As principais mudanças da atualização da norma ISO 27002:2022

Em 16 de fevereiro de 2022, a ISO (International Organization for Standardization) publicou a atualização da ISO 27002, norma concebida para ser utilizada pelas organizações como referência para a seleção de controlos dentro do processo de implementação de um Sistema de Gestão de Segurança da Informação (SGSI) com base na norma certificável ISO/IEC 27001.

A publicação de 2022 é a terceira versão da norma ISO 27002, que teve a sua primeira versão em 2005 e a segunda em 2013, estabelecendo-se assim um ciclo de atualização de versões a cada 8/9 anos. Atualmente, encontra-se disponível apenas em inglês.

A nova versão da norma ISO 27002 tem a seguinte estrutura:

Introdução: contextualiza o valor da informação para as organizações, como é alcançada a segurança da informação através da implementação de um conjunto de controlos de segurança, os requisitos de segurança da informação que uma organização deve determinar, a determinação de controlos para proteger a informação, considerações do ciclo de vida da informação (desde a sua criação até à sua eliminação) e a relação desta norma com outras normas (especialmente da família ISO/IEC 2700).

• Cláusula 1 – Âmbito: indica que este documento foi concebido para que as organizações o utilizem como referência para a seleção de controlos no processo de implementação de um Sistema de Gestão da Segurança da Informação (SGSI) baseado na norma ISO/IEC 27001.
• Cláusula 2 – Referências normativas: não existem referências normativas nesta norma.
• Cláusula 3 – Termos, definições e termos abreviados: relaciona um conjunto de termos, definições e abreviaturas que se aplicam no contexto desta norma.
• Cláusula 4 – Estrutura do documento: determina as cláusulas, temas e atributos, e o design da estrutura de cada controlo incluído na norma.
• Cláusulas 5 a 8: estabelece o nome do controlo, a tabela de atributos, o propósito, o guia de implementação e outras informações (se aplicável) para os controlos de segurança:
• Organizacionais (Cláusula 5).
• Pessoas (Cláusula 6).
• Físicos (Cláusula 7).
• Tecnológicos (Cláusula 8).
• Anexo A: Este anexo fornece uma tabela para demonstrar a utilização dos atributos como forma de criar diferentes visualizações dos controlos.
• Anexo B: Correspondência entre ISO/IEC 27002:2022 com ISO/IEC 27002:2013
• Bibliografia: Relação de outras normas e documentos utilizados nesta norma.

A seguir, um resumo das principais mudanças da norma ISO27001:2022 face à versão anterior:

1. Alteração no nome da norma: O termo “Código de práticas” foi removido do nome da nova norma ISO 27002. O seu nome atual é “Segurança da informação, cibersegurança e proteção da privacidade – Controles de segurança da informação”, o que reflete um contexto mais amplo e que agora inclui a prevenção, deteção e resposta a ciberataques, bem como a proteção dos dados.
2. Mudança no nome da norma: Foi eliminado o termo Código de práticas do nome da nova norma ISO 27002. O seu nome atual é Segurança da informação, cibersegurança e proteção da privacidade – Controlos de segurança da informação, o que reflete um contexto mais amplo e que agora inclui a prevenção, deteção e resposta a ciberataques, bem como a proteção dos dados.

• Controlos Organizacionais: 37 controlos
• Controlos de Pessoas: 8 controlos
• Controlos Físicos: 14 controlos
• Controlos Tecnológicos: 34 controlos

Dos 93 controlos atuais:

• 58 foram atualizados
• 24 representam a fusão de controlos anteriores
• 11 foram introduzidos como novos controlos

Esta nova abordagem também implica o desaparecimento do conceito “objetivo de controlo”, embora inclua um atributo que permite a classificação específica do controlo numa ou mais de 15 categorias estabelecidas, conforme indicado na secção seguinte.

3. Estrutura de atributos de controlos: cada um dos 93 controlos contém uma estrutura de atributos particular que determina:

• Tipo de controlo: atributo para ver os controlos da perspetiva de quando e como o controlo modifica o risco relativamente à ocorrência de um incidente de segurança da informação, identificando se é Preventivo, Detetivo ou Corretivo.
• Propriedades de segurança da informação: atributo para ver os controlos da perspetiva de que características da informação o controlo contribuirá para preservar: Confidencialidade, Integridade ou Disponibilidade.
• Conceitos de Cibersegurança: atributo para ver os controlos da perspetiva da associação dos controlos aos conceitos de cibersegurança definidos no âmbito de cibersegurança descrito na ISO/IEC TS 27110 e utilizado noutros âmbitos de trabalho como o NIST-Cibersecurity Framework: Identificar, Proteger, Detetar, Responder, Recuperar.
• Capacidades Operacionais: atributo para ver os controlos da perspetiva do profissional das capacidades de segurança da informação. Os valores deste atributo são:
  • Governança,
  • Gestão de ativos,
  • Proteção da informação,
  • Segurança dos recursos humanos,
  • Segurança física,
  • Segurança de sistemas e redes,
  • Segurança das aplicações,
  • Configuração segura,
  • Gestão da identidade e do acesso,
  • Gestão de ameaças e vulnerabilidades,
  • Continuidade,
  • Segurança das relações com os fornecedores,
  • Cumprimento legal,
  • Gestão de eventos de segurança da informação
  • Garantia da informação
• Domínios de Segurança: atributo que permite ver os controlos da perspetiva de quatro domínios de segurança da informação: Governança e ecossistema, Proteção, Defesa, Resiliência

Exemplo

A seguir, apresenta-se um exemplo da atribuição de etiquetas aos atributos dos controlos, tomando como referência um dos novos controlos tecnológicos incluídos nesta versão:

8.23 Filtragem Web

Controlo

O acesso a sítios web externos deve ser gerido para reduzir a exposição a conteúdos maliciosos.

Propósito

Proteger os sistemas de serem comprometidos por malware e evitar o acesso a recursos web não autorizados.

Guia

A organização deve reduzir os riscos de o seu pessoal aceder a sítios web que contenham informações ilegais ou que se saiba que contêm vírus ou material de phishing. Uma técnica para conseguir isto funciona bloqueando o endereço IP ou o domínio do sítio web em questão. Alguns navegadores e tecnologias antimalware fazem isto automaticamente ou podem ser configurados para o fazer…[1]

[1] Tradução Não Oficial

Devido ao facto de a norma ISO 27001, cuja versão em vigor ainda é a do ano de 2013, ter um Anexo A que faz referência a 114 controlos de segurança detalhados na ISO 27002:2013, e tendo em conta a publicação da nova versão da ISO 27002:2022, prevê-se que o Anexo A da norma ISO 27001 se alinhe com estas novas mudanças e, portanto, a atualização do Anexo A da ISO 27001 ocorrerá em algum momento durante o presente ano.

Quando este evento ocorrer, as organizações certificadas na ISO 27001:2013 que desejem conservar a sua certificação tendo em conta o novo Anexo, deverão ter em conta o seguinte:

• Atualizar o seu processo de tratamento de riscos, considerando os novos controlos
• Atualizar a sua declaração de aplicabilidade
• Adaptar algumas secções das suas políticas e procedimentos existentes.
• Adaptar algumas métricas e indicadores de segurança

As organizações que não atualizarem o seu SGSI, considerando as mudanças do Anexo A, poderão ver a sua certificação revogada.

Para realizar essa atualização, as organizações dispõem de um período de transição que normalmente é de 2 anos a partir da data oficial da atualização