A segurança da informação é uma responsabilidade de governança corporativa. Ela não pode ser vista como uma iniciativa isolada da equipe de Tecnologia da Informação, mas sim como um tópico de estratégia de negócio. Dentro dessa perspectiva, organizações têm lutado para proteger informações controladas, críticas ou confidenciais do acesso indevido que pode causar danos irreversíveis ao negócio.
A família de normas ISO 27000 ajuda as organizações a manter em segurança os ativos de informação, tais como informações financeiras, propriedade intelectual, detalhes dos funcionários ou informações confiadas por terceiros. A ISO/IEC 27001 é a norma mais conhecida dessa família e contempla os requisitos para o sistema de gestão da segurança da informação (SGSI).
A revisão
Após nove anos, em 25 de outubro de 2022, a ISO 27001 foi atualizada sendo publicada a nova ISO/IEC 27001:2022, o que gerou certa expectativa no mercado.
Essa nova versão veio para ajudar as organizações a gerenciar os controles de forma mais eficaz, agrupando-os em quatro “temas” claros: organizacional, pessoal, tecnológico e físico. Essa mudança fundamental visa alcançar maior clareza, foco e responsabilidade pela segurança da informação dentro de uma organização.
Mesmo que esta revisão traga apenas mudanças moderadas, é importante estudá-las de perto. Portanto, nesse artigo vou comentar sobre todas as mudanças e comparar esta revisão de 2022 com a antiga, de 2013.
A ISO 27001 não é a ISO 27002
Antes de começarmos com as novidades propriamente ditas, vamos a um tópico importante que ainda causa bastante dúvida: não confunda a ISO 27001 com a ISO 27002.
Esclarecendo, a ISO 27001 é a norma a qual você pode certificar sua empresa, enquanto a 27002 é a norma de apoio que fornece diretrizes sobre a implementação de controles de segurança. A diferença mais importante é que a ISO 27002 não é obrigatória para a certificação ISO 27001 e sua empresa não pode ser certificada pela ISO 27002.
Nova revisão, título novo
Uma mudança interessante, refletindo a evolução tecnológica e a abrangência dos temas associados à segurança, a mudança que vemos de cara é referente ao novo título da norma.
Diferente da ISO/IEC 27001:2013, o título completo da nova versão é ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection. Em português, podemos ver a sutil mas importante diferença:
Como era (ISO/IEC 27001:2013): “Tecnologia da informação – técnicas de segurança – sistemas de gestão da segurança da informação”.
Como ficou (ISO/IEC 27001:2022): “Segurança da informação, segurança cibernética e proteção à privacidade — Sistemas de gestão da segurança da informação — Requisitos”.
Essa mudança não gerará impactos para a sua empresa, apenas lembre-se de atualizar seus documentos onde a norma é citada tanto no nome quando na nova versão.
O Anexo A de cara nova
À primeira vista, o Anexo A mudou muito – o número de controles caiu de 114 para 93 e está organizado em apenas quatro seções contra as 14 seções da revisão de 2013. No entanto, após um olhar mais atento, torna-se óbvio que as alterações no Anexo A são apenas moderadas e estão alinhadas com as atualizações da ISO/IEC 27002:2022, publicadas no início de 2022.
O Anexo A da ISO/IEC 27001:2022 sofreu alterações tanto no número de controles quanto na sua listagem em grupos. A começar, o título do anexo sofreu uma pequena alteração de Objetivos e controles de referência para Referência de controles da segurança da informação.
Voltando a diminuição do número de controles, ela se deve, principalmente, devido à fusão de muitos deles. Vamos aos números: 35 controles permaneceram os mesmos, 23 foram renomeados, 57 controles foram mesclados em 24 e um controle foi dividido em dois. Como já comentamos anteriormente, essa reformulação foi concretizada para refletir a atualização tecnológica e uma abordagem mais compreensiva dos domínios de segurança. Veja como os 93 controles forem reestruturados em quatro grandes grupos:
- A.5 Controles organizacionais – contém 37 controles
- A.6 Controles de pessoas – contém 8 controles
- A.7 Controles físicos – contém 14 controles
- A.8 Controles tecnológicos – contém 34 controles
A nova versão também trouxe 11 novos controles conforme mencionados abaixo:
- Inteligência de ameaças – obter informações sobre ameaças, analisá-las e tomar ações de mitigação apropriadas.
- Segurança da informação para o uso de serviços em nuvem – estabelecer requisitos de segurança em serviços cloud.
- Prontidão de TIC para a continuidade dos negócios – assegurar que as TICs estão preparadas para rompimentos e que a informação e ativos estarão prontos quando necessários.
- Monitoramento de segurança física – monitoramento físico de áreas sensíveis para controle de acessos.
- Gerenciamento de configurações – gestão do ciclo completo da tecnologia (definição da configuração, implementação, monitoramento e revisão).
- Exclusão de informações – assegurar a eliminação da informação quando esta deixa de ser necessária, como forma de evitar fugas de informação, em particular informação sensível e privada.
- Mascaramento de dados – utilizar técnicas de “data masking” em conjunto com controles e acessos para limitar a exposição de informação sensível.
- Prevenção de vazamento de dados – aplicar medidas para evitar a divulgação não autorizada de informação.
- Atividades de monitoramento – monitoramento dos sistemas para deletar comportamentos anormais e possíveis incidentes de segurança da informação.
- Filtragem da web – proteção dos sistemas de TI através da gestão dos sites que os utilizadores têm acesso.
- Codificação segura – estabelecer princípios de código seguro, aplicando desde o desenvolvimento do software.
A revisão afetará seu certificado ISO/IEC 27001 atual?
Notícia boa! As novas alterações na ISO/IEC 27001:2022 não afetarão seu atual certificado ISO/IEC 27001. Mas é importante ficar atento ao período de transição.
De acordo com o documento “Requisitos de transição para a ISO/IEC 27001:2022” do International Accreditation Forum, para empresas já certificadas pela ISO 27001:2013, a transição para a ISO 27001:2022 precisa ser concluída até 31 de outubro de 2025.
Os organismos de certificação devem começar a certificar empresas de acordo com a nova versão a partir de 31 de outubro de 2023, mas certamente a maioria deles começará muito antes. Então, para você que ainda não é certificado, fique ligado nas alterações para incorporá-las antes de iniciar sua auditoria.
Resumo final – o quanto você será impactado
Como as mudanças nos controles, e na norma como um todo, são muito pequenas, a transição para a nova atualização da norma será tranquila. Talvez seja necessário adaptar e atualizar um ou outro requisito, mas nada muito aprofundado. Caso a empresa já seja certificada é necessário realizar apenas as atualizações para manter a conformidade quanto aos novos controles.
Para resumir, as alterações na parte principal do padrão são pequenas e podem ser feitas rapidamente, com apenas pequenas alterações na documentação e nos processos. As alterações nos controles do Anexo A são moderadas e podem ser tratadas principalmente adicionando os novos controles à documentação existente.
Claro que a expectativa pela revisão era grande, e muitos profissionais da área esperavam mudanças mais avassaladoras. Mas tenho certeza que as empresas que já são certificadas pela revisão de 2013 ficarão aliviadas porque o trabalho a ser feito não é tão grande.
Tecnologia para auxiliar na segurança da informação da sua empresa
A SoftExpert oferece a solução de software mais abrangente e avançada para a gestão da segurança da informação que atende às necessidades dos mais rigorosos regulamentos globais. O SoftExpert Excellence Suite ajuda as empresas a aderirem à ISO/IEC 27001, reduzindo os custos de conformidade, maximizando o sucesso, aumentando a produtividade e reduzindo os riscos.
A solução da SoftExpert permite que as organizações atendam aos requisitos da ISO 27001 de forma fácil, garantindo os três pilares da segurança da informação: Confidencialidade, Integridade e Disponibilidade (CID). Ela auxilia no gerenciamento de riscos, controles, políticas de segurança da informação, ativos, incidentes, fornecedores, indicadores de desempenho, processos, entre outros. Isso impulsiona a eficiência organizacional e reduz o retrabalho e o desperdício. Quer saber mais? Entre em contato com um de nossos especialistas que terão o maior prazer em apresentar a nossa solução para você.