O que é a ISO 27001? Uma explicação clara e concisa para 2023

A ISO/IEC 27001 é a principal norma internacional para regular a segurança de dados por meio de um código de prática para gerenciamento de segurança da informação.

Sua criação foi um esforço conjunto de dois proeminentes órgãos internacionais de padronização - a Organização Internacional de Padronização (ISO) e a Comissão Eletrotécnica Internacional (IEC). É por isso que o padrão é formalmente anexado com ISO/IEC, embora "IEC" seja comumente deixado para simplificar a referência.

A ISO/IEC 27001 é composta por um conjunto de padrões que abrangem diferentes aspectos da segurança da informação, incluindo sistemas de gerenciamento de segurança da informação, tecnologia da informação, técnicas de segurança da informação e requisitos de segurança da informação.

A norma mais recente é a ISO/IEC 27001:2013, publicada em 2013.

Por que a ISO/IEC 27001 é importante?

Quando uma empresa é certificada pela ISO/IEC 27001, ela é oficialmente reconhecida por aderir ao mais alto padrão de segurança da informação reconhecido internacionalmente.

Esta certificação demonstra um nível de segurança operacional de classe mundial em monitoramento de ameaças, mitigação de violações e proteção de dados confidenciais. Devido a essa reputação exemplar de gerenciamento de riscos, os parceiros e clientes das organizações certificadas pela ISO/IEC 27001 têm maior confiança na segurança de seus ativos de informação.

As organizações que exigem orientação clara para fortalecer sua postura de segurança se beneficiarão da consolidação conveniente da estrutura ISO das políticas e processos de segurança necessários. Qualquer setor, independentemente de seu tamanho, pode implementar um Sistema de Gerenciamento de Segurança da Informação (SGSI) econômico por meio de uma certificação ISO 27001 ou tornando-se compatível com a ISO 27001.

O que é um Sistema de Gerenciamento de Segurança da Informação (SGSI)?

Um SGSI consiste em um conjunto de políticas, sistemas e processos que gerenciam os riscos de segurança da informação por meio de um conjunto de controles de segurança cibernética.

O objetivo é permitir apenas níveis de risco aceitáveis no ecossistema monitorado para evitar que dados confidenciais sejam vazados ou acessados por cibercriminosos. A principal intenção de um SGSI não é evitar violações de dados, mas limitar seu impacto em recursos confidenciais.

É importante entender que a busca pela segurança da informação não termina na certificação ISO/IEC 27001. A certificação demonstra um compromisso contínuo com a melhoria da proteção de recursos sensíveis por meio de avaliações de risco e controles de segurança da informação.

Benefícios da certificação ISO/IEC

Alguns dos benefícios do alinhamento com a norma ISO 27001 estão listados abaixo:

• Ele demonstra um compromisso com a preservação da segurança dos dados de todos os fornecedores terceirizados, parceiros de negócios e partes interessadas.
• Demonstra um compromisso com a melhoria contínua da segurança de dados para todos os fornecedores, clientes,
• É um padrão reconhecido internacionalmente para Gerenciamento de Segurança da Informação (ISM).
• Ele oferece uma vantagem competitiva ao demonstrar gerenciamento de risco superior e due diligence.
• Reduz o excesso de tempo e os compromissos de custo para os processos.
• Pode facilitar parcerias com empresas altamente regulamentadas.
• Pode atrair candidatos e parceiros de negócios de maior qualidade.
• Reduz o custo dos processos de correção de riscos.
• Evita multas de reguladores (como GDPR).
• Reduz a probabilidade de violações de dados e violações de terceiros.
• Reduz o impacto e o custo de uma violação de dados.

Saiba o que fazer depois de concluir uma auditoria ISO 27001 >

O que é o processo de certificação ISO 27001?

Uma certificação ISO/IEC 27001 só pode ser fornecida por um organismo de certificação credenciado. Os candidatos são avaliados em três categorias diferentes de segurança da informação:

• Confidencialidade das informações - Existem controles de acesso suficientes para impedir o acesso não autorizado?
• Integridade da informação - As informações estão protegidas contra modificações não autorizadas?
• Disponibilidade de informações - As informações estão prontamente disponíveis para os usuários autorizados quando necessário?

Ao entender a expectativa de alto nível das auditorias de certificação, fica claro que o principal mecanismo da estrutura ISO/IEC 27001 é a detecção e mitigação de vulnerabilidades por meio de uma série de controles de segurança.

Um certificador avaliará as práticas, políticas e procedimentos de um SGSI em relação aos padrões esperados da ISO/IEC 27001.

A certificação é válida por 3 anos. Os auditores continuarão a avaliar a conformidade por meio de avaliações anuais enquanto o certificado permanecer válido. Para garantir que a conformidade seja mantida todos os anos a tempo dessas avaliações, as organizações certificadas devem se comprometer com auditorias internas de rotina.

Alguns organismos de certificação credenciados nos EUA para ISO/IEC 27001 estão listados abaixo:

• ISO de fogo de carvão
• A-lign
• Registro do Lloyd's
• Dekra

A norma ISO 27001 pode ser dividida em duas partes:

• Onze cláusulas (0-10) - As cláusulas 0 a 3 forneceram uma introdução ao padrão ISO/IEC 27001. As cláusulas 4 a 10 devem ser cuidadosamente consideradas porque descrevem as expectativas mínimas de conformidade para a certificação.
• Anexo A - Define as diretrizes para os 114 objetos de controle que suportam a conformidade com a ISO/IEC 27001.

Uma breve descrição das cláusulas 4 a 10 é fornecida abaixo

Cláusula 4ª - Contexto da Organização

As organizações precisam demonstrar conhecimento confiante de todas as questões internas e externas, incluindo questões regulatórias, para que o escopo do SGSI dentro do contexto organizacional exclusivo seja claramente definido.

Saiba como definir o contexto da sua organização.

Cláusula 5ª - Liderança

A Cláusula 5 identifica os compromissos específicos da equipe de liderança para a implementação e preservação de um SGSI por meio de um sistema de gestão dedicado.

Isso pode incluir:

• Garantir que os requisitos de recursos sejam atendidos.
• Garantir que os objetivos de segurança da informação da organização sejam atendidos.
• Supervisionar a integração completa do sistema de gestão com os processos de negócios.
• Implementar todos os controles de segurança apropriados.
• Garantir que todas as partes estejam contribuindo para o sucesso do SGSI.

Cláusula 6ª - Planejamento

Um plano de implementação do SGSI precisa ser projetado com base em uma avaliação de segurança do ambiente de TI atual.

Esse processo envolve a identificação de todos os ativos e, em seguida, a avaliação de seus riscos em relação a um apetite de risco especificado.

Esse processo demorado é melhor confiado a uma solução de monitoramento de superfície de ataque para garantir velocidade e precisão.

Uma vez identificados, todos os riscos podem ser gerenciados e mitigados com os controles de segurança do Anexo A.

Cláusula 7ª - Apoio

A cláusula 7 garante que todos os funcionários tenham recebido o treinamento necessário para aderir aos padrões ISO/IEC 27001.

Aprenda a realizar treinamento e conscientização sobre a ISO/IEC 27001

Cláusula 8ª - Funcionamento

A cláusula 8 garante que os processos apropriados estejam em vigor para gerenciar com eficácia os riscos de segurança detectados. Este objetivo é alcançado principalmente através de avaliações de risco.

Cláusula 9ª - Avaliação de desempenho

Para que as organizações certificadas pela ISO 27001 cumpram seu compromisso com a melhoria contínua da segurança de dados, auditorias internas precisam ser realizadas regularmente.

O objetivo é analisar o desempenho do Sistema de Gestão de Segurança da Informação em relação aos padrões de segurança esperados.

Cláusula 10ª - Aperfeiçoamento

Os dados coletados do processo da Cláusula 9 devem ser usados para identificar oportunidades de melhoria operacional.

A melhoria contínua do processo de gerenciamento de riscos pode ser alcançada por meio do uso de modelos de maturidade juntamente com esforços de auditoria de rotina.

Controles de segurança 270001 ISO/IEC

O Anexo A da norma ISO 27001 é composto por 114 controles divididos em 14 domínios ou categorias. Nem todos os objetivos de controle são obrigatórios, eles devem ser vistos como uma lista de opções de controle.

Cada organização deve aplicar o nível necessário de controles necessários para atingir o nível esperado de conformidade com o gerenciamento de riscos de segurança da informação com base em seu grau atual de conformidade.

Esse déficit exclusivo pode ser calculado com uma análise de lacunas da ISO 27001.

Para saber mais sobre a análise de lacunas, assista ao vídeo abaixo:

Todos os controles implementados precisam ser documentados em uma Declaração de Aplicabilidade após terem sido aprovados por meio de uma revisão pela direção.

Os 14 domínios do Anexo A da ISO/IEC 27001 variam de A.5 a A.18.

• A.5 Políticas de segurança da informação
• A.6 Organização da segurança da informação
• A.7 Segurança dos recursos humanos
• A.8 Gestão de ativos
• A.9 Controle de acesso
• A.10 Criptografia
• A.11 Segurança física e ambiental
• A.12 Segurança operacional
• A.13 Segurança das comunicações
• A.14 Aquisição, desenvolvimento e manutenção do sistema
• A.15 Relações com fornecedores
• A.16 Gerenciamento de incidentes de segurança da informação
• A.17 Aspectos de segurança da informação do gerenciamento de continuidade de negócios
• A.18 Conformidade

A ISO/IEC 27001 é obrigatória?

A ISO/IEC 27001 não é um requisito obrigatório na maioria dos países, no entanto, a conformidade é recomendada para todas as empresas porque fornece proteção de dados avançada.

A implementação e conformidade com a ISO 27001 é especialmente recomendada para setores altamente regulamentados, como finanças, saúde e tecnologia, porque eles sofrem o maior volume de ataques cibernéticos.

A família de normas ISO 27000 pode facilitar a conformidade com normas obrigatórias, como o Regulamento Geral sobre a Proteção de Dados (GDPR). Isso ocorre porque a família ISO/IEC 27000 segue um Anexo SL - uma estrutura de alto nível de padrões de gerenciamento ISO projetados para agilizar a integração de vários padrões.

Ao combinar um Sistema de Gerenciamento de Informações de Privacidade (PIMS) compatível com ISO 27701 com um SGSI por meio de um sistema de gerenciamento integrado, as rígidas expectativas de proteção de dados pessoais do GDPR podem ser atendidas.

Por causa disso, a conformidade com uma família ISO 27001 pode se tornar necessária (e quase obrigatória) para alcançar a conformidade regulatória com outras estruturas de segurança.

Qual é a diferença entre a certificação ISO/IEC 27001 e a conformidade?

Quando uma organização está em conformidade com a norma ISO/IEC 27001, seu programa de segurança se alinha com a lista de domínios e controles da ISO/IEC 27001 - ou pelo menos um número suficiente deles.

Quando uma organização é certificada pela ISO/IEC 27001, seu Sistema de Gerenciamento de Segurança da Informação (SGSI) foi confirmado como alinhado com a norma ISO/IEC 27001 por um organismo de certificação credenciado.

O UpGuard é uma solução de monitoramento de superfície de ataque de inteligência que oferece suporte à conformidade com a ISO/IEC 27001, gerenciando riscos de segurança internamente e em toda a rede do fornecedor. A análise desses esforços pode ser usada para criar um plano de tratamento de risco para manter as partes interessadas e as partes interessadas continuamente informadas sobre a postura de segurança da sua organização.

O UpGuard também ajuda as organizações a permanecerem em conformidade por meio da detecção precoce de riscos de terceiros que podem ser prejudiciais a uma certificação ISO 27001. Isso é alcançado por meio de um questionário de segurança da ISO 27001 mapeando os riscos de terceiros em relação aos domínios da ISO 27001. Para saber mais sobre como o UpGuard pode ajudar, obtenha uma demonstração gratuita hoje!