ISO 27001: entenda a norma de segurança da informação

Nos últimos anos, o cenário das ameaças cibernéticas tem se intensificado de maneira significativa. Com a digitalização crescente dos processos empresariais e o aumento da dependência de tecnologias da informação, as empresas de todos os portes e setores enfrentam riscos cada vez mais sofisticados e frequentes. Ataques cibernéticos, como ransomware, phishing e violação de dados, têm se tornado comuns, gerando impactos financeiros, operacionais e reputacionais severos.

escrito por Júlia Medeiros

A segurança da informação, portanto, emerge como uma prioridade crítica. Proteger informações sensíveis e confidenciais, garantir a continuidade dos negócios e manter a confiança de clientes e parceiros são objetivos fundamentais que dependem de uma abordagem robusta e sistemática para a gestão da segurança da informação. Nesse contexto, adotar normas e frameworks reconhecidos internacionalmente é essencial para estabelecer uma base sólida e confiável de proteção.

O que é a ISO 27001

A norma ISO 27001, publicada pela International Organization for Standardization (ISO), é amplamente reconhecida como um padrão de excelência na gestão da segurança da informação. Ela fornece um conjunto abrangente de requisitos para a implementação, manutenção e melhoria contínua de um Sistema de Gestão de Segurança da Informação (SGSI), permitindo que as organizações protejam suas informações de forma eficaz e eficiente.

A norma ISO 27001 tem suas origens no British Standard 7799 (BS 7799), publicado pela primeira vez em 1995. O BS 7799 foi desenvolvido pelo British Standards Institution (BSI) e serviu como uma das primeiras tentativas de estabelecer um padrão de segurança da informação.

Em 2000, o BS 7799 foi dividido em duas partes: a parte 1, que tratava do código de prática para gestão de segurança da informação, e a parte 2, que especificava os requisitos para um SGSI.

A ISO adotou a parte 2 do BS 7799 e a publicou como ISO/IEC 27001:2005 em 2005. Desde então, a norma passou por revisões para se manter atualizada e relevante frente às mudanças no cenário tecnológico e de ameaças cibernéticas. A versão mais recente, ISO/IEC 27001:2022, foi publicada em 2022 e incluiu melhorias e atualizações para alinhar a norma com outras normas de sistemas de gestão, como a ISO 9001 e ISO 14001, passou por revisão dos controles do anexo A, com novos controles e exclusão de outros, aprimorando temas de privacidade das informações, governança de segurança da informação e gestão de mudanças.

Leia também: ISO 27000: 4 benefícios proporcionados por essa norma

Importância da segurança da informação nas organizações

A ISO 27001 adota uma abordagem baseada em risco, incentivando as empresas a identificarem e avaliarem suas vulnerabilidades e ameaças específicas. A partir dessa análise, são estabelecidos controles e procedimentos para mitigar riscos e proteger a confidencialidade, integridade e disponibilidade das informações. A norma é aplicável a qualquer organização, independentemente de seu tamanho, setor ou localização geográfica, tornando-se uma ferramenta valiosa para a padronização e melhoria contínua das práticas de segurança da informação.

Benefícios da implementação da ISO 27001

Implementar a norma ISO 27001 traz uma série de benefícios tangíveis e intangíveis para as organizações, como redução de riscos, conformidade legal e regulamentar, vantagem competitiva, melhoria da reputação, eficiência operacional, entre outros. Ao implementar a ISO 27001, as empresas podem assegurar a clientes, parceiros e outras partes interessadas que estão tomando medidas proativas para proteger suas informações contra acessos não autorizados, violações de dados e outros riscos cibernéticos.

Leia também: HSBS recebe Selos e Atestado de implementação IS0 27001 e 27701

Seções da ISO/IEC 27001:2022

A ISO 27001:2022 é organizada em diversas seções que cobrem os requisitos para um SGSI eficaz, conforme abaixo:

1. Introdução

Fornece uma visão geral do propósito e dos benefícios do SGSI, destacando a importância da gestão de segurança da informação e como a norma pode ser aplicada em diferentes organizações.

1. Escopo

Define o escopo da norma, detalhando os requisitos para estabelecer, implementar, manter e melhorar continuamente um SGSI.

2. Referências Normativas

Lista os documentos normativos que são indispensáveis para a aplicação do padrão ISO/IEC 27001:2022.

3. Termos e Definições

Fornece uma lista de termos e definições utilizados na norma para garantir um entendimento comum dos conceitos.

4. Contexto da Organização

• 4.1 Entendendo a Organização e Seu Contexto: Descreve a necessidade de compreender a organização e seu contexto para implementar um SGSI eficaz.
• 4.2 Entendendo as Necessidades e Expectativas das Partes Interessadas: Enfatiza a importância de considerar as partes interessadas e suas expectativas em relação à segurança da informação.
• 4.3 Determinando o Escopo do SGSI: Define como determinar o escopo do SGSI dentro da organização.
• 4.4 SGSI: Estabelece os requisitos para implementar e manter um SGSI.

5. Liderança

• 5.1 Liderança e Comprometimento: Enfatiza o papel da liderança na implementação e manutenção do SGSI.
• 5.2 Política: Define a necessidade de estabelecer uma política de segurança da informação.
• 5.3 Papéis, Responsabilidades e Autoridades Organizacionais: Estabelece os papéis e responsabilidades dentro do SGSI.

6. Planejamento

• 6.1 Ações para Abordar Riscos e Oportunidades: Requisitos para identificar e tratar riscos e oportunidades.
• 6.2 Objetivos de Segurança da Informação e Planejamento para Alcançá-los: Define como estabelecer objetivos de segurança da informação.
• 6.3 Planejamento de Mudanças: Aborda como gerenciar mudanças que afetam o SGSI.

7. Apoio

• 7.1 Recursos: Identifica os recursos necessários para o SGSI.
• 7.2 Competência: Define a necessidade de competência das pessoas que trabalham sob o controle da organização.
• 7.3 Conscientização: Importância de conscientizar todos sobre a política de segurança da informação.
• 7.4 Comunicação: Necessidade de comunicação interna e externa relevante para o SGSI.
• 7.5 Informação Documentada: Aborda a criação e o controle da documentação necessária para o SGSI.

8. Operação

• 8.1 Planejamento e Controle Operacional: Planejamento e controle das operações necessárias para cumprir os requisitos do SGSI.
• 8.2 Avaliação de Riscos de Segurança da Informação: Requisitos para avaliar os riscos de segurança da informação.
• 8.3 Tratamento de Riscos de Segurança da Informação: Aborda como tratar os riscos identificados.

9. Avaliação de Desempenho

• 9.1 Monitoramento, Medição, Análise e Avaliação: Requisitos para monitorar, medir, analisar e avaliar o desempenho do SGSI.
• 9.2 Auditoria Interna: Requisitos para auditorias internas do SGSI.
• 9.3 Análise Crítica pela Direção: Necessidade de análise crítica do SGSI pela direção.

10. Melhoria

• 10.1 Não Conformidade e Ação Corretiva: Aborda como tratar não conformidades e implementar ações corretivas.
• 10.2 Melhoria Contínua: Requisitos para melhorar continuamente o SGSI.

Anexo A: Controles de segurança da informação, incluindo 93 controles agrupados em 4 grupos, sendo eles: Controles organizacionais, controle de pessoas, controles físicos, controles tecnológicos.

5. Controles organizacionais:

Segurança da informação no gerenciamento de projetos; Inventário de informações e outros ativos associados; Uso aceitável de informações e outros ativos associados; Devolução de ativos; Classificação das informações; Rotulagem de informações; Transferência de informações; Controle de acesso; Gestão de identidade; Informações de autenticação; Direitos de acesso; Segurança da informação nas relações com fornecedores; Abordagem da segurança da informação nos contratos de fornecedores; Gestão da segurança da informação na cadeia de fornecimento de TIC; Monitoramento, análise crítica e gestão de mudanças dos serviços de fornecedores; Segurança da informação para uso de serviços em nuvem; Planejamento e preparação da gestão de incidentes da segurança da informação; Avaliação e decisão sobre eventos da segurança da informação; Resposta a incidentes da segurança da informação; Aprendizado com incidentes de segurança da informação; Coleta de evidências; Segurança da informação durante a disrupção; Prontidão de TIC para continuidade de negócios; Requisitos legais, estatutários, regulamentares e contratuais; Direitos de propriedade intelectual; Proteção de registros; Privacidade e proteção de DP; Análise crítica independente da segurança da informação; Compliance com políticas, regras e normas para segurança da informação; Documentação dos procedimentos de operação.

6. Controle de pessoas

Seleção; Termos e condições de contratação; Conscientização, educação e treinamento em segurança da informação; Processo disciplinar; Responsabilidades após encerramento ou mudança da contratação; Acordos de confidencialidade ou não divulgação; Trabalho remoto; Relato de eventos de segurança da informação.

7. Controles físicos

Perímetros de segurança física; Entrada física; Segurança de escritórios, salas e instalações; Monitoramento de segurança física; Proteção contra ameaças físicas e ambientais; Trabalho em áreas seguras; Mesa limpa e tela limpa; Localização e proteção de equipamentos; Segurança de ativos fora das instalações da organização; Mídia de armazenamento; Serviços de infraestrutura; Segurança do cabeamento; Manutenção de equipamentos; Descarte seguro ou reutilização de equipamentos.

8. Controles tecnológicos

Dispositivos endpoint do usuário; Direitos de acessos privilegiados; Restrição de acesso à informação; Acesso ao código-fonte; Autenticação segura; Gestão de capacidade; Proteção contra malware; Gestão de vulnerabilidades técnicas; Gestão de configuração; Exclusão de informações; Mascaramento de dados; Prevenção de vazamento de dados; Backup das informações; Redundância dos recursos de processamento de informações; Log; Atividades de monitoramento; Sincronização do relógio; Uso de programas utilitários privilegiados; Instalação de software em sistemas operacionais; Segurança de redes; Segurança dos serviços de rede; Segregação de redes; Filtragem da web; Uso de criptografia; Ciclo de vida de desenvolvimento seguro; Requisitos de segurança da aplicação; Princípios de arquitetura e engenharia de sistemas seguros; Codificação segura; Testes de segurança em desenvolvimento e aceitação; Desenvolvimento terceirizado; Separação dos ambientes de desenvolvimento, teste e produção; Gestão de mudanças; Informações de teste; Proteção de sistemas de informações durante os testes de auditoria.

 Os controles apresentados na IS0 27001 podem ser adaptados e implementados conforme as necessidades específicas de cada organização. A norma é uma ferramenta essencial para organizações que desejam proteger suas informações e fortalecer sua postura de segurança em um cenário de ameaças cibernéticas em constante evolução. A adoção dessa norma não apenas melhora a resiliência contra-ataques, mas também promove uma cultura de segurança contínua e proativa, essencial para a sustentabilidade e crescimento no ambiente digital atual.

Processo de implementação da ISO 27001

A implementação da ISO 27001 envolve várias etapas, desde o planejamento inicial até a certificação final. Inicialmente é preciso realizar o planejamento do projeto e definir o escopo do Sistema de Gestão de Segurança da Informação (SGSI), bem como obter o comprometimento da alta direção. Nessa etapa será definido os objetivos da implementação, serão identificadas as partes interessadas, será determinado a aplicabilidade de controle do SGSI e alocado recursos iniciais conforme necessidade.

O próximo passo, após a fase inicial, é avaliar o estado atual da segurança da informação em relação aos requisitos da ISO 27001 da organização, analisando os gaps encontrados. Em paralelo, é necessário criar e desenvolver a Política de Segurança da Informação que deve estar alinhada com a estratégia da empresa.

Após a implementação da Política e análise do estado atual da segurança da informação, é o passo da análise e avaliação de riscos de forma abrangente, no qual é o momento de identificar, avaliar e tratar os riscos de segurança da informação.

Em seguida, é preciso implementar as ações constantes no plano de ação, como implementação de controles e procedimentos para mitigar e garantir a conformidade com a ISO 27001, sendo imprescindível o treinamento e conscientização dos colaboradores. A implementação do SGSI é colocar em prática e assegurar que todos os processos estejam funcionando conforme planejado, devendo a eficácia dos controles serem monitoramentos e medidos, além de ser necessário a realização de auditorias internas para fornecer avaliações independentes e objetivas sobre a eficácia dos processos de gerenciamento de riscos, controle e governança, bem como corrigir quaisquer não conformidades identificadas.

Como o procedimento da IS0 27001 se baseia no ciclo PDCA (Plan, Do, Check, Act), é imprescindível a revisão periódica dos riscos mensurados para refletir as mudanças no ambiente de TI e nas ameaças cibernéticas e trabalhar na melhoria contínua.  Estabelecer um ciclo contínuo de auditorias internas, revisões pela direção e ações corretivas é de extrema relevância para se alcançar a melhoria contínua.

É possível ao fim da implementação dos controles e após a auditoria interna, selecionar um organismo de certificação acreditado para obter a certificação IS0.  A certificação pode resultar em maior eficiência, segurança e lucratividade, ajudando a empresa a atingir seus objetivos estratégicos e manter-se competitiva no mercado.

É preciso ter os papéis e responsabilidades bem definidos desde o início do projeto de implementação da ISO, no qual, como dito acima, é preciso o engajamento e comprometimento da alta direção, que será o exemplo da organização, quem aprovará o projeto, alocará recursos necessários e aprovará o SGSI.

É preciso também ter um gestor de projeto de implementação, no qual será a pessoa que coordenará o projeto, fará a comunicação com as partes interessadas e será responsável pela gestão de recursos e o cronograma.

É importante também que a organização tenha um Comitê de Segurança da Informação bem estruturado para que sejam conduzidas as análises de riscos e que sejam desenvolvidas e implementas os controles conforme análise e aprovação do Comitê. Imprescindível que haja os responsáveis pelos processos, com a implementação de controles específicos em suas áreas de responsabilidade.

E por fim, que os usuários finais sejam treinados e conscientizados das mudanças existentes de processos, procedimentos e controles e que, consequentemente, façam a adesão às políticas e procedimentos de segurança e reporte corretamente possíveis incidentes de segurança. É interessante desenvolver materiais de treinamento específicos para diferentes níveis de responsabilidade dentro da organização. Importante ressaltar que não fornecer treinamento adequado para os funcionários, resulta em falta de conscientização e erros humanos e sabe-se que, embora existem diversas vulnerabilidades técnicas e falhas de segurança que podem ser exploradas por atacantes, o erro humano é considerado uma das principais causas para ataques cibernéticos.

Recursos necessários para a implementação

 Quanto aos recursos necessários, é preciso entender que a duração do projeto pode variar de 6 a 18 meses (em média), dependendo do tamanho e complexidade da organização. Os custos incluem pessoas dedicadas, treinamento, consultoria, desenvolvimento de documentação, ferramentas de segurança, auditorias internas e taxas de certificação.

Leia também: A importância da gestão de mudança para SI -HSBS

Empresas certificadas com ISO 27001

A implementação bem-sucedida da ISO 27001 requer um compromisso significativo da organização e uma abordagem estruturada para garantir que todos os aspectos da segurança da informação sejam considerados e gerenciados de forma eficaz.

A IBM implementou a ISO 27001 em várias de suas operações globais para padronizar e fortalecer suas práticas de segurança da informação, no qual foi possível melhorar consideravelmente a gestão de riscos de segurança e aumentou a confiança de seus clientes na proteção de dados.

A Microsoft adotou a ISO 27001 para seus serviços de nuvem, incluindo Azure e Office 365, no qual obteve reconhecimento global pela segurança de seus serviços de nuvem, atraindo mais clientes corporativos.

A Empresa de assinatura eletrônica, a Clicksign, alcançou a certificação ISO 27001, demonstrando seu compromisso com a proteção de dados sensíveis e segurança da informação.

A certificação ISO 27001 é reconhecida internacionalmente e demonstra que as empresas adotam as melhores práticas de segurança da informação, o que pode proporcionar vantagens competitivas significativas, como maior credibilidade no mercado e proteção aprimorada dos dados e informações sensíveis e confidenciais.

Como a ISO 27001 ajuda a proteger dados sensíveis

No mundo moderno, onde a informação é um dos ativos mais valiosos de uma organização, a proteção desses dados se torna fundamental para a sobrevivência e sucesso de qualquer negócio. A ISO 27001 surge como uma ferramenta essencial para garantir essa proteção, estabelecendo um padrão internacionalmente reconhecido para a gestão da segurança da informação.

A proteção de dados pessoais no Brasil, tomou um foco prioritário nas organizações após a promulgação da Lei Geral de Proteção de Dados – LGPD. E, a legislação trouxe diretrizes às organizações precisam ter medidas de segurança cabíveis para proteger os dados dos indivíduos, em especial, os que se tratam como dados sensíveis .

 Além disso, por força da LGPD, também há a necessidade de proteger os dados confidenciais, àqueles que, a exemplo, indicam informações financeiras, segredos comerciais como códigos-fonte e informações de propriedade intelectual.

A ISO 27001 também tem controles relevantes para a proteção de dados sensíveis e confidenciais, como é o caso da “criptografia”, que tem como objetivo garantir a proteção dos dados durante o armazenamento e a transmissão. Outro controle importante para este tipo de proteção é o “controle de acesso”, no qual assegura que apenas pessoas autorizadas possam acessar dados sensíveis. Neste controle é possível implementar acesso baseados em privilégios mínimos, autenticação multifatorial (MFA) e gerenciamento de identidades e acessos (IAM). A “gestão de incidentes de segurança da informação” também um importante controle que garante uma resposta rápida e eficaz a incidentes de segurança, já que será estabelecido processo para detecção, reporte, análise e resposta a incidente de segurança.

Além disso, a ISO 27701 é uma extensão da ISO 27001 e ISO 27002, especificamente focada na privacidade das informações pessoais, ajudando as organizações a cumprirem com regulamentos de proteção de dados, como a LGPD.  E, a ISO 27701 inclui requisitos adicionais para proteção, como requisitos de consentimento, transparência e direitos dos titulares dos dados pessoais. A implementação da ISO 27701 pode ser integrada ao SGSI existente baseado na ISO 27001, permitindo uma abordagem holística para a segurança da informação e privacidade de dados. É possível também obter a certificação ISO 27001 através de um organismo certificador o que complementará o sistema de gestão da segurança da informação de uma organização.

Portanto, percebe-se que a família da ISO 27000 fornece um framework robusto, com uma abordagem estruturada e sistemática para gerenciar informações sensíveis e confidenciais, ajudando a identificar, gerenciar e minimizar uma ampla gama de ameaças. Esta família de normas é desenhada para ser aplicável a qualquer organização, independentemente de seu tamanho, setor ou localização geográfica.

Segurança da Informação: Construindo um futuro mais seguro

A implementação da ISO 27001 não é apenas uma medida de proteção, mas um investimento estratégico para o futuro. Em um ambiente de negócios cada vez mais digital e interconectado, as ameaças cibernéticas se tornam mais sofisticadas e frequentes. Empresas que adotam a ISO 27001 estão mais bem preparadas para enfrentar esses desafios, garantindo a continuidade de suas operações e a proteção de seus ativos mais valiosos.

A segurança da informação deve ser uma prioridade para todas as organizações. Ao adotar a ISO 27001, as empresas não estão apenas protegendo seus dados, mas também contribuindo para um ecossistema digital mais seguro e confiável. A ausência de uma gestão eficaz da segurança da informação pode resultar em uma série de riscos e consequências negativas para as organizações, como perdas financeiras, danos à reputação que comprometem a confiança dos clientes e parceiros, interrupção das operações, que podem afetar a continuidade dos negócios e a capacidade de fornecer o produto/serviço.

Conforme o estudo anual The State of Ransomware, em 2020, foi possível concluir que os cibercriminoso tiveram sucesso ao criptografar dados em 76% dos ataques de ransomware contra organizações de todo o mundo e em 73% no Brasil. O relatório também demonstra que as empresas que pagaram resgate para descriptografar os dados, acabaram quase dobrando os custos, chegando a “US$ 750 mil o desembolso para tê-los de volta, contra US$ 375 mil gastos por companhias que usaram backups para recuperar os arquivos. Além disso, o pagamento do resgate tomou um tempo maior de recuperação, visto que 45% das organizações globais que usaram backups levaram uma semana para reavê-los. Das que optaram por pagar o resgate, 39% levaram o mesmo tempo. No Brasil, 47% das empresas também levaram uma semana para se recuperar, enquanto 21% precisaram de um mês e 30% entre um e seis meses”.

Várias empresas renomadas sofreram incidentes de segurança que resultaram em graves consequências, a exemplo da Yahoo, em 2014 no qual ocorreu vazamentos de dados onde dados de pelo menos 500 milhões de contas de usuários foram comprometidos. As informações roubadas incluíam nomes, endereços de e-mail, números de telefone, datas de nascimento e senhas criptografadas, entre outros dados. O ataque foi atribuído a um hacker conhecido como “peace_of_mind”, supostamente ligado a um grupo de hackers russos, levando a uma queda no valor da empresa e afetando sua venda para a Verizon.

O setor de saúde no Brasil foi um dos mais atacados em 2024, com mais de 106 mil detecções de ransomware, sendo 6,5 mil dessas tentativas direcionadas especificamente ao setor de saúde. Esses ataques afetam diretamente a capacidade das instituições de saúde de operar e prestar serviços essenciais.  O grupo Fleury sofreu ataque cibernético 2 (duas) vezes em menos de 1 (um) ano no qual o último afetou principalmente o serviço de resultados de exames de pacientes.

Conclusão

O número de incidentes cibernéticos em sistemas do governo federal dobrou nos primeiros seis meses de 2024, tornando-se o maior número desde 2020. Isso inclui ataques que visam interromper serviços governamentais e comprometer dados sensíveis.

Portanto, incentivar a implementação da ISO 27001 é promover uma cultura de segurança da informação que beneficia a todos. Ao adotar essa norma, as organizações estão pavimentando o caminho para um ambiente de negócios mais seguro, estável e próspero.

REFERÊNCIAS

• Brasil. Lei nº 13.709, de 14 de agosto de 2018. Dispõe sobre a proteção de dados pessoais. Diário Oficial [da] República Federativa do Brasil, Brasília, DF, 15 ago. 2018.
• CISO ADVISOR. 73% dos ataques de ransomware no Brasil foram bem-sucedidos. Disponível em: https://cisoadvisor.com.br/73-ataques-ransomware-brasil-bem-sucedidos. Acesso em: 6 ago. 2024.
• CISO ADVISOR. Brasil já ocupa o 2º lugar no ranking mundial de ransomware. Disponível em: https://cisoadvisor.com.br/brasil-2-lugar-ranking-mundial-ransomware. Acesso em: 6 ago. 2024.
• CISO ADVISOR. Grupo Fleury sofre novo ataque cibernético em menos de um ano. Disponível em: https://cisoadvisor.com.br/grupo-fleury-sofre-novo-ataque-cibernetico. Acesso em: 6 ago. 2024.
• GATINFOSEC. ROI da segurança da informação: por que vale investir. Disponível em: https://www.gatinfosec.com/roi-seguranca-da-informacao. Acesso em: 5 jul. 2024.
• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27001: Information technology — Security techniques — Information security management systems — Requirements. Geneva: ISO, 2022.
• INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 27701: Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines. Geneva: ISO, 2019.
• TECHRADAR. O que você precisa saber sobre a enorme violação de dados do Yahoo. Disponível em: https://techradar.com/violacao-dados-yahoo. Acesso em: 6 ago. 2024.