ISO 27001: Quais são os principais controles que esta norma possui?

A ISO 27001 é uma norma internacional que foi desenvolvida pela International Organization for Standardization (ISO) e tem como objetivo fornecer um modelo de gestão de Segurança da Informação para as organizações. A primeira versão como um padrão certificável foi publicada em 2005.Os padrões orientados à segurança da informação estabelecem um conjunto de melhores práticas que ajudam as organizações a proteger e gerenciar seus sistemas de informação contra riscos e ameaças, tanto intencionais quanto acidentais. Essas normas são certificáveis, o que permite demonstrar a terceiros que a correta gestão da segurança da informação é realizada na organização.

O conceito de controle em 27001 refere-se às medidas de segurança que devemos aplicar para mitigar possíveis riscos aos quais a organização possa estar exposta. Em geral, os controles são geralmente classificados como:

• Preventivos, são os controles que reduzem a probabilidade de ocorrência de uma ameaça.
• Corretivos, os controles que atuam para mitigar o impacto real de uma ameaça, uma vez que ela tenha ocorrido.

O objetivo dos controles de segurança implementados em uma organização é garantir em todos os momentos a Confidencialidade, Integridade e Disponibilidade das informações hospedadas em seus sistemas, contra qualquer tipo de evento adverso que possa afetá-la negativamente.

Um exemplo de controle preventivo é ter um antivírus ou antimalware, pois ele detectará e interceptará qualquer tipo de software malicioso que possa atingir nossos sistemas, ou seja, reduz a probabilidade de entrada de malware. No entanto, esse tipo de programa não é perfeito, e é possível projetar malwares que, por não serem identificados previamente, conseguem passar despercebidos pela detecção, o que pode causar um impacto de perda e destruição de informações, como no caso do ransomware.

Por isso, e atuando de forma complementar, devemos também ter controles corretivos, como neste caso ter um “backup” dos dados, que nos permitiria recuperar as informações danificadas ou excluídas, tanto no caso de um ataque intencional de malware, quanto em um evento acidental, que danifica os computadores e sistemas que contêm informações dentro da organização.

Outros tipos de controles visam manter a disponibilidade de nossos sistemas, por meio da redundância dos elementos e equipamentos mais críticos para o negócio, por exemplo, duplicando linhas de comunicação com diferentes fornecedores, ou tendo equipamentos para processamento em diferentes locais ou centros de processamento de dados, e que nos permitem responder às necessidades da organização. tanto diante de incidentes quanto de situações de aumento da demanda.

Atenção especial é exigida pelos controles vinculados ao acesso aos sistemas de informação, tanto para o pessoal da empresa quanto para terceiros que, temporariamente, necessitem de acesso a eles, neste caso é importante revisar periodicamente tanto as pessoas que os acessam quanto os privilégios concedidos em cada caso, para detectar diferenças que possam representar um problema de segurança.

Na ISO 27001, os controles são definidos no Anexo A. Na versão 2013 da norma, existem 114 agrupados em 14 domínios, que abrangem as áreas de Política de Segurança, Organização de Segurança, Segurança de RH, Gestão de Ativos, Controle de Acesso, Criptografia, Segurança Física, Segurança de Operações, Segurança de Comunicações, Aquisição, Desenvolvimento e Manutenção de Sistemas, Relações com Fornecedores, Gestão de Incidentes, Continuidade e conformidade.

Na nova versão da ISO 27001, publicada em maio de 2022, esses controles foram reorganizados dentro do Anexo A em quatro grupos, que são,

• Controles organizacionais.
• Controles de pessoas.
• Controles físicos.
• Controles tecnológicos.

O Anexo A é, portanto, um conjunto de boas práticas focadas em fornecer orientações sobre quais elementos e controles de segurança devem ser efetivamente focados para evitar que as ameaças tenham um impacto significativo nas infraestruturas e sistemas de gerenciamento de informações de uma empresa.

A ISO 27002 nos fornece uma série de boas práticas para a implementação dos controles do Anexo A da ISO 27001.

Uma vez que uma organização implementa um conjunto de controles de segurança, eles devem ser mantidos e gerenciados para alcançar a melhoria contínua em sua eficácia, para o qual é recomendável estabelecer critérios e métricas que forneçam informações sobre seu nível de desempenho de maturidade.

Obviamente, o melhor indicador do bom funcionamento dos controles é ver que os incidentes são reduzidos, tanto em probabilidade, entendida como uma redução na frequência de eventos adversos, quanto no impacto destes no caso de sua ocorrência.

A implementação de um Sistema de Gestão de Segurança da Informação (SGSI) e o cumprimento dos controles estabelecidos na norma ISO 27001 são essenciais para proteger as informações tratadas por uma organização. Nesse sentido, o GlobalSuite® é uma plataforma que fornece uma solução completa para a implementação e gerenciamento do SGSI e ajuda as organizações a gerenciar com mais eficiência os controles de segurança em vigor.

Entre em contato conosco e descubra como nosso software GRC com módulo ISO 27001 pode ajudar sua organização a cumprir os controles estabelecidos, proteger suas informações e melhorar a segurança das informações da empresa!