Acompanhei todo o processo de revisão da ISO/ IEC 27001, desde seus estágios iniciais. E finalmente, depois de tão aguardada, ela foi publicada! Nesse artigo, te ajudo a sair do estágio de Padawan para se tornar ao menos um Jedi Knight neste assunto!
Eu já fiz uma tradução livre da Norma. E comento a seguir, seção por seção, o que mudou (e o que não mudou) e os impactos disso para as organizações que já usam a ISO/ IEC 27001:2013. Classifiquei os impactos em 4 categorias:
NENHUM:- não há ações a tomar
BAIXO: Convém que a Organização avalie a necessidade de ajustes.
MÉDIO: A Organização deve realizar alguns ajustes no sistema de gestão ou melhorar alguma abordagem.
ALTO: O Organização precisa implementar algo novo ou mudar completamente a abordagem.
Título da Norma
Mudança interessante, refletindo a evolução tecnológica e a abrangência dos temas associados à segurança.
Como era: "Tecnologia da informação - técnicas de segurança - sistemas de gestão da segurança da informação".
Como ficou: "Segurança da informação, segurança cibernética e proteção da privacidade — Sistemas de gestão da segurança da informação — Requisitos".
Impacto: nenhum
0. Introdução
Não houve alteração.
1. Introdução
Não houve alteração.
2. Referências normativas
Não houve alteração.
3. Termos e definições
Foram acrescentados os weblinks para os dicionários on line da ISO e da IEC.
Impacto: nenhum
4. Contexto da Organização
4.1 Entendendo a Organização e seu contexto
Foi atualizada a referência para a ISO 31000:2018
Impacto: Nenhum
4.2 Entendendo as necessidades e expectativas das partes interessadas
Foi acrescentada uma alínea "c)" para que a organização, ao determinar os requisitos relevantes das partes interessadas, determine quais desses requisitos serão abordados no SGSI
Impacto: MÉDIO - muitas organizações atendem pro forma a este requisito; a revisão deixa claro que os requisitos das partes interessadas orientam a construção do SGSI, desde a determinação do seu escopo, e agora existe a necessidade de explicitar os requisitos das partes interessadas que serão atendidos (muitas organizações não faziam isso). Se a sua organização já abordava 4.2 desta forma, nenhuma mudança será necessária.
4.3 Escopo
Não houve alteração.
4.4 Sistema de gestão de segurança da informação
Não houve alteração.
5 Liderança
5.1 Comprometimento da Alta Direção
Foi acrescentada uma nota explicativa: "A referência a “negócios” neste documento pode ser interpretada de forma ampla para significar aquelas atividades que são essenciais para os propósitos da existência da organização".
Impacto: NENHUM.
5.2 Política
Não houve alteração.
5.3. Papéis, responsabilidades e autoridades organizacionais
Não houve alteração.
6 Planejamento
6.1 Ações para abordar riscos e oportunidades
6.1.1 Generalidades
Não houve alteração.
6.1.2 Avaliação dos riscos de segurança da informação
Não houve alteração.
6.1.3 Tratamento dos riscos de segurança da informação
Foi alterada a primeira parte da nota 2: como era: "O Anexo A contém uma lista detalhada dos controles e dos objetivos de controle"; como ficou: "O Anexo A contém uma lista de possíveis controles de segurança da informação", na intenção de deixar claro que cabe à organização avaliar a aplicabilidade de acordo com o seu escopo e riscos avaliados.
Impacto: BAIXO. A nota apenas esclarece um conceito que já era interpretado desta forma na implementação do SGSI. No entanto, organizações que não fazem uma relação clara entre os controles escolhidos e os riscos de SI identificados, poderão ter que fazer ajustes na sua abordagem.
Foi excluída a primeira sentença da Nota 3 ("Os objetivos de controle estão implicitamente incluídos nos controles escolhidos"). Na segunda parte da nota, o termo "objetivos de controle" foi excluído.
Impacto: NENHUM.
6.2 Objetivos de segurança da informação e planejamento para alcançá-los
Houve reorganização das alíneas de a) até g), onde foi incluída exigência de que os objetivos sejam monitorados (alínea "d)").
Impacto: BAIXO - já era uma interpretação razoável de que os objetivos deveriam ser monitorados, pois já havia uma exigência na versão anterior (e mantida na versão nova) em 9.3, de que a análise crítica pela direção deveria considerar "d) realimentação sobre o desempenho da segurança da informação, incluindo tendências no: 4) cumprimento dos objetivos de segurança da informação". Isso toma forma, na prática, em indicadores estratégicos de segurança da informação. No entanto, algumas organizações interpretam o requisito 6.2 equivocadamente, e não possuem indicadores mensuráveis relacionados aos objetivos de segurança.
6.3 Planejamento de mudanças
Cláusula totalmente nova, incluída para manter o alinhamento com outras normas ISO de gestão que possuem esta mesma cláusula. Basicamente ela declara que "mudanças no SGSI devem ser conduzidas de maneira planejada".
Impacto: BAIXO- embora como cláusula a "gestão de mudanças" seja algo novo, na prática as empresas que atendem à ISO/ IEC 27001:2013 já tratavam mudanças de forma integrada em seu sistema de gestão, por causa da cláusula 8.1 e de pelo menos 3 controles do antigo Anexo A: A.6.1.5 Segurança da informação no gerenciamento de projetos; A.12.1.2 Gestão de mudanças; e A.14.2.2 Procedimentos para controle de mudanças de sistemas. Talvez seja necessário, para algumas Organizações, pequenos ajustes na abordagem para deixar claro que a gestão de mudanças se aplica a qualquer aspecto relevante no SGSI.
7. Apoio
7.1 Recursos
Não houve alteração.
7.2 Competência
Não houve alteração.
7.3 Conscientização
Não houve alteração.
7.4 Comunicação
A alínea c) mudou de "quem deve comunicar" para "como comunicar"; a alínea e) "o processo pelo qual a comunicação será realizada" foi excluída.
Impacto: NENHUM. Na prática o "como comunicar" substitui a forma como a cláusula estava escrita anteriormente.
7.5. Informação documentada
7.5.1 Generalidades
Não houve alteração.
7.5.2 Criando e atualizando
Não houve alteração.
7.5.3 Controle de informação documentada
Não houve alteração.
8. Operação
8.1 Planejamento e controle operacional
O texto da cláusula foi revisado para melhorar alinhamento com outras normas, porém sem acréscimo de requisitos ou alteração da intenção dos requisitos declarados na versão anterior da Norma. A referência a "critérios de aceitação para os processos" e "implementação de controle de processos de acordo com os critérios" é uma herança direta da ISO 9001 e são conceitos básicos de gestão da qualidade (recomendo a qualquer profissional de TI e SI que faça um curso básico sobre gestão da qualidade).
O último parágrafo da cláusula, que se refere a processos providos externamente, teve seu texto alterado de "A organização deve assegurar que processos terceirizados sejam determinados e controlados" para "A Organização deve assegurar que processos, produtos e serviços providos externamente e que são relevantes para o SGSI sejam controlados".
Impacto: BAIXO - é esperado que estes conceitos já sejam implementados no SGSI. Mas, caso não estejam, é recomendado que os processos mais diretamente envolvidos no sistema de gestão sejam mapeados e documentados com a intenção de deixar claro como estes processos são planejados e controlados. No caso de processos, produtos e serviços providos externamente e que são relevantes para o SGSI, é esperado que essa abordagem já estivesse resolvida mesmo na versão anterior da Norma, através de controles do anexo A como o A.13.2.4 e todo o grupo A.15, só para citar dois exemplos. A intenção aqui é deixar mais explícita a ligação entre a segurança da informação e os processos de aquisição e gestão de contratos com fornecedores.
8.2 Avaliação de riscos de segurança da informação
Não houve alteração.
8.3 Tratamentos dos riscos de segurança da informação
Não houve alteração.
9. Avaliação do desempenho
9.1 Monitoramento, medição, análise e avaliação
A primeira sentença da cláusula foi transferida para o último parágrafo ("A Organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão de segurança da informação").
A nota explicativa da alínea b) da versão anterior da norma foi incorporada ao texto da alínea na nova Norma, tornando-se um requisito ("os métodos selecionados devem produzir resultados comparáveis e reproduzíveis para serem considerados válidos").
Foi alterado levemente o texto do penúltimo parágrafo (sem alteração de sentido - de "A organização deve reter informação documentada apropriada como evidência dos resultados de monitoramento e medição" para "Informação documentada deve estar disponível como evidência dos resultados").
Impacto: NENHUM.
9.2 Auditoria interna
O texto foi reorganizado em 2 subcláusulas (9.2.1 Generalidades e 9.2.2 Programa de auditoria interna), porém sem alteração do sentido ou qualquer nova exigência.
Impacto: NENHUM.
9.3 Análise crítica pela direção
O texto foi reorganizado em 3 subcláusulas (9.3.1 Generalidades; 9.3.2 Entradas para a análise crítica; 9.3.3 Saídas da análise crítica), para deixar claro o processo de análise crítica e seus resultados esperados.
Em 9.3.1, foi incluída uma nova alínea c), para considerar mudanças nas necessidades e expectativas das partes interessadas como uma entrada para a análise crítica.
Impacto: BAIXO - Já era esperado que as mudanças nas necessidades e expectativas das partes interessadas fossem consideradas parte do conjunto amplo de mudanças que podem ocorrer no contexto da organização. No entanto, pode ser que algumas organizações ainda não tenham entendido que todo o SGSI é construído em torno do atendimento das necessidades das partes interessadas e dos riscos de SI, de acordo com o seu escopo. Isso pode requerer algum ajuste de abordagem.
10 Melhoria
A ordem das subcláusulas foi trocada, sendo agora 10.1 melhoria contínua e 10.2 Não conformidade e ação corretiva. Não houve alteração de conteúdo.
Anexo A
O Anexo A merece uma atenção particular, pois foi totalmente reformulado para refletir a atualização tecnológica e uma abordagem mais compreensiva dos domínios de segurança. Essa mudança pode ser vista desde fevereiro, na Norma ISO/ IEC 27001:2022.
Anteriormente havia 14 grupos de controle (do A.5 até o A.18). Agora temos 4 grupos de controle.
O número total de controles caiu de 114 para 93. Isso não significa, em absoluto, que as exigências tornaram-se menores; ao contrário, vários controles foram agrupados em um único controle e controles totalmente novos foram introduzidos, como o "5.7 Inteligência contra ameaças", o "5.23 Segurança da informação no uso de serviços em nuvem" e o "8.21 Prevenção contra vazamento de dados". No total, 11 novos controles foram introduzidos.
É importante lembrar que, diferente da ISO/ IEC 27002, a ISO/ IEC 27001 NÃO apresenta diretrizes para implementação dos controles, mas apenas a sua descrição conceitual. Isso significa que uma Organização que queira implementar e certificar na ISO/ IEC 27001 NÃO PRECISA implementar essas diretrizes. Muitas delas remetem ao estado da arte, e a ISO/ IEC 27001 requer apenas o mínimo necessário de uma Organização, de acordo com o seu porte, contexto, riscos e escopo. Em outras palavras: A ISO/ IEC 27002 é PRESCRITIVA. A ISO/ IEC 27001, não - e isso dá às organizações mais liberdade para suas abordagens.
Gravei um vídeo sobre as mudanças da ISO/ IEC 27002:2022, que traz mais detalhes sobre a nova estrutura do Anexo A. Você pode assistir este vídeo AQUI.
Impacto: ALTO - No mínimo, as Organizações deverão revisar por completo suas Declarações de Aplicabilidade, considerando os novos controles introduzidos. Lembrando que os controles devem estar associados aos riscos de segurança da informação identificados, avaliados e tratados pela Organização.
CONCLUSÃO:
No geral, as mudanças nos REQUISITOS DE GESTÃO da ISO/ IEC 27001 não trouxeram grandes modificações. No entanto, fica ainda mais claro que o SGSI deve ser planejado, construído e implementado levando-se em conta alguns pontos-chave:
CONTEXTO IMPORTA: o ambiente de negócios e as partes interessadas devem ser monitorados frequentemente - pois as mudanças nas questões internas, nas questões externas e nas necessidades das partes interessadas acontecem O TEMPO TODO.
REFORCE A GESTÃO DE RISCOS DE SI: ela é a BASE para a seleção (escolha) e implementação dos controles do Anexo A. Em tese, não devem existir controles não atrelados a riscos existentes (ainda que os riscos sejam baixos, ou que os planos de tratamento de riscos já tenham sido concluídos).
TENHA BONS OBJETIVOS E INDICADORES: Um bom conjunto de objetivos de segurança da informação e respectivos indicadores, monitorados no nível da Alta Direção, trará dados e fatos para demonstrar para a própria Organização e outras partes interessadas, que a sua gestão de SI é eficaz. Dica: parta da tríade (CID - confidencialidade, integridade e disponibilidade)
REVISE O MODELO DA DECLARAÇÃO DE APLICABILIDADE: será necessário revisar o modelo da D.A. para refletir os novos controles. Neste sentido, a ISO/ IEC 27002 pode ajudar, pois possui uma tabela comparativa dos controles da ISO/ IEC 27002:2013 com os da ISO/ IEC 27002:2022, facilitando um trabalho de "De/ Para". Em breve escreverei sobre isso também.
SE APLICÁVEL, IMPLEMENTE OS NOVOS CONTROLES: com base nos riscos existentes, no escopo e nos requisitos das partes interessadas, avalie os 11 novos controles e se são aplicáveis ao contexto da sua Organização. Caso positivo, planeje e implemente estes controles, como parte do tratamento dos riscos de segurança.
Espero que tenha gostado deste artigo. Compartilhe, e continue lendo e assistindo nossos conteúdos. Aproveite e assine nosso canal no Youtube AQUI.
Sobre a transição para a nova Norma, tratarei disso em um artigo específico.
E se precisar de treinamentos, consultoria e auditoria na ISO/ IEC 27001, chame a gente!
Que a Força esteja com vocês!
