A Organização Internacional de Padronização (ISO) é um órgão global que coleta e gerencia vários padrões para diferentes disciplinas. No mundo de hoje, com tantos setores agora dependentes da Internet e de redes digitais, cada vez mais ênfase está sendo colocada nas partes tecnológicas dos padrões ISO.
Em particular, o padrão ISO 27001 foi projetado para funcionar como uma estrutura para o sistema de gerenciamento de segurança da informação (ISMS) de uma organização. Isso inclui todas as políticas e processos relevantes para como os dados são controlados e usados. A ISO 27001 não exige ferramentas, soluções ou métodos específicos, mas em vez disso funciona como uma lista de verificação de conformidade. Neste artigo, veremos como funciona a certificação ISO 27001 e por que ela agregaria valor à sua organização.
Obtenha o essencial grátis Guia de conformidade e regulamentações de proteção de dados dos EUA
- Como se tornar certificado pelo ISO 27001
- Normas de conformidade com a ISO 27001
- Controles de auditoria de conformidade com a ISO 27001
- Como manter a conformidade com a ISO 27001
- Perguntas frequentes sobre conformidade com a ISO 27001 + recursos
Introdução à ISO 27001
A ISO lançou sua família de padrões pela primeira vez em 2005 e desde então tem fez atualizações periódicas nas várias políticas. Para a ISO 27001, as principais mudanças mais recentes foram introduzidas em 2013. A propriedade da ISO 27001 é na verdade compartilhada entre a ISO e a International Electrotechnical Commission (IEC), que é uma organização suíça que se concentra principalmente em sistemas eletrônicos.
O objetivo da ISO 27001 é fornecer uma estrutura de padrões sobre como uma organização moderna deve gerenciar suas informações e dados. O gerenciamento de risco é uma parte fundamental da ISO 27001, garantindo que uma empresa ou organização sem fins lucrativos entenda onde estão seus pontos fortes e fracos. A maturidade ISO é um sinal de uma organização segura e confiável, que pode ser confiável com dados.
Empresas de todos os tamanhos precisam reconhecer a importância da segurança cibernética, mas simplesmente configurar um grupo de segurança de TI dentro da organização não é o suficiente para garantir a integridade dos dados. Um ISMS é uma ferramenta crítica, especialmente para grupos que estão espalhados por vários locais ou países, pois abrange todos os processos de ponta a ponta relacionados à segurança.
Deve existir um ISMS (sistema de gerenciamento de segurança da informação) como um conjunto vivo de documentação dentro de uma organização para fins de gerenciamento de risco. Décadas atrás, as empresas imprimiam o SGSI e o distribuíam aos funcionários para sua conscientização. Hoje, um ISMS deve ser armazenado online em um local seguro, normalmente um sistema de gestão de conhecimento. Os funcionários precisam ser capazes de consultar o SGSI a qualquer momento e ser alertados quando uma mudança for implementada. Ao buscar a certificação ISO 27001, o ISMS é a peça principal do material de referência usado para determinar o nível de conformidade da sua organização.
A ISO 27001 pode servir como uma diretriz para qualquer grupo ou entidade que esteja procurando melhorar a segurança da informação métodos ou políticas. Para as organizações que buscam ser as melhores nessa área, a certificação ISO 27001 é o objetivo final. Conformidade total significa que seu ISMS foi considerado como seguindo todas as práticas recomendadas no domínio da cibersegurança para proteger sua organização de ameaças como ransomware.
Em certos setores que lidam com classificações de dados muito confidenciais, incluindo médicos e campos financeiros, a certificação ISO 27001 é um requisito para fornecedores e terceiros. Ferramentas como o Varonis Data Classification Engine podem ajudar a identificar esses conjuntos de dados críticos. Mas, independentemente do setor em que sua empresa se encontra, mostrar a conformidade com a ISO 27001 pode ser uma grande vitória. Especificamente, a certificação provará para clientes, governos e órgãos reguladores que sua organização é segura e confiável. Isso aumentará sua reputação no mercado e ajudará a evitar danos financeiros ou penalidades por violações de dados ou incidentes de segurança.
O que acontecerá se você não cumprir a ISO 27001? Se sua organização já recebeu uma certificação, você corre o risco de falhar em uma auditoria futura e perder sua designação de conformidade. Isso também pode impedi-lo de operar sua empresa em certas áreas geográficas.
Como se tornar certificado pela ISO 27001
Receber uma certificação ISO 27001 é normalmente um processo de vários anos que requer um envolvimento significativo das partes interessadas internas e externas. Não é tão simples quanto preencher uma lista de verificação e enviá-la para aprovação. Antes mesmo de considerar a inscrição para a certificação, você deve garantir que seu SGSI está totalmente maduro e cobre todas as áreas potenciais de risco de tecnologia.
O processo de certificação ISO 27001 é normalmente dividido em três fases:
- A organização contrata um organismo de certificação que conduz uma revisão básica do SGSI para procurar o principal formas de documentação.
- O organismo de certificação realiza uma auditoria mais aprofundada, onde componentes individuais da ISO 27001 são verificados em relação ao SGSI da organização. Devem ser apresentadas evidências de que as políticas e procedimentos estão sendo seguidos de forma adequada. O auditor líder é responsável por determinar se a certificação foi obtida ou não.
- Auditorias de acompanhamento são agendadas entre o organismo de certificação e a organização para garantir que a conformidade seja mantida sob controle.
Quais são os padrões ISO 27001?
Antes de embarcar em uma tentativa de certificação ISO 27001, todos os principais interessados em uma organização devem se familiarizar com a forma como o padrão é organizado e usado. A ISO 27001 está dividida em 12 seções separadas:
- Introdução – descreve o que é segurança da informação e por que uma organização deve gerenciar os riscos.
- Escopo – cobre os requisitos de alto nível para um ISMS para aplicar a todos os tipos ou organizações.
- Referências normativas – explica a relação entre os padrões ISO 27000 e 27001.
- Termos e definições – cobre a terminologia complexa que é usada dentro do padrão .
- Contexto da organização – explica quais partes interessadas devem estar envolvidas na criação e manutenção do SGSI.
- Liderança – descreve como os líderes dentro da organização devem se comprometer com as políticas e procedimentos do SGSI .
- Planejamento – cobre uma descrição de como o gerenciamento de riscos deve ser planejado em toda a organização.
- Suporte – descreve como aumentar a conscientização sobre a segurança da informação e atribuir responsabilidades.
- Operação – cobre como os riscos devem ser gerenciados e como a documentação deve ser deveria ser realizada para atender aos padrões de auditoria.
- Avaliação de desempenho – fornece orientações sobre como monitorar e medir o desempenho do SGSI.
- Melhoria – explica como o SGSI deve ser continuamente atualizado e aprimorado, especialmente após auditorias.
- Objetivos e controles de controle de referência – fornece um anexo detalhando os elementos individuais de uma auditoria.
O que são os controles de auditoria ISO 27001?
A documentação da ISO 27001 divide as práticas recomendadas em 14 controles separados. As auditorias de certificação cobrirão os controles de cada um durante as verificações de conformidade. Aqui está um breve resumo de cada parte do padrão e como isso se traduzirá em uma auditoria da vida real:
- Políticas de segurança da informação – cobre como as políticas devem ser escritas no SGSI e revisadas para conformidade . Os auditores estarão procurando ver como seus procedimentos são documentados e revisados regularmente.
- Organização de Segurança da Informação – descreve quais partes de uma organização devem ser responsáveis por quais tarefas e ações. Os auditores esperam ver um gráfico organizacional claro com responsabilidades de alto nível com base na função.
- Segurança de recursos humanos – cobre como os funcionários devem ser informados sobre a segurança cibernética ao iniciar, sair ou mudar de posição. Os auditores vão querer ver procedimentos claramente definidos para onboarding e offboarding quando se trata de segurança da informação.
- Gerenciamento de ativos – descreve os processos envolvidos no gerenciamento de ativos de dados e como eles devem ser protegidos e protegidos. Os auditores verificarão como sua organização controla o hardware, software e bancos de dados. As evidências devem incluir quaisquer ferramentas ou métodos comuns que você use para garantir a integridade dos dados.
- Controle de acesso – fornece orientação sobre como o acesso do funcionário deve ser limitado a diferentes tipos de dados. Os auditores precisarão receber uma explicação detalhada de como os privilégios de acesso são definidos e quem é responsável por mantê-los.
- Criptografia – cobre as melhores práticas de criptografia. Os auditores procurarão partes do seu sistema que lidam com dados confidenciais e o tipo de criptografia usado, como DES, RSA ou AES.
- Segurança física e ambiental – descreve os processos para proteger edifícios e equipamentos internos. Os auditores verificarão quaisquer vulnerabilidades no site físico, incluindo como o acesso é permitido a escritórios e centros de dados.
- Segurança de operações – fornece orientação sobre como coletar e armazenar dados com segurança, um processo que assumiu uma nova urgência graças à aprovação do Regulamento Geral de Proteção de Dados (GDPR) em 2018. Os auditores pedirão para ver evidências de fluxos de dados e explicações sobre onde as informações são armazenadas.
- Segurança de comunicações – cobre a segurança de todas as transmissões dentro rede de uma organização. Os auditores esperam ter uma visão geral de quais sistemas de comunicação são usados, como e-mail ou videoconferência, e como seus dados são mantidos em segurança.
- Aquisição, desenvolvimento e manutenção de sistemas – detalha os processos de gerenciamento de sistemas em um ambiente seguro. Os auditores querem evidências de que todos os novos sistemas introduzidos na organização são mantidos com altos padrões de segurança.
- Relações com fornecedores – aborda como uma organização deve interagir com terceiros enquanto garante a segurança. Os auditores revisarão todos os contratos com entidades externas que possam ter acesso a dados confidenciais.
- Gerenciamento de incidentes de segurança da informação – descreve as melhores práticas para responder às questões de segurança. Os auditores podem solicitar uma simulação de incêndio para ver como o gerenciamento de incidentes é tratado dentro da organização. É aqui que ter um software como o SIEM para detectar e categorizar o comportamento anormal do sistema se torna útil.
- Aspectos de segurança da informação do gerenciamento da continuidade dos negócios – cobre como as interrupções nos negócios e as principais mudanças devem ser tratadas. Os auditores podem representar uma série de interrupções teóricas e esperam que o SGSI cubra as etapas necessárias para se recuperar delas.
- Conformidade – identifica quais regulamentações governamentais ou do setor são relevantes para a organização, como ITAR. Os auditores vão querer ver evidências de conformidade total para qualquer área em que a empresa esteja operando.
Um erro que muitas organizações cometem é colocar todas as responsabilidades pela certificação ISO na equipe de TI local. Embora a tecnologia da informação esteja no centro da ISO 27001, os processos e procedimentos devem ser compartilhados por todas as partes da organização. Esse conceito está no cerne da ideia de fazer a transição de devops para devsecops.
Ao se preparar para uma auditoria de certificação ISO 27001, é recomendável que você busque a ajuda de um grupo externo com experiência em conformidade. Por exemplo, o grupo Varonis ganhou a certificação ISO 27001 completa e pode ajudar os candidatos a preparar as evidências necessárias para serem usadas durante as auditorias. A Varonis também oferece soluções de software como Datalert para ajudar a colocar o ISMS de uma organização em prática.
Dicas para manter a conformidade com a ISO 27001
Obter uma certificação ISO 27001 inicial é apenas o primeiro passo para estar em total conformidade. Manter os altos padrões e as melhores práticas costuma ser um desafio para as organizações, pois os funcionários tendem a perder sua diligência após a conclusão de uma auditoria. É responsabilidade da liderança garantir que isso não aconteça.
Dada a frequência com que novos funcionários ingressam em uma empresa, a organização deve realizar sessões de treinamento trimestrais para que todos os membros entendam o SGSI e como ele é usado. Os funcionários existentes também devem passar por um teste anual que reforça os objetivos fundamentais da ISO 27001.
Para permanecer em conformidade, as organizações devem conduzir suas próprias auditorias internas da ISO 27001 a cada três anos. Os especialistas em segurança cibernética recomendam fazê-lo anualmente, a fim de reforçar as práticas de gestão de risco e procurar lacunas ou deficiências. Produtos como o Datadvantage da Varonis podem ajudar a agilizar o processo de auditoria de uma perspectiva de dados.
Uma força-tarefa ISO 27001 deve ser formada com partes interessadas de toda a organização. Este grupo deve se reunir mensalmente para revisar quaisquer questões em aberto e considerar as atualizações da documentação do ISMS. Um resultado dessa força-tarefa deve ser uma lista de verificação de conformidade como a descrita aqui:
- Obtenha suporte de gerenciamento para todas as atividades da ISO 27001.
- Trate a conformidade com a ISO 27001 como um processo contínuo .
- Defina o escopo de como a ISO 27001 se aplicará a diferentes partes de sua organização.
- Escreva e atualize a política de SGSI, que descreve sua estratégia de segurança cibernética em alto nível.
- Defina a metodologia de avaliação de risco para capturar como os problemas serão identificados e tratados.
- Realize a avaliação e o tratamento de riscos regularmente assim que os problemas forem descobertos.
- Escreva uma declaração de aplicabilidade para determinar quais controles ISO 27001 são aplicáveis.
- Escreva um plano de tratamento de risco para que todas as partes interessadas saibam como as ameaças estão sendo mitigadas. Usar a modelagem de ameaças pode ajudar a realizar essa tarefa.
- Defina a medição dos controles para entender como as práticas recomendadas da ISO 27001 estão funcionando.
- Implementar todos os controles e procedimentos obrigatórios conforme descrito na ISO Padrão 27001.
- Implementar programas de treinamento e conscientização para todos os indivíduos em sua organização que têm acesso a ativos físicos ou digitais.
- Operar o SGSI como parte da rotina diária de sua organização.
- Monitore o ISMS para entender se ele está sendo usado de maneira eficaz.
- Execute auditorias internas para avaliar sua conformidade contínua.
- Revise os resultados da auditoria com a gerência.
- Defina ações corretivas ou preventivas quando necessário.
Guia rápido do ISO 27001: FAQ
O processo e o escopo da certificação ISO 27001 podem ser bastante assustadores, então vamos abordar algumas das perguntas mais comuns.
P: Quais são os requisitos da ISO 27001?
R: Para obter uma certificação ISO 27001, uma organização deve manter um ISMS que cubra todos os aspectos do padrão. Depois disso, eles podem solicitar uma auditoria completa de um organismo de certificação.
P: O que significa ser certificado pela ISO 27001?
R: Ser certificado pela ISO 27001 significa que você organização passou com sucesso na auditoria externa e atendeu a todos os critérios de conformidade. Isso significa que agora você pode anunciar sua conformidade para impulsionar sua reputação de segurança cibernética.
P: Qual é o padrão ISO 27001 mais recente?
R: O padrão mais recente é conhecido oficialmente como ISO / IEC 27001: 2013. Foi publicado em 2013 como a segunda edição oficial da ISO 27001. O padrão foi revisado e confirmado pela última vez em 2019, o que significa que nenhuma alteração foi necessária.
P: O ISO 27001 está em conformidade com o GDPR?
R: Como a ISO 27001 é principalmente uma estrutura para o desenvolvimento de um SGSI, ela não cobrirá todas as regras específicas do Regulamento Geral de Proteção de Dados (GDPR) instituído pela União Europeia. No entanto, quando combinada com a ISO 27701, que abrange o estabelecimento de um sistema de privacidade de dados, as organizações serão capazes de atender totalmente aos requisitos especificados no GDPR.
P: Quais são as principais semelhanças ou diferenças entre SOX e ISO 27001?
R: Enquanto a ISO 27001 cobre o gerenciamento geral de informações e dados, a Lei Sarbanes – Oxley (SOX) é específica para como as informações financeiras são divulgadas nos Estados Unidos. Felizmente para as empresas que têm um amplo escopo de gerenciamento de dados, obter a certificação ISO 27001 também ajudará a provar a conformidade com os padrões SOX.
P: Qual é o propósito de outra ISO?
R: A ISO mantém um conjunto completo de padrões que se enquadram na ISO 27001. Todos eles pegam conceitos da estrutura e mergulham em diretrizes mais específicas de como instituir as melhores práticas em uma organização.
Recursos
- Livro Verde sobre como a ISO 27001 pode reduzir o risco cibernético
- Webinar sobre como garantir uma auditoria ISO 27001 bem-sucedida
- Estudos de caso sobre conformidade com a ISO 27001
Não importa o tamanho da sua empresa ou o setor em que você trabalha, obter a certificação ISO 27001 pode ser uma grande vitória. No entanto, é uma tarefa desafiadora, por isso é importante aproveitar outras partes interessadas e recursos durante um projeto de conformidade. Com ferramentas como o Varonis Edge, você pode interromper ataques cibernéticos antes que eles atinjam sua rede, ao mesmo tempo que mostra evidências de sua conformidade com a ISO 27001.