As organizações enfrentam vários desafios de segurança cibernética, como ataques cibernéticos e violações de segurança contínuas que comprometem a integridade, confidencialidade e disponibilidade de seus ativos digitais. Por isso, é crucial que as organizações adotem uma atitude proativa e vigilante para garantir a continuidade e segurança de suas operações no ciberespaço. Desta forma, a norma ISO 27032:2023 Cybersecurity– Guidelines for Internet Security intervém e sua atualização será abordada neste artigo.
Desafios da segurança cibernética: um guia para a segurança digital
No contexto atual, onde a segurança digital é uma prioridade fundamental, está envolvida a ISO 27032:2023 Cibersegurança – Diretrizes para Segurança na Internet, que se destaca como um guia para enfrentar os desafios nesta área. Esta norma se concentra na relação entre segurança na Internet, segurança na web, segurança de rede e segurança cibernética em geral.
O que é a ISO 27032:2023?
A nova versão desta norma, sucessora da última atualização feita há 12 anos, amplia os termos e princípios relacionados à segurança cibernética e segurança na Internet. Desde a definição de funções e responsabilidades até o gerenciamento de riscos e a resposta a incidentes cibernéticos. O regulamento destaca a importância da colaboração entre todas as partes envolvidas. Além disso, enfatiza-se a necessidade de alinhar as práticas de segurança com as últimas tendências e tecnologias emergentes, como inteligência artificial (IA) e Internet das Coisas (IoT).
A norma promove a adoção e implementação de tecnologias avançadas, ferramentas de segurança e políticas eficazes, todas apoiadas por uma abordagem proativa de treinamento e conscientização da equipe. Juntas, essas medidas e controles ajudam as organizações a fortalecer suas defesas e a se prepararem melhor para proteger seus ativos digitais.
Áreas de Foco da ISO 27032:2023
- Problemas de segurança na Internet:
• Aborda ataques de engenharia social.
• Mitigação de ataques de dia zero.
• Proteja-se contra violações de privacidade.
• Combater hackers e proliferação de malware. - Controles:
• Preparação para ataques.
• Prevenção de ataques.
• Detecção e monitoramento de ataques.
• Resposta a ataques. - Boas práticas:
• Implementar boas práticas de segurança na Internet para melhorar a resiliência e a eficácia dentro das organizações.
Mapeamento entre controles para segurança na Internet
A norma foi reestruturada, para melhorar sua compressão, incluindo um mapeamento entre os controles ISO 27032:2023 e ISO/IEC 27002:2022 que é apresentado abaixo na tabela abaixo:
| ISO/IEC 27032:2023 | ISOI/IEC 27002:2022 |
|---|---|
| 9.2.2 Políticas de seguridad en Internet | 5.1 Políticas de seguridad de la información 5.4 Responsabilidades de gestión |
| 9.2.3 Control de acceso | 5.15 Control de acceso 5.16 Gestión de identidad 5.18 Derechos de acceso 8.2 Derechos de acceso privilegiado 8.18 Uso de programas de utilidad privilegiados |
| 9.2.4 Educación, sensibilización y formación | 6.3 Concientización, educación y capacitación sobre seguridad de la información |
| 9.2.5 Gestión de incidentes de seguridad | 5.7 Inteligencia sobre amenazas 5.24 Planificación y preparación de la gestión de incidentes de seguridad de la información 5.25 Evaluación y decisión sobre eventos de seguridad de la información 5.26 Respuesta a incidentes de seguridad de la información 5.27 Aprender de los incidentes de seguridad de la información 5.28 Recolección de pruebas 6.8 Notificación de eventos de seguridad de la información |
| 9.2.6 Gestión de activos | 5.9 Inventario de información y otros activos asociados 5.10 Uso aceptable de la información y otros activos asociados 5.11 Devolución de activos 5.12 Clasificación de la información |
| 9.2.7 Gestión de proveedores | 5.19 Seguridad de la información en las relaciones con proveedores 5.20 Abordar la seguridad de la información en los acuerdos con proveedores 5.21 Gestión de la seguridad de la información en la cadena de suministro de TIC 5.22 Seguimiento, revisión y gestión de cambios de los servicios de proveedores 5.23 Seguridad de la información para el uso de servicios en la nube |
| 9.2.8 Continuidad del negocio a través de Internet | 5.29 Seguridad de la información durante la interrupción 5.30 Preparación de las TIC para la continuidad del negocio 8.13 Copia de seguridad de la información 8.14 Redundancia de las instalaciones de procesamiento de información |
| 9.2.9 Protección de la privacidad en Internet | 5.34 Privacidad y protección de la PII 8.11 Enmascaramiento de datos |
| 9.2.10 Gestión de vulnerabilidades | 8.8 Gestión de vulnerabilidades técnicas 8.9 Gestión de configuración 8.19 Instalación de software en sistemas operativos |
| 9.2.11 Gestión de red | 8.16 Actividades de seguimiento 8.20 Seguridad de redes 8.21 Seguridad de los servicios de red 8.22 Segregación de redes |
| 9.2.12 Protección contra malware | 8.7 Protección contra malware |
| 9.2.13 Gestión de cambios | 8.32 Gestión de cambios |
| 9.2.14 Identificación de la legislación aplicable y requisitos de cumplimiento | 5.28 Recolección de pruebas 5.31 Requisitos legales, estatutarios, reglamentarios y contractuales 5.33 Protección de registros |
| 9.2.15 Uso de criptografía | 8.24 Uso de criptografía |
| 9.2.16 Seguridad de aplicaciones para Internet | 8.23 Filtrado web 8.24 Uso de criptografía 8.25 Ciclo de vida de desarrollo seguro 8.26 Requisitos de seguridad de la aplicación 8.27 Principios de ingeniería y arquitectura de sistemas seguros 8.28 Codificación segura 8.29 Pruebas de seguridad en desarrollo y aceptación. |
| 9.2.17 Gestión de dispositivos terminales | 8.1 Dispositivos terminales de usuario 8.9 Gestión de configuración |
| 9.2.18 Monitoreo | 8.15 Registro 8.16 Actividades de seguimiento |
Em conclusão, a ISO 27032:2023 desempenha um papel fundamental no fortalecimento da segurança na internet, fornecendo diretrizes claras e atualizadas, tornando-se uma ferramenta inestimável para as organizações.
