias vantagens para uma organização:
-
Salvaguardar informações privilegiadas: Com o objetivo principal de proteger a confidencialidade, integridade e disponibilidade das informações, um SGSI trabalha para proteger os diversos ativos de informação em uma organização.
-
Sistema de gerenciamento centralizado: Um ISMS garante que todos os dados da organização sejam armazenados, protegidos e gerenciados de forma centralizada. Essa abordagem holística leva a um aumento na segurança e contribui para o crescimento geral da organização.
- Redução dos custos de segurança: Como um SGSI é implementado com base na avaliação de risco de cada organização, ele pode ignorar os custos incorridos devido à experimentação de várias soluções de segurança. Adotar uma abordagem centralizada também leva a uma redução dos custos gerais.
- Aumento da resiliência cibernética: um SGSI compatível com a ISO 27001 exige que as organizações alterem constantemente suas medidas de segurança e evoluam com o cenário de ameaças. Isso leva a um aumento geral da resiliência cibernética.
Como a ISO 27001 e a 27002 são diferentes?
Em termos simples, enquanto a ISO 27001 é uma estrutura de segurança cibernética e as organizações podem obter uma certificação, a ISO 27002 é mais um guia de práticas recomendadas, que fornece truques e dicas para ajudar as organizações a implementar e entender os controles da ISO 27001 no Anexo A. Embora as organizações possam escolher quais melhores práticas implementar a partir da ISO 27002, não há certificação fornecida para a norma.
Processo de certificação ISO 27001
Para obter a cobiçada certificação ISO 27001, uma organização terá que mostrar que implementou com sucesso um SGSI e tomou as medidas necessárias para lidar com os riscos.
A auditoria para a certificação ISO 27001 ocorre em duas etapas:
Fase 1: É quando um auditor faz uma revisão do SGSI documentado e avalia se ele atende aos requisitos estabelecidos na norma. As organizações precisam produzir uma Declaração de Aplicabilidade (SoA), que é um requisito vital para a certificação. Consiste nos controles escolhidos da lista de 114 controles no Anexo A, o procedimento de implementação de cada um deles e a lista de controles omitidos e por que eles foram omitidos. Este é principalmente um exercício de desktop e há interação mínima com as pessoas encarregadas de supervisionar a implementação do SGSI.
Fase 2: A organização é auditada para ver se os processos que ela possui estão conforme documentados no SGSI. Os auditores também entrevistam os responsáveis pelas operações, analisam as evidências de toda a documentação e revisam os controles implementados para lidar com o risco. Normalmente, são necessários três meses de prova.
Uma vez adquirida, a certificação ISO 27001 é válida por três anos, após os quais é realizada uma avaliação de re-certificação. Após a certificação, as organizações podem esperar visitas de vigilância pelo menos uma vez por ano para garantir que estão evoluindo e adicionando as medidas de segurança mais recentes para se manterem vigilantes e atualizadas.
Em conformidade com a ISO 27001 usando Log360
Implementar um ISMS compatível com ISO 27001 significa implementar medidas de controle de acesso estritas para manter a confidencialidade, integridade e disponibilidade de dados confidenciais. As organizações precisam registrar e revisar regularmente os logs de eventos, protegê-los contra acesso não autorizado e garantir que os procedimentos de logon seguros sejam seguidos.
O ManageEngine Log360, uma solução SIEM com amplos recursos de gerenciamento de logs, automatiza a coleta de logs em terabytes. Ele garante que os logs coletados sejam arquivados com segurança para análise por meio do monitoramento da integridade dos arquivos e ajuda as organizações a manter as medidas de controle de acesso por meio de seus relatórios de segurança prontos para uso. Isso ajuda a acompanhar as tentativas de logon bem-sucedidas e malsucedidas, a atividade do usuário e o acesso de autorização a dispositivos e aplicativos críticos. O Log360 também ajuda a acompanhar as alterações feitas nas políticas de usuário, domínio e auditoria que as organizações podem usar para garantir que procedimentos de logon confiáveis estejam em vigor. Essas mudanças podem ser monitoradas, analisadas e geradas como relatórios prontos para auditoria em tempo real que podem contribuir significativamente para os procedimentos de conformidade.
Para saber mais sobre como o Log360 pode ajudá-lo a cumprir a ISO 27001, inscreva-se para uma avaliação gratuita de 30 dias para verificar você mesmo ou solicite uma demonstração personalizada com nossos especialistas em produtos.
Esse post foi traduzido da nossa página em inglês SIEM Expert Talks, e sua autoria original é de Anupama. A.