O tema de segurança da informação é bem estruturado em termos de normas e padrões, desde quando o British Standards Institution (BSI) Group, organismo de padrões nacionais do Reino Unido, publicou a primeira norma BS 7799 em 1995, adotada como norma internacional ISO/IEC 17799 em 2000 e inaugurando a série de normas internacionais ISO 27000 em 2005.
De lá pra cá, com a evolução do mundo digital e interconectado (o ciberespaço) vieram os conceitos específicos de cibersegurança ou segurança cibernética; e com o marco legal da General Data Protection Regulation (GDPR) em 2016, regulação da proteção de dados europeia, e sua coirmã brasileira Lei Geral de Proteção de Dados (LGPD), Lei Federal nº 13.709, de 14 de agosto de 2018, os de privacidade e proteção de dados pessoais.
Os períodos de isolamento social impostos pela pandemia mundial de COVID-19 aceleraram ainda mais o uso e a dependência de tecnologia no mundo, e também as ameaças e ataques do cibercrime, como o ransomware (sequestro digital de dados) e os vazamentos de dados.
Duas normas internacionais fundamentais de segurança da informação foram atualizadas em 2022 ganhando sua terceira edição: a ISO/IEC 27002:2022 publicada em 15/02/2022 e sua versão brasileira traduzida e publicada em 05/10/2022 como ABNT NBR ISO/IEC 27002:2022 – Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação; e a recém publicada ISO/IEC 27001:2022, de 25/10/2022, e sua tradução brasileira ABNT NBR ISO/IEC 27001:2022 – Requisitos de sistemas de gestão da segurança da informação, de 23/11/2022. A edição anterior destas normas era de 2013.
O próprio título e classificação da norma 27002 já reflete a evolução mencionada. O título em 2013 era “Tecnologia da informação – Técnicas de segurança – Código de prática para controles de segurança da informação”. Em 2022 se tornou “Segurança da informação, segurança cibernética e proteção à privacidade — Controles de segurança da informação”.
A exclusão do termo “código de prática” também ficou coerente, pois a norma 27002 aborda controles em âmbito genérico e conceitual, enquanto controles mais práticos nas camadas lógica e física (mecanismos) são abordados por guias como NIST SP 800-53 – Security and Privacy Controls for Information Systems and Organizations (controles de segurança e privacidade para sistemas de informação e organizações) e NIST SP 800-53B – Control Baselines for Information Systems and Organizations (linhas de base de controles), do Instituto Nacional de Padrões e Tecnologia – NIST do Governo Americano, e CIS Critical Security Controls (controles críticos de segurança) do Centro para Segurança na Internet – CIS.
A ISO 27002:2022 reorganiza e atualiza os controles nos grupos de classificações a seguir. A propósito: controles são as medidas adotadas para tratar riscos.
Assim, cada controle da ISO 27002:2022 é apresentado inicialmente com um quadro com as classificações aplicáveis. Veja um exemplo:
Temas
A norma 27002:2013 tinha 42 objetivos de controle desdobrados em 114 controles, distribuídos em 14 grupos. A 27002:2022 simplificou essa organização; não há mais os grupos nem os objetivos de controle; ela traz 11 novos controles e 32 foram agrupados com outros, resultando em 93 controles, organizados em 4 temas:
- 8 Controles de Pessoas: dizem respeito a pessoas físicas (indivíduos);
- 14 Controles Físicos: dizem respeito a espaços e objetos físicos, inclusive edificações;
- 34 Controles Tecnológicos: dizem respeito à tecnologia;
- 37 Controles Organizacionais: demais controles, que tem um escopo amplo ou difuso.
Estes temas mostram como segurança da informação é assunto que deve ser tratado estrategicamente pela alta gestão das organizações e extrapola tecnologia e segurança cibernética. Envolve também aspectos institucionais e organizacionais, pessoas (recursos humanos em geral, como empregados, usuários, clientes, parceiros, fornecedores e outras pessoas na cadeia de suprimento e operações do negócio), objetos e espaços físicos.
A norma internacional ABNT NBR ISO/IEC 27035-3:2021 – Diretrizes para operações de resposta a incidentes de TIC [tecnologia da informação e comunicação], esclarece em sua introdução:
Um incidente de segurança da informação pode ou não envolver TIC. Por exemplo, informações que se espalham involuntariamente por meio da perda de documentos em papel podem muito bem ser um incidente grave de segurança da informação, o que requer relatórios, investigações, contenções, ações corretivas e envolvimento da direção. Este tipo de gestão de incidentes geralmente é realizado, por exemplo, pelo CISO (Chief Information Security Officer) dentro da organização.
Tipos
Os controles podem ser de três tipos, que tem a ver com o momento de atuação (antes, durante ou depois) em relação à ocorrência de incidentes:
- Preventivo: se destina a evitar a ocorrência de um incidente de segurança da informação;
- Detectivo: age quando ocorre um incidente de segurança da informação;
- Corretivo: age após um incidente de segurança da informação ter ocorrido.
Propriedades de segurança da informação
Os controles da norma 27002 visam tratar uma ou mais propriedades básicas de segurança da informação, chamadas “CID”, ou seja, em quais características básicas de segurança das informações cada controle contribuirá para preservação, a saber:
- Confidencialidade
- Integridade
- Disponibilidade
Conceitos de segurança cibernética
Os controles da 27002:2022 também são associados a um ou mais do que ela denomina conceitos de segurança cibernética, conforme nome ISO/IEC TS 27110, mais conhecidos pelo mundialmente difundido NIST Cibersecurity Framework (cujo “nome completo” em português é “Guia de Aperfeiçoamento da Segurança Cibernética para Infraestrutura Crítica”) como as 5 funções básicas (core functions) de cibersegurança:
- Identificar
- Proteger
- Detectar
- Responder
- Recuperar
Capacidades operacionais
O que a norma 27002:2022 denomina capacidades operacionais podem ser entendidas como as diversas “verticais” ou “assuntos” em que em geral se desdobram a abordagem e a aplicação da segurança da informação.
- Governança (políticas, processos, procedimentos…);
- Gestão de ativos (em tecnologia, abrange tanto hardware quanto software);
- Proteção da informação (incluem-se aí proteção de dados pessoais, criptografia, mascaramento…);
- Segurança em recursos humanos;
- Segurança física;
- Segurança de sistemas e redes (inclusive computação em nuvem);
- Segurança de aplicações (inclusive codificação/desenvolvimento seguro);
- Configuração segura (de ativos);
- Gestão de identidade e acesso (um tema bem amplo por si só, que costuma ser dividido em três grandes vertentes: governança e administração de identidades – IGA, gestão e controle de acesso – AM, e gestão de acessos privilegiados – PAM);
- Gestão de ameaças e vulnerabilidades (tipicamente orientada pela análise e avaliação de riscos associados às ameaças e vulnerabilidades mapeadas e identificadas);
- Continuidade (de negócio e de tecnologia, inclusive gestão de crises);
- Segurança da cadeia de suprimentos;
- Legal e conformidade;
- Gestão de eventos de segurança da informação (inclusive tratamento e resposta a incidentes);
- Garantia de segurança da informação.
Vi uma certo paralelo com a organização das salvaguardas dos 18 controles do CIS Controls v8, que listo a seguir a título de comparação:
- CIS Controle 1: Inventário e controle de ativos corporativos (Enterprise Assets) – 5 salvaguardas
- CIS Controle 2: Inventário e controle de ativos de software – 7 salvaguardas
- CIS Controle 3: Proteção de dados – 14 salvaguardas
- CIS Controle 4: Configuração segura de ativos corporativos e software – 12 salvaguardas
- CIS Controle 5: Gestão de contas (Account Management) – 6 salvaguardas
- CIS Controle 6: Gestão do controle de acesso – 8 salvaguardas
- CIS Controle 7: Gestão contínua de vulnerabilidades – 7 salvaguardas
- CIS Controle 8: Gestão de registros de auditoria (Audit Log) – 12 salvaguardas
- CIS Controle 9: Proteções de e-mail e navegador Web – 7 salvaguardas
- CIS Controle 10: Defesas contra malware – 7 salvaguardas
- CIS Controle 11: Recuperação de dados – 5 salvaguardas
- CIS Controle 12: Gestão de infraestrutura de rede – 8 salvaguardas
- CIS Controle 13: Monitoramento e defesa da rede – 11 salvaguardas
- CIS Controle 14: Conscientização sobre segurança e treinamento de competências (Security Awareness and Skills Training) – 9 salvaguardas
- CIS Controle 15: Gestão de provedores de serviços – 7 salvaguardas
- CIS Controle 16: Segurança de aplicações software – 14 salvaguardas
- CIS Controle 17: Gestão de resposta a incidentes – 9 salvaguardas
- CIS Controle 18: Testes de invasão (Penetration Testing) – 5 salvaguardas
Domínios
A 27002:2022 ainda associa os controles a quatro domínios e suas subdivisões. Sinceramente, achei que esses domínios se sobrepõem aos demais aspectos e classificações anteriores e vi pouca significância adicional, mas os listo a seguir.
- Governança e Ecossistema
- Governança do sistema de segurança da informação e gestão de riscos
- Gestão de segurança cibernética do ecossistema (incluindo partes interessadas internas e externas)
- Proteção
- Arquitetura de segurança de TI
- Administração de segurança de TI
- Gestão de identidade e acesso
- Manutenção de segurança de TI
- Segurança física e ambiental
- Defesa
- Detectar
- Gestão de incidente de segurança computacional
- Resiliência
- Operações de continuidade
- Gestão de crises
Considerações finais
Recomendo ver o mapeamento entre os 18 controles do CIS Controls v8 e a norma ISO/IEC 27002:2022, parte do vasto material de recursos e ferramentas disponíveis para o CIS Controls v8. Assim como o NIST Cibersecurity Framework (CSF), os CIS Controls são um referencial amplamente difundido e utilizado mundialmente. Este mapeamento feito entre os CIS Controls v8 e a norma ISO 27002:2022 é muito útil para consolidar conceitos e abordagens.
Não faltam normas e recursos cada vez mais amplos e frequentemente atualizados em segurança da informação, segurança cibernética e privacidade. Também não faltam ferramentas, produtos e serviços para os mais variados aspectos envolvidos. O que costuma faltar é tempo e capacitação para os profissionais de segurança absorverem tanta coisa. Bons estudos!
Veja também
- PMG Academy. O que mudou na ISO/IEC 27002 de 2022?, por Adriano Martins Antônio, 20/04/2022.
One Reply to “Atualização das normas de segurança da informação: ISO 27002:2022”