A grade de normas ISO 27000 atua como uma estrutura de gerenciamento de segurança da informação para instituições no mundo todo. Quando as empresas seguem essas diretrizes, conseguem avaliar melhor os riscos à segurança da informação e realizar procedimentos e políticas para gerenciar as ameaças.
Quer obter a certificação ISO 27001 para a sua organização? Reunimos neste texto as principais informações sobre esse padrão regulatório para que você tire todas suas dúvidas. Confira!
O que é a ISO 27001?
É o principal padrão internacional voltado para a segurança da informação. As diretrizes ISO 27000 consistem nas melhores práticas e controles que as organizações podem usar para implementar um sistema de gerenciamento de segurança da informação (SGSI) e a tríade CIA (confidencialidade, integridade e disponibilidade) para proteger seus dados e atender aos seus requisitos de segurança e negócios.
O principal objetivo do padrão de segurança ISO 27001 é ajudar as organizações a configurar um SGSI que melhor se adapte aos seus requisitos e perfil de risco.
Por que a ISO 27001 é importante?
ISO 27001 é um padrão regulatório amplamente reconhecido. Além da excelente reputação de ser certificado pela ISO 27001, a conformidade com o padrão ajuda as organizações a:
1. Manter uma melhor postura de cibersegurança.
2. Cumprir com outras normas regulamentares.
3. Reduzir o risco de ameaças cibernéticas.
4. Destacar-se entre os concorrentes.
O que é um SGSI?
Um SGSI (Sistema de Gestão de Segurança da Informação) ajuda as organizações a definir os controles fundamentais para a segurança dos dados e, dessa forma, apoia a estruturar a estratégia de uma instituição para a segurança da informação.
O objetivo de um SGSI é facilitar o processo de implementação da tríade CIA de proteção de dados, que consiste em:
-
Confidencialidade: As práticas que uma organização implementa para proteger a privacidade dos dados contribuem para a confidencialidade. Por exemplo: garantir acesso restrito e autorizado.
-
Integridade: As instituições devem manter a confiabilidade e autenticidade dos dados e garantir que não ocorra erros.
-
Disponibilidade: As organizações devem prezar pela disponibilidade dos dados sempre que forem acessados. Isso significa garantir que todos os sistemas e operações que lidam com os dados funcionem sem problemas, além de implementar medidas como: eliminar servidores redundantes ou garantir que as atualizações ocorram no prazo.
Quais são os benefícios de um SGSI?
-
Proteção de informações privilegiadas: Como mencionado acima, com o objetivo principal de proteger a confidencialidade, integridade e disponibilidade das informações, um SGSI trabalha para proteger os diversos ativos de informações em uma organização.
-
Sistema de gerenciamento centralizado: Um SGSI garante que todos os dados sejam armazenados, protegidos e gerenciados de maneira centralizada.
-
Economia de custos de segurança: Como um SGSI é implementado com base na avaliação de risco de cada organização, ele pode ajudar a evitar custos incorridos devido à experimentação de várias soluções de segurança.
ISO 27001 é um padrão de conformidade obrigatório?
A ISO 27001 não é obrigatória. Ela ajuda as organizações a se concentrarem em seus requisitos de segurança exclusivos e a implementar um SGSI. No entanto, as organizações que pretendem obter a certificação ISO 27001 devem estar de acordo com a norma.
Qual a diferença entre ISO 27001 e ISO 27002?
Enquanto a ISO 27001 é uma estrutura para a qual as organizações podem obter uma certificação, a ISO 27002 é um guia de melhores práticas que fornece recomendações para implementar os controles da ISO 27001 no Anexo A. As organizações podem escolher quais melhores práticas implementar da ISO 27002, pois não há certificação fornecida.
Algumas das principais mudanças na ISO 27001 são estruturais, feitas nos controles de segurança listados na parte dois e algumas pequenas edições feitas nas cláusulas da parte um. Enquanto as edições feitas na parte dois significam uma mudança de perspectiva em relação à implementação de um SGSI, as mudanças feitas na parte um indicam uma mudança de perspectiva quando se trata de cibersegurança.
O que as novas mudanças significam?
A estrutura ISO 27001 tem sido constantemente criticada por ser um padrão de gerenciamento em oposição a um padrão de cibersegurança. Sua abordagem de gerenciamento baseada em risco depende do método definido por cada organização para identificar o risco e tratá-lo usando os controles de segurança listados no padrão.
A versão anterior enfoca a capacidade da organização de identificar riscos corretamente sem se aprofundar nas pessoas ou processos envolvidos em fazer isso acontecer. A versão ISO 27001-2022 é mais orientada para o processo, alinhada com a abordagem ISO 9000, e se concentra em permitir que as organizações reconheçam e melhorem continuamente os processos que possuem.
Requisitos para obter a certificação ISO 27001
-
Ter uma política de segurança da informação: isso permite a gestão de riscos de segurança e também o cumprimento das regulamentações que tem relação com a área que o negócio está inserido.
-
Organização da segurança: a segurança da informação deve ser gerenciada com o objetivo de manter a integridade das instalações e dos dados.
-
Segurança física e ambiental: os danos à infraestrutura física da organização devem ser evitados, assim como o acesso físico não autorizado aos dados da empresa.
-
Gestão de ativos: é muito importante ter cuidado com os ativos organizacionais, para que eles sejam protegidos.
-
Gerenciamento de operações e comunicações: o processamento dos dados deve ser realizado da forma correta.
-
Conformidade: é fundamental que os gestores garantam o cumprimento das obrigações contratuais, leis e regulamentações, implantando políticas e padrões de segurança institucional.
-
Controle de acesso: para evitar ameaças à infraestrutura de TI, como roubos e danos, os acessos não autorizados às redes, dados ou aplicativos devem ser impedidos.
As duas etapas em um processo de certificação ISO
Para obter a cobiçada certificação ISO 27001, uma organização terá que mostrar que implementou com sucesso um SGSI e tomou as medidas necessárias para lidar com os riscos.
A auditoria para uma certificação ISO 27001 ocorre em duas etapas:
Primeira etapa
É quando um auditor faz uma revisão do SGSI documentado e avalia se ele atende aos requisitos da norma. As organizações precisam produzir uma Declaração de Aplicabilidade, que é um requisito vital para a certificação.
Consiste nos controles escolhidos da lista de 93 controles no Anexo A, o procedimento de implementação de cada um deles e a lista de controles omitidos e por que eles foram omitidos.
Segunda etapa
A organização é auditada para verificar se os processos implementados estão conforme documentados no SGSI. Os auditores também entrevistam os responsáveis pelas operações, verificam as evidências de toda a documentação e revisam os controles implementados para lidar com os riscos.
Normalmente são necessários três meses de comprovação. Uma vez adquirida, uma certificação ISO 27001 é válida por três anos, após os quais é realizada uma avaliação de recertificação. A versão 2022 do padrão foi publicada em 25 de outubro de 2022.
Após a certificação, as organizações podem esperar visitas de vigilância pelo menos uma vez por ano para garantir que estão evoluindo e adicionando as medidas de segurança mais recentes para se manterem vigilantes e atualizadas.
Conformidade com os novos controles de segurança da ISO 27001 usando SIEM
Implementar um SGSI compatível com a ISO-27001 significa implementar medidas rígidas de controle de acesso para manter a confidencialidade, integridade e disponibilidade de dados confidenciais. As organizações precisam registrar e revisar regularmente os logs de eventos, protegê-los contra acesso não autorizado e garantir que os procedimentos de logon seguro sejam seguidos.
Quer uma ferramenta de SIEM eficiente? O Log360 pode te ajudar!
O Log360 da ManageEngine é uma solução SIEM unificada com recursos integrados de DLP e CASB que ajuda as empresas a impedir ataques, monitorar eventos de segurança e cumprir os mandatos regulatórios.
A solução vem com um componente de gerenciamento de logs que fornece melhor visibilidade da atividade da rede, um módulo de gerenciamento de incidentes que ajuda a detectar, analisar, priorizar e resolver rapidamente incidentes de segurança.