O caminho para uma Gestão de Riscos mais efetiva – As novas versões da ISO 27001 e da ISO 27002

Autor: Mauricio Taves

Neste tempo de incertezas e preocupações com as recentes revelações de vazamento de informações e espionagem, podemos afirmar que o último dia 25 de setembro foi uma importante data para a segurança da informação. Neste dia, a ISO (International Organization for Standardization) lançou as novas versões das famosas normas internacionais ISO/IEC 27001 (Sistemas de gestão da segurança da informação – Requisitos) e ISO/IEC 27002 (Código de Prática para controles de segurança da informação).

O Brasil tem participado ativamente no desenvolvimento desta série de normas desde seu início (quando ainda era a ISO 17799), através da ABNT (Associação Brasileira de Normas Técnicas) e sua Comissão de Estudo de Técnicas de Segurança (CE-21:027.00), que representa o país nos trabalhos do JTC1/SC27 (comitê internacional da ISO responsável pela elaboração e revisão da família de normas ISO 27000).

Para facilitar o entendimento e a adoção destas normas pelas organizações brasileiras, conforme foi feito com as versões anteriores, esta comissão da ABNT antecipou-se ao lançamento e publicou em consulta pública, para validação nacional, o projeto das normas traduzidas para português, com expectativa de lançamento das equivalentes Normas Brasileiras (ABNT NBRs) ainda este ano. Estes Projetos de Revisão, quando aprovados, irão cancelar e substituir as edições anteriores (NBR ISO/IEC 27001:2006 e NBR ISO/IEC 27002:2005), sendo que, nesse ínterim, as referidas normas continuam em vigor.

O que há de novo?

O trabalho de revisão das normas foi realizado sob a liderança de Edward Humphreys, coordenador do ISO/IEC JTC 1/SC27, que, em entrevista recente, informou que as normas foram “amplamente revisadas considerando as experiências dos usuários tanto na implementação como na busca da certificação de seus Sistemas de Gestão de Segurança da Informação” (SGSIs), visando uma “abordagem mais flexível e simplificada” e proporcionando uma “gestão de riscos mais efetiva”.

Analisando a ISO 27001, base para o estabelecimento e certificação dos SGSIs das empresas, alinhada com as práticas detalhadas na ISO 27002, é possível identificar uma grande mudança no agrupamento e na organização dos controles e requisitos, que ficaram mais compartimentados, possibilitando melhor segmentação no tratamento e implementação destes, o que sem dúvida vai facilitar o trabalho dos Security Officers ao envolver áreas diversas na organização.

A atualização desta norma era necessária segundo o padrão de revisão sistemática da ISO e também levando-se em conta que o lançamento da versão anterior (ISO/IEC 27001:2005) acontecera há 8 anos, além de que vivemos num mundo em evolução a uma velocidade cada vez mais vertiginosa, no qual as preocupações dos gestores de segurança ampliaram seu foco significativamente nos últimos anos. A expectativa era de que assuntos que estão na ordem do dia, como BYOD (Bring Your Own Device), virtualização, cloud computing, Big Data e uso corporativo de mídias sociais, que eram difíceis de ser abordados diretamente pelos controles da versão de 2005, pudessem ser associados a controles de forma mais específica na nova versão. A uma primeira vista, todavia, o generalismo da norma, que não é necessariamente ruim, continua a ser o mote principal, e a definição de controles específicos continuará sob a responsabilidade das equipes de segurança e infraestrutura.

Outro ponto modificado foi o alinhamento estrutural com outras normas de certificação da ISO, a partir da utilização do anexo SL da ISO/IEC Directives, Part 1, Consolidated ISO Supplement, facilitando a implementação e gestão integrada de mais de um sistema de gerenciamento em paralelo. Segundo Edward Humphreys, a semelhança na estrutura entre as normas vai “economizar tempo e dinheiro das organizações”, viabilizando a adoção de “políticas e procedimentos integrados”.

A nova estrutura da ISO 27001

Quem abre a versão 2013 da norma ISO 27001 e estava familiarizado com a versões de 2005 (2006 no Brasil) rapidamente identifica alterações desde a introdução.

Se na ISO 27001:2005 existiam 8 seções antes de chegarmos à lista de controles do Anexo A, em 2013, essas seções passam a ser 10, com a obrigatoriedade de implementação dos requisitos das seções 4 a 10 – antes a obrigatoriedade abrangia as seções 4 a 8.

As seções que compõem a ISO/IEC 27001:2013 são:

0 – Introdução
1 – Escopo
2 – Referências normativas
3 – Termos e definições
4 – Contexto da organização
5 – Liderança
6 – Planejamento
7 – Apoio
8 – Operação
9 – Avaliação do desempenho
10 – Melhoria

Alguns destaques da ISO/IEC 27001:2013

A seção 2 – Referências normativas – passa a referenciar unicamente a ISO 27000, deixando de lado a referência à ISO 27002, o que pode dificultar quem tenha um primeiro contato com a nova norma e desconheça o alinhamento existente entre as duas. Esta referência, contudo, permanece descrita no descritivo do Anexo A – Referência aos controles e objetivos de controles.

A seção 4 – Contexto da organização, que em 2005 tinha outro nome e já detalhava as fases do modelo PDCA (Plan-Do-Check-Act) do SGSI, na versão 2013 é usada para ajudar a definir o contexto da organização no que tange à Segurança da Informação, ampliando o item 4.1 das versões antigas e consolidando alguns itens que permeavam a norma anterior, sendo que cada fase do PDCA está agora detalhada em uma seção separada – seções 6, 8, 9 e 10, respectivamente.

As seções 5 e 7 – Liderança e Apoio, respectivamente – consolidam os aspectos de responsabilidade, liderança e apoio ao SGSI, que permeavam a norma em diversos controles e nas próprias seções 5 e 7 das versões anteriores.

A seção 6 e parte da seção 7 da norma de 2006, que detalhavam aspectos de auditoria interna e análise crítica do SGSI, passam a compor a nova seção 9 – Avaliação do desempenho – da versão 2013.

Já o Anexo A – Referência aos controles e objetivos de controles, sujeitos à avaliação de aplicabilidade ao escopo da certificação, passa, em 2013, a referenciar um total de 14 agrupamentos de controles de segurança da informação, equivalentes às seções 5 a 18 da ISO/IEC 27002:2013, quando em 2005, esse número era de 11 (5 a 15). Cada agrupamento (seção) de controles contém um ou mais dos 35 objetivos de controle da nova norma.

Além disso, no total, a ISO/IEC 27001:2013 conta com 114 controles no anexo A, 19 a menos que a versão 2005.

As mudanças mais relevantes no anexo A são a reorganização e redistribuição de controles numa estrutura que parece ser mais lógica, com muitos controles semelhantes que permeavam a norma em diversos lugares tendo sido reagrupados ou consolidados em capítulos (grupos de controles) específicos, por exemplo:

• Agrupamento de itens ligados a controle de acesso (anexo A.9), que antes estavam espalhados nos anexos A.6 e A.11;

• Controles do anexo A.6 (Organização da segurança da informação) distribuídos por capítulos e outros agrupamentos (capítulos 5 e 7 e anexos A.13 e A.18), com a criação de um novo controle voltado para o gerenciamento de projetos (A.6.1.5), minimamente referenciando a preocupação a segurança da informação neste contexto, que permeia a maior parte das organizações atuais;

• Criação de capítulos/agrupamentos específicos para controles anteriormente espalhados ou agrupados em conjuntos mais abrangentes, como os relacionados a criptografia (A.10), segurança nas comunicações (A.13) e aquisição, desenvolvimento e manutenção de sistemas (A.14);

• Reorganização e distribuição dos controles do anexo A.10 da norma de 2005, que passam a permear os anexos A.12, A.13, A.14 e A.15, na versão 2013.

Outros pontos importantes a destacar:

• Utilização do termo “cadeia de suprimentos” alinhado a fornecedores (anexo A.15), num movimento alinhado com práticas internacionais de gestão de risco em fornecedores (vendor risk management), como, por exemplo, o modelo do SIG (Standard Information Gathering), provido pela Shared Assessments organization (sharedassessments.org);

• Referência distribuída ao longo dos agrupamentos/capítulos a aspectos que devem ser endereçados num sistema/processo de GCN, gestão da continuidade de negócios externo ao SGSI, incluindo a continuidade da segurança da informação (anexo A.17), implicitamente sugerindo a utilização de um sistema externo especialista, como o da norma ISO 22301:2013, ao invés de dedicar um capítulo a este assunto de forma mais genérica (A.14 da versão 2005).

Como manter a certificação com a nova versão da norma?

As empresas certificadas pela norma ISO 27001:2005 deverão atualizar seus sistemas para garantir a conformidade com a nova versão da norma. Todavia, segundo Edward Humphreys, o prazo para essa atualização ainda não está definido, mas usualmente este é de 2 a 3 anos após a publicação de uma nova versão.

A ISO, conforme Humphreys sugere, acredita que o esforço para adequação à nova estrutura não seja muito grande, mas é importante que as organizações já comecem a se planejar para esta mudança imediatamente, uma vez que, após esse período de adequação, somente serão considerados válidos os certificados dos SGSIs em conformidade com a ISO/IEC 27001:2013.

Leia Também:

– ZCR Informática conquista a 1ª Certificação ISO 27001 do Norte/Nordeste

– Apple, Google e Microsoft exigem mais transparência do FBI e da NSA

– Divulgação pública de exploit para IE pode provocar ataques generalizados

Fonte: Módulo Security