O que vai mudar no certificado de segurança mais comum entre empresas?
Por Afonso Neto, Senior Cyber Security Engineer da Critical Software
A segurança da informação, considerada um requisito fundamental para a operação de qualquer organização, é, hoje em dia, o padrão mínimo esperado de uma organização responsável. Entre as estratégias mais comuns para manter um programa de segurança robusto, sustentável e prático está a implementação de um Sistema de Gestão de Segurança da Informação (ISMS, sigla em inglês), conforme a norma ISO/IEC 27001. Uma das grandes vantagens desta abordagem é a possibilidade de certificação externa, reconhecida internacionalmente e que permite que as organizações demonstrem o seu compromisso com práticas de segurança sem divulgar detalhes sensíveis.
Tal como todas as normas ISO, também a ISO/IEC 27001 passa regularmente por revisões. É natural que a evolução do cenário de segurança exija que a norma seja atualizada, permitindo também acompanhar as mudanças tecnológicas, garantindo que ela permanece uma referência confiável para programas de segurança da informação. A nova versão da norma foi publicada em 2022 e, a partir de 31 de outubro de 2025, as auditorias passarão a exigir conformidade com essa nova versão, tornando-se essencial o planeamento para essa transição.
A norma ISO/IEC 27001 é válida para todas as organizações?
Os gestores de empresas podem pensar que a norma ISO/IEC 27001 é relevante apenas para as empresas que desejam obter essa certificação, mas estão enganados. Para ser pertinente, a norma precisa de estar em sintonia tanto com a realidade empresarial como com as necessidades de cibersegurança, sem exigir mais do que o necessário para garantir uma proteção adequada. Com esta premissa em mente, as diretrizes estabelecidas pela norma tornam-se extremamente úteis como ponto de referência para qualquer organização, não se limitando apenas àquelas que procuram a certificação. Ainda mais interessante, é perceber que a evolução da norma acompanha de perto as preocupações atuais dos especialistas em cibersegurança. A versão de 2022 da norma é clara e alinhada com as mudanças ocorridas nos últimos 10 anos, como se observa pelos novos controlos adicionados.
O porquê da importância da norma e da sua implementação
Vejamos: a ISO/IEC 27001 divide-se em duas partes principais, sendo que na primeira, a norma estabelece princípios de gestão e processos, em linha com outras normas. Já uma outra parte mais técnica contém uma lista de controlos de segurança de referência, também conhecido como o Anexo A.
Na nova versão, é precisamente no Anexo A que se vão registar mudanças de alto impacto, desde a redução do número total de controlos (114 para 93) à inclusão de outros que não existiam, 11 no total. Mas as alterações não são feitas em vão e são, sem dúvida, um reflexo da transformação tecnológica dos últimos anos que trouxe novos desafios ao cenário contemporâneo da cibersegurança.
Durante a transição para a nova versão, será obrigatório avaliar a aplicabilidade dos novos controlos de segurança. Uma previsão intrigante é que a dificuldade de adaptação a esses controlos será diretamente proporcional ao nível de atualização do programa de segurança da informação de uma organização.
As novidades começam pela inclusão da Inteligência de Ameaças como novo controlo, a prontidão das TIC para a continuidade do negócio, a prevenção de fugas de dados, a implementação de uma filtragem web para proteger os colaboradores de ataques de phishing e malware, a exigência de codificação segura, entre outras.
A análise dos novos controlos da ISO/IEC 27001 revela não apenas a evolução contínua da norma para abordar os desafios emergentes em segurança da informação, mas também oferece insights valiosos sobre as tendências e prioridades atuais no campo da cibersegurança.
Ao utilizar a norma como referência, as organizações podem não apenas alcançar a certificação para demonstrar conformidade com os padrões internacionais, mas também aproveitar o seu conteúdo para melhorar a sua estratégia de segurança da informação e permanecerem resilientes mediante as ameaças com que se cruzam, resultado de uma constante evolução.
A norma não fornece apenas um quadro estruturado para a implementação de controlos de segurança, mas também serve como uma valiosa fonte de orientação e conhecimento para garantir a proteção adequada dos ativos de informação num ambiente digital em constante mudança.