A ISO 27001 é uma norma internacional desenvolvida pela International Organization for Standardization (ISO) com o objetivo de fornecer um modelo para a gestão da segurança da informação nas organizações. A primeira versão como norma certificável foi publicada no ano de 2005. Os padrões voltados para a segurança da informação estabelecem um conjunto de práticas recomendadas que ajudam as organizações a proteger e gerenciar seus sistemas de informação contra riscos e ameaças intencionais e acidentais. Esses padrões são certificáveis, o que permite que as organizações demonstrem a terceiros que implementaram práticas adequadas de gerenciamento da segurança da informação. 

Tipos de controles de segurança 

O conceito de controle na ISO 27001 refere-se às medidas de segurança que devemos implementar com o objetivo de mitigar os riscos potenciais aos quais a organização pode estar exposta. Em geral, os controles são classificados como 

• Controles preventivos são os controles que reduzem a probabilidade de ocorrência de uma ameaça. 
• Controles corretivos são os controles que agem para atenuar o impacto real de uma ameaça, uma vez que ela tenha ocorrido. 

Objetivos e exemplos de controles da ISO 27001 

O objetivo dos controles de segurança implementados em uma organização é garantir a todo momento a confidencialidade, a integridade e a disponibilidade das informações hospedadas em seus sistemas, contra qualquer tipo de evento adverso que possa afetá-las negativamente. 

Um exemplo de controle preventivo é ter um antivírus ou antimalware, pois ele detectará e interceptará qualquer software mal-intencionado que possa tentar acessar nossos sistemas, reduzindo assim a probabilidade de entrada de malware. No entanto, esses tipos de programas não são perfeitos, e é possível projetar malware que, não sendo previamente identificado, consegue passar despercebido, causando um impacto de perda e destruição de informações, como no caso do ransomware. 

Por isso, e atuando de forma complementar, também devemos ter controles corretivos em vigor. Nesse caso, seria ter um “backup” dos dados, o que nos permitiria recuperar informações danificadas ou excluídas, tanto no caso de um ataque intencional como o malware quanto no caso de um incidente acidental que danifique os equipamentos e sistemas que contêm informações dentro da organização. 

Outro tipo de controle visa a manter a disponibilidade de nossos sistemas implementando redundância para elementos críticos e equipamentos essenciais para os negócios. Por exemplo, duplicar as linhas de comunicação com diferentes provedores ou ter equipamentos de processamento em vários locais ou data centers nos permite responder às necessidades da organização durante incidentes e períodos de maior demanda. 

Controles de acesso e revisões periódicas. 

Os controles relacionados ao acesso aos sistemas de informação requerem atenção especial, tanto para o pessoal da empresa quanto para terceiros que possam precisar temporariamente de acesso a eles. Nesse caso, as revisões periódicas dos indivíduos que acessam os sistemas e os privilégios concedidos a cada caso são importantes para detectar discrepâncias que possam representar um problema de segurança. 

Definição de controles no Anexo A. 

Na ISO 27001, os controles são definidos no Anexo A. A versão 2013 da norma incluí 114 controles agrupados em 14 domínios que abrangem as seguintes áreas: Política de segurança, Organização da segurança da informação, Segurança de recursos humanos, Gestão de ativos, Controle de acesso, Criptografia, Segurança física e ambiental, Segurança de operações, Segurança de comunicações, Aquisição, desenvolvimento e manutenção de sistemas, Relacionamento com fornecedores, Gestão de incidentes, Continuidade de negócios e Conformidade. 

Na nova versão da norma ISO 27001, publicada em maio de 2022, esses controles foram reorganizados no Anexo A em quatro grupos, que são: 

• Controles organizacionais. 
• Controles de pessoas. 
• Controles físicos. 
• Controles tecnológicos. 
• Práticas recomendadas. 

O Anexo A é, portanto, um conjunto de práticas recomendadas com foco na orientação de quais elementos e controles de segurança devem ser direcionados de forma eficaz para evitar que as ameaças tenham um impacto significativo nos sistemas e na infraestrutura de gerenciamento de informações de uma empresa. 

A norma ISO 27002 nos fornece uma série de práticas recomendadas para a implementação dos controles do Anexo A da ISO 27001. 

Manutenção e gerenciamento de controles. 

Depois que uma organização implementa um conjunto de controles de segurança, eles devem ser mantidos e gerenciados para que haja melhoria contínua em sua eficácia. Para isso, recomenda-se estabelecer critérios e métricas que forneçam informações sobre seu nível de desempenho e maturidade. 

De fato, o melhor indicador do funcionamento adequado dos controles é observar uma redução nos incidentes, tanto em termos de probabilidade, entendida como uma diminuição na frequência de eventos adversos, quanto no impacto desses eventos, caso ocorram. 

A implementação de um Sistema de Gerenciamento de Segurança da Informação (ISMS) e a conformidade com os controles estabelecidos na norma ISO 27001 são essenciais para proteger as informações manipuladas por uma organização. Nesse sentido, o GlobalSuite® é uma plataforma que oferece uma solução abrangente para a implementação e o gerenciamento do ISMS e ajuda as organizações a gerenciar com mais eficiência os controles de segurança estabelecidos. 

Entre em contato conosco e descubra como o nosso software GRC com o módulo ISO 27001 pode ajudar a sua organização a cumprir os controles estabelecidos, proteger suas informações e aprimorar a segurança das informações da empresa! 

Fonte: GlobalSuite Solutions