»

A família de normas ISO 27000 atua como uma estrutura de gestão de segurança da informação para instituições em todo o mundo. A ISO 27001 é uma norma de cibersegurança que consiste nas melhores práticas e controles que as empresas podem usar para implementar um sistema de gestão de segurança da informação (ISMS) e a tríade CIA (confidencialidade, integridade e disponibilidade) para proteger seus dados.

Neste conteúdo, vamos ver:

  1. O que é a ISO 27001
  2. Como a norma foi elaborada
  3. Qual é a estrutura da ISO 27001
  4. Se ela é obrigatória por motivos de compliance
  5. O que é ISMS e os benefícios de ter um
  6. Como a ISO ajuda você a atender as leis de proteção de dados
  7. Processo de certificação ISO 27001
  8. Últimas atualizações da ISO 27001 e 27002
  9. Entrando em conformidade com a ISO 27001 usando a solução SIEM

O que é a ISO 27001?

A ISO 27001 é uma norma e estrutura de cibersegurança que ajuda as empresas a implementar um ISMS. Ela é uma abordagem baseada em riscos e ajuda as empresas a avaliarem sua postura de segurança.

Como a ISO 27001 foi elaborada?

A versão herdada da ISO 27001, BS 7799, originalmente escrita pelo Departamento de Comércio e Indústria (DTI) do Reino Unido, foi publicada pela British Standards Institution (BSI) em 1995. A parte da BS 7799 que aborda as melhores práticas na gestão de segurança da informação foi revisada em 1998. Em 2000, foi adotada pela ISO como a ISO/EC 17799 e foi denominada Tecnologia da Informação: Código de práticas para gestão de segurança de informação. A segunda parte da BS 7799, com o título de Sistema de gestão de segurança da informação, lançada em 1999, foi posteriormente adotada como parte da gestão e avaliação de riscos na série da ISO 27000, denominada ISO 27001.

A versão mais recente da ISO 27001 foi publicada em 2013 com pequenas atualizações em 2017.

Como a ISO 27001 foi estruturada?

Ela está dividida em duas partes principais.

  • Parte Um - 12 segmentos: A primeira parte consiste em uma lista de 12 segmentos, listados abaixo:
    1. Introdução
    2. Escopo
    3. Detalhes normativos
    4. Termos e definições
    5. Contexto da organização
    6. Liderança
    7. Planejamento
    8. Suporte
    9. Operação
    10. Avaliação de desempenho
    11. Melhorias
    12. Controles e objetivos de controle de referência

  • Parte dois - Anexos A: A segunda parte da ISO 27001 é o Anexo A, que consiste em 114 controles divididos em 18 seções e segue o 12º controle. Uma vez que o anexo está relacionado à ISO 27002, os primeiros quatro controles não estão na lista. Então, essa lista começa na quinta seção.

    O resto das 18 seções no Anexo A são:

    1. Anexo A.5: Políticas de segurança da informação
    2. Anexo A.6: Organização da segurança da informação
    3. Anexo A.7: Segurança de recursos humanos
    4. Anexo A.8: Gestão de ativos
    5. Anexo A.9: Controle de acesso
    6. Anexo A.10: Criptografia
    7. Anexo A.11: Segurança física e ambiental
    8. Anexo A.12: Segurança das operações
    9. Anexo A.13: Segurança de comunicação
    10. Anexo A.14: Manutenção, desenvolvimento e aquisição de sistemas
    11. Anexo A.15: Relações com o fornecedor
    12. Anexo A.16: Gestão de incidentes de segurança da informação
    13. Anexo A.17: Aspectos de segurança da informação de gestão de negócios
    14. Anexo A.18: Compliance

É uma norma obrigatória?

Não, a ISO 27001 não é uma conformidade obrigatória. Como sua estrutura sugere, a norma tem como foco os requisitos individuais de cada empresa e reconhece que o ISMS implementado deve se concentrar nos requisitos exclusivos e nos riscos de segurança. Entretanto, as empresas que queriam obter a certificação ISO 27001 devem estar em conformidade com a norma.

O que é um ISMS e quais seus benefícios?

O ISMS define a abordagem de uma organização à segurança da informação e os controles e especificações que ela implementa para garantir a segurança de seus dados. Ter um ISMS compatível com a norma ISO 27001 ajuda as organizações a cumprir as outras normas de segurança, bem como a LGPD.

O objetivo do ISMS é facilitar que as organizações implementem a tríade CIA de proteção de dados. A tríade CIA consiste em:

  1. Confidencialidade: As medidas que uma organização toma para proteger a privacidade dos seus dados contribuem para a sua confidencialidade, como garantir o acesso autorizado e restrito.
  2. Integridade: As organizações devem esforçar-se para manter a autenticidade e a confiabilidade dos dados e garantir que eles estejam livres de erros para facilitar a integridade dos dados.
  3. Disponibilidade: As organizações devem garantir a disponibilidade dos dados sempre que forem acessados. Isso significa garantir que todos os sistemas e operações que lidam com os dados funcionem sem problemas e tomar medidas como eliminar servidores redundantes ou garantir que as atualizações aconteçam no momento oportuno.

A implementação de todas as três partes da tríade da CIA aumenta significativamente a resiliência cibernética e melhora a capacidade das organizações de lidar com ameaças.

Benefícios do ISMS

Além de estar em conformidade com a ISO 27001, ter um ISMS em vigor oferece várias vantagens para uma organização:

  • Proteção de informações privilegiadas: Com o objetivo principal de proteger a confidencialidade, integridade e disponibilidade das informações, um ISMS trabalha para proteger os vários ativos de informação em uma organização.
  • Sistema de gestão centralizada: O ISMS garante que todos os dados da organização sejam armazenados, protegidos e gerenciados de forma centralizada. Essa abordagem holística aumenta a segurança e contribui para o crescimento geral da empresa.
  • Redução de custos de segurança: Como um ISMS é implementado com base na avaliação de risco de cada organização, ele pode evitar custos associados aos testes de várias soluções de segurança. Adotar uma abordagem centralizada também reduz os custos gerais.
  • Aumento da resiliência cibernética: Um ISMS em conformidade com a norma ISO 27001 exige que as organizações alterem constantemente suas medidas de segurança e evoluam com o cenário de ameaças, levando a um aumento geral da resiliência cibernética.

Quais as diferenças entre a ISO 27001 e a 27002?

Em termos simples, enquanto a ISO 27001 é uma estrutura de cibersegurança e as organizações podem obter uma certificação, a ISO 27002 é mais um guia de melhores práticas, que fornece orientações para ajudar as organizações a implementarem e entenderem os controles da ISO 27001 no Anexo A.

Embora as empresas possam escolher quais práticas recomendadas pela ISO 27002 implementar, nenhuma certificação é concedida para a norma.

Como a ISO 27001 ajuda você a atender às leis de proteção de dados, como a LGPD?

Antes de entender como a ISO 27001 ajuda você a atender a LGPD, é importante observar que o objetivo de cada norma é diferente. Embora o objetivo da LGPD seja proteger a privacidade dos dados pessoais de cidadãos brasileiros, a ISO 27001 trabalha para ajudar as organizações a criarem um ISMS que as ajude a processar os dados coletados.

A seguir estão os pontos em comum entre a ISO 27001 e a LGPD:

  • Avaliação de risco e exposição: Ambas as normas encontram sua base na avaliação de risco. Embora os requisitos da ISO 27001 exijam que as organizações realizem uma avaliação de risco antes de implementar os controles necessários para um ISMS, a LGPD também exige uma avaliação de impacto à proteção de dados (RIPD, ou Relatório de Impacto à Proteção de Dados) para diminuir sua exposição ao risco.
  • Notificações de violação oportunas: Os controles de gestão de incidentes do 16º segmento do Anexo A da ISO 27001 insistem que qualquer violação de segurança seja comunicada rapidamente para que as ações adequadas possam ser tomadas. Um requisito semelhante é encontrado na LGPD, que exige que as organizações notifiquem os controladores e as autoridades de supervisão dentro de 72 horas úteis após uma violação.
  • Privacy by design: A LGPD se baseia em privacy by design e exige que as organizações implementem medidas que garantam a privacidade dos dados. A ISO 27001 considera os dados como um ativo de informação e fornece as melhores práticas que podem ser usadas para proteger efetivamente informações importantes.
  • Manutenção de registros de dados: A ISO exige que os processos de segurança, procedimentos e documentos de avaliação de risco sejam registrados, juntamente com a categorização dos ativos de informação. A LGPD insiste em registrar processos e categorizar dados e solicita que as organizações não armazenem dados de identificação pessoal (PII) por mais tempo do que o necessário.

Embora ambas as normas tenham controles semelhantes, é interesse das organizações cumprir as medidas propostas pela LGPD e pela ISO 27001 para atingir seus respectivos objetivos.

Processo de certificação ISO 27001

Para obter a certificação ISO 27001, uma organização precisa comprovar que implementou corretamente um ISMS e tomou as medidas necessárias para abordar os riscos.

A auditoria para uma certificação ISO 27001 ocorre em duas etapas:

Etapa 1: Um auditor faz uma revisão do ISMS documentado e avalia se ele atende aos requisitos declarados na norma. As organizações precisam produzir uma Declaração de Aplicabilidade (SoA), que é um requisito vital para a certificação e consiste nos controles escolhidos da lista de 114 controles no Anexo A, o procedimento de implementação de cada um deles e a lista de controles omitidos e o motivo pelo qual eles foram omitidos. Este é principalmente um exercício de desktop e há interação mínima com as pessoas encarregadas de supervisionar a implementação do ISMS.

Etapa 2:A organização é auditada para verificar se os processos que ela implementou estão em conformidade com o que foi documentado no ISMS. Os auditores também entrevistam os responsáveis pelas operações, analisam as evidências de toda a documentação e revisam os controles implementados para abordar o risco. Normalmente, são necessários três meses de prova.

Uma vez adquirida, uma certificação ISO 27001 é válida por três anos, após os quais é feita uma avaliação de recertificação. Após a certificação, as organizações podem esperar visitas de inspeção pelo menos uma vez por ano para garantir que estão evoluindo e adicionando as últimas medidas de segurança para permanecerem atualizadas e em alerta.

Últimas atualizações da ISO 27001 e 27002

A ISO 27002 passou por alterações significativas em 2022. O mais relevante para as organizações que implementam a ISO 27001 é a diminuição do número de controles listados na ISO 27002, 93 de 114.

Tal redução pode levar as organizações certificadas pela ISO 27001 a terem que comparar os controles anteriores do Anexo A com o novo conjunto de controles de 2022 da ISO 27002 como se fossem novo ou diferente dos controles de segurança. Isso pode continuar até que uma versão atualizada da ISO 27001 seja publicada, o que está previsto para outubro de 2022.

Esteja em conformidade com a ISO 27001 usando o Log360

A implementação de um ISMS em conformidade com a norma ISO 27001 significa implementar medidas rigorosas de controle de acesso para manter a confidencialidade, integridade e disponibilidade de dados sensíveis. As organizações precisam registrar e revisar regularmente os logs de eventos, protegê-los contra acesso não autorizado e garantir que os procedimentos de logon seguro sejam seguidos.

O Log360 da ManageEngine, uma solução SIEM com alta capacidade de gestão de logs, automatiza a coleta de logs em terabytes. Ele garante que os logs coletados sejam arquivados com segurança para análise por meio do monitoramento da integridade dos arquivos e ajuda as organizações a manterem as medidas de controle de acesso por meio de seus relatórios de segurança prontos para uso. Eles ajudam a manter o controle de tentativas de logon bem e mal sucedidas, atividades do usuário e acesso de autorização a dispositivos e aplicações críticas. O Log360 também ajuda a manter o controle de alterações feitas nas políticas de usuários, domínio e auditoria que as organizações podem usar para garantir que procedimentos de logon confiáveis estejam sendo seguidos. Essas alterações podem ser monitoradas, analisadas e geradas como relatórios em tempo real, prontos para auditoria, que podem contribuir significativamente para procedimentos de conformidade.

Para saber mais sobre como o Log360 pode ajudar você a atender a ISO 27001, faça um teste gratuito de 30 dias para sua própria avaliação ou solicite uma demonstração personalizada com nossos especialistas.

Você quer conhecer uma solução SIEM?

ACESSE UM CONTEÚDO ATUALIZADO

Mantenha-me atualizado

Posts relacionados

×

  • Please enter a business email id
     

  • By clicking 'Read the ebook', you agree to processing of personal data according to the Privacy Policy

Receba o conteúdo mais recente diretamente na sua caixa de e-mail!

Thank you for subscribing.

You will receive regular updates on the latest news on cybersecurity.

  • Please enter a business email id
  •  
  •  
    Ao clicar em Mantenha-me atualizado você concorda com o processamento de dados pessoais de acordo com a Política de privacidade.

Expert Talks

     
 

© 2021 Zoho Corporation Pvt. Ltd. All rights reserved.

 
Home »
 

Awards & recognition

ManageEngine named in 2024 Gartner MQ for SIEMGartner Peer Insights Customers' choice for SIEM

  •  
  •  
  •  
  •  
  •  
  •  

2022 Gartner SIEM mq

Recursos

Suporte

Secure your IT infrastructure with a cloud SIEM solution

Soluções por setor

Soluções relacionadas