ISO/IEC 27002:2022. Já conhece a versão mais recente?

Por Diogo Pereira, Senior Consultant na S21sec em Portugal

A “ISO/IEC 27002:2022 Controlos de segurança de informação” que define um conjunto controlos que refletem as melhores práticas ao nível da segurança da informação sofreu uma nova revisão a 15 de fevereiro de 2022, que introduz alterações nos controlos e na forma como se organizam.

Esta norma, a ISO/IEC 27002, não é certificável isoladamente, mas sim um requisito para a certificação na norma ISO/IEC 27001 – Sistema de Gestão de Segurança da Informação.

Assim, na norma ISO/IEC 27001, de uma forma muito simplificada, temos a definição dos requisitos que asseguram o ciclo PDCA (Plan-Do-Check-Act), típico das normas ISO, que visa a melhoria continua, a definição do âmbito da certificação, é possível definir âmbitos específicos para a certificação (ex. apenas um determinado serviço) e temos o SOA (Statement of Applicability) ou declaração de aplicabilidade, onde são definidos quais os controlos da norma ISO/IEC 27002 que são aplicáveis. A nova versão é uma atualização da versão de 2013 e este novo patch traz uma nova abordagem aos controlos, por via de uma nova estrutura dos controlos e das suas cláusulas, em que passamos de uma abordagem por domínios para uma abordagem por capacidades operacionais. Apesar de, aparentemente, ter havido uma redução dos controlos de 114 para 93, na prática temos mais controlos, uma vez que houve um processo de agrupar alguns controlos existentes e simultaneamente foram adicionados novos controlos. Os controlos, de uma forma muito genérica, são as medidas que as organizações podem (ou devem) implementar para mitigar os riscos, mesmo que não tencionem obter certificação.

Em segurança da informação os controlos visam assegurar a preservação 3 características fundamentais da informação.

  • Confidencialidade: A informação é acessível de acordo com os níveis de autorização definidos.
  • Integridade: A informação é confiável, autêntica, correta e fidedigna
  • Disponibilidade: A informação está acessível, para os utilizadores autorizados, quando necessária.

No contexto atual, sendo a informação um dos ativos mais importantes das organizações, a implementação dos controlos definidos por esta norma é sempre uma mais-valia para qualquer organização. É importante ter em consideração que a identificação das ações adequadas a desenvolver devem ter em consideração a maturidade e contexto da organização, pois a implementação de controlos de segurança de informação, com base neste referencial, ou outro, é um requisito para qualquer organização numa época caracterizada pela transformação digital e pelo cibercrime.

Este update não pretende revolucionar, mas antes adicionar um conjunto de atributos que tornam a abordagem dos controlos mais atual e facilitam a ligação com outros referenciais ou normativos, que é evidente com a inclusão de conceitos de cibersegurança como Identificar/Proteger/Detetar/Responder/Recuperar que é o ciclo de referência no NIST e no QNRCS (Quadro Nacional de Referência de Cibersegurança)

Como a nova abordagem é por capacidades operacionais, podemos priorizar algumas capacidades em detrimento de outras. Por exemplo: numa primeira fase implementar os controlos relacionados com o modelo de governo e a gestão de ativos.

É interessante a segregação existente da lista de controlos da ISO/IEC 27002 da norma certificável, pois oferece um instrumento de cariz mais operacional que permite por um lado utilizar isoladamente na implementação de controlos, como referência de boas práticas, e por outro ter maior agilidade na atualização dos controlos. Idealmente, devemos implementar os controlos associados a um sistema de gestão, assegurando o modelo de governo e um ciclo de melhoria contínua. Temos com esta atualização da norma um conjunto muito importante de controlos que podem melhorar a segurança da informação da sua organização.

No momento que vivemos será quase impossível identificar uma empresa para a qual não faz sentido implementar grande parte dos controlos identificados. Se há investimento em soluções de cibersegurança, para garantir os softwares mais recentes, então terá que haver também uma preocupação especial em seguir e respeitar as normas, e respetivas atualizações relacionadas com os controlos de segurança de informação. Não é um garante de impedir um ciberataque, mas é uma necessidade assegurar que a organização aplica de forma correta os controlos adequados para mitigar os riscos identificados.

Ler Mais

Deixe uma resposta

Seu endereço de email não será publicado.