Para que serve?

A adoção da norma ISO 27001 serve para que as organizações adotem por um modelo adequado de estabelecimento, implementação, operação, monitorização, revisão e gestão de um Sistema de Gestão de Segurança da Informação.

Este Sistema de Gestão de Segurança da Informação (SGSI) é, de acordo com os princípios da norma ISO 27001, um modelo holístico de abordagem à Segurança e independente de marcas e fabricantes tecnológicos.

É holístico porque acaba por ser uma abordagem 360º à Segurança da Informação, tratando de múltiplos temas tais como as telecomunicações, segurança aplicacional, proteção do meio físico, recursos humanos, continuidade de negócio, licenciamento, etc.

É independente de fabricantes porque se destina ao estabelecimento de processos e procedimentos que depois podem ser materializados à realidade de cada organização de forma diferente e com a especificidade de cada ambiente tecnológico e organizacional.

Principais alterações introduzidas na ISO 27001:2022

Títulos dos novos controlos
Threat Intelligence
5.23 Information Security for use of cloud services
5.30 ICT readiness for business continuity
7.4 Physical security monitoring
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.16 Monitoring activities
8.23 Web filtering
8.28 Secure coding

Adicionalmente, foram clarificados dois dos termos adotados na versão anterior, a saber:

1. Políticas - O Comité ISO clarifica e direciona o significado de "Política" da anterior edição da norma (2013), distinguindo três variantes ou níveis hierárquicos na nova edição da mesma (20222):
   • Política de SI (Política corporativa de alto nível;
   • Política de Tópico Específico (Políticas de nível médio - específicas de tópico);
   • Regra (o nível mais baixo, mais detalhado / específico).
2. Ativos de Informação - este termo, que era o termo comumente adotado para todos os tipos de ativos com valor para a organização, é agora alterado utilizando o conceito de "Ativos Primários" e "Ativos de Suporte / Ativos Associados".

Qual a estrutura da norma?

A norma padrão (Standard) ISO 27001 é composta por duas componentes relativamente distintas:

- A primeira componente, é onde são definidos as regras e os requisitos de cumprimento da norma. Nesta componente, são endereçados os aspetos explícitos no seguinte diagrama:

- A segunda componente da norma, é denominada de ANEXO A e é na realidade composta por um conjunto de controlos que as organizações devem adotar, em diferentes temas.

Desta forma, o Anexo A estabelece um “conjunto de referência” de 93 controlos genéricos de segurança da informação, cibersegurança, proteção de privacidade e orientações de implementação, categorizados em 4 domínios com base nos seguintes temas:

Os 93 controlos constituem uma lista não exaustiva de controlos que endereçam preocupações comuns e outras organizações no que concerne à Segurança da Informação (Anexo A).

Devem ser considerados como um ponto de partida. Mediante justificação, podem ser excluídos e/ou incluídos outros controlos.

A estrutura global da norma ISO 27001 pode ser apresentada da seguinte forma:

Em que as cláusulas com os requisitos correspondentes ao ciclo de melhoria continua estão representados a azul, as cláusulas com os requisitos gerais do SGSI encontram-se a verde e anexo com os objetivos de controlo e controlos aparecem a castanho.

Migração da versão 2013 para a 2022

Face às alterações supra mencionadas, as organizações que obtiveram a certificação pela versão 2013 devem proceder à migração para a nova versão de 2022.

A Devoteam Cyber Trust aborda os projetos de migração de SGSI com uma metodologia de "formação-ação". De facto, a grande diferenciação de um projeto de migração de SGSI que contemple a "formação" para além da "ação" é a efetividade do projeto.

Quais os benefícios para quem a adota?

Independentemente das empresas se certificarem ou não, a adoção das práticas de gestão documentadas na norma, representa um conjunto de benefícios, nomeadamente:

1. Demonstra um compromisso dos Executivos da Organização para com a segurança da informação.
2. Aumenta a fiabilidade e a segurança da informação e dos sistemas, em termos de confidencialidade, disponibilidade e integridade.
3. Garante a realização de investimentos mais eficientes e orientados ao risco, ao invés de investimentos com apenas baseados em tendências.
4. Incrementa os níveis de sensibilidade, participação e motivação dos colaboradores da Organização para com a Segurança da Informação.
5. Identifica e endereça de forma continuada a oportunidade para melhorias, sendo um processo em contínua melhoria.
6. Aumenta a confiança e satisfação dos clientes e parceiros, providenciando um maior potencial para realização de mais negócios.
7. A implementação dos controlos provenientes da norma e da análise de risco, melhora o desempenho operacional das organizações.
8. Dotar a organização de um sistema de controlo da gestão, incrementando a eficácia da organização.
9. Aumenta a preparação da organização face aos riscos associados às tecnologias emergentes.
10. Maior conformidade legal no âmbito da privacidade e segurança (RGPD).
11. Maior flexibilidade e integração com outras normas.

Quais os benefícios para os clientes, fornecedores e parceiros?

As entidades "pares" de uma entidade certificada em ISO 27001, nomeadamente os seus clientes, fornecedores e parceiros, também obtêm benefícios na interação com a organização certificada.

Uma das grandes preocupações da atualidade é efetivamente a confiança no tratamento adequado da informação sensível da sua organização.

A implementação da norma ISO 27001 providencia um elevado compromisso com a proteção da informação, o que representa um nível considerável de conforto para as organizações que interagem com a entidade certificada.

Assim, os clientes, parceiros e fornecedores desta entidade sabem que a informação da sua organização será tratada de acordo com elevados padrões de gestão e proteção ao nível da Segurança da Informação, já que a empresa certificada foi auditada por uma entidade externa e idónea.

Quanto tempo demora a preparação da certificação?

A preparação da certificação requer a implementação e adoção dos requisitos, políticas, procedimentos, controlos e práticas requeridas pela norma ISO 27001, ajustadas ao âmbito e à realidade tecnológica e organizacional de cada entidade que a resolva adotar e certificar-se.

Assim, o tempo de implementação do sistema, varia de acordo com a realidade, maturidade e dimensão de cada organização.

Consulte o roadmap típico de implementação de um SGSI aqui.

Qual o contributo que a Devoteam Cyber Trust pode dar no processo?

A Devoteam Cyber Trust detém consultores formados e certificados, nomeadamente como ISO 27001 Lead Auditors, preparados para prestar assessoria e consultoria no ato da preparação, implementação e adoção e migração da norma a qualquer entidade que esteja determinada a fazê-lo.

Para além da formação e certificações que os consultores da Devoteam Cyber Trust detêm, há que destacar que a certificação ISO 27001 da Integrity SA foi implementada e é operada pelos seus próprios consultores, fator de demonstração inequívoca de conhecimento e experiência no processo de preparação e certificação.

Acresce-se também que a Devoteam Cyber Trust tem vindo a ajudar os seus Clientes a implementar os seus SGSI sendo que em alguns desses casos os projetos de implementação já terminaram, tendo sido obtida a respetiva certificação formal pelos organismos de certificação.