< voltar

A ISO/IEC 27001 como modelo de excelência para a gestão da segurança de informação nas organizações

Após 8 anos da publicação da norma ISO de gestão da segurança de informação, surge a nova versão da ISO/IEC 27001:2013 "Information technology— Security techniques — Information security management systems — Requirements".

As alterações da ISO/IEC 27001, a partir da versão de 2005, não são muito significativas, contudo carecem de alguma análise e compreensão.

Ao nível da estrutura, tal como esperado, a ISO/IEC 27001 de 2013 está alinhada com a nova estrutura de todas as novas normas de gestão, que foi iniciada com a ISO 22301, a norma de gestão de continuidade de negócio.

A ISO/IEC 27001 de 2013 enfatiza a monitorização e avaliação do nível de desempenho do sistema de gestão de segurança de informação (SGSI), existindo uma nova seção sobre as atividades asseguradas por terceiros (“outsourcing”), o que vem dar resposta ao fato de muitas organizações externalizarem atividades do seu sistema de gestão. O ciclo de melhoria, tal como preconizado na 27001:2005, deixa de ser obrigatório, passando a ser dada mais atenção ao contexto organizacional da segurança da informação e tendo a avaliação de risco sido alterada. Em geral, a 27001:2013 está desenvolvida para um melhor alinhamento com outras normas de gestão, como a ISO 9000 e ISO 20000.

Ao nível da gestão de risco, a cláusula 6.1.3 passa a descrever como uma organização pode responder aos riscos da gestão da segurança de informação, através de um conveniente plano de tratamento dos mesmos e da definição dos controlos adequados. Os ativos, vulnerabilidades e ameaças deixam de ser a base da avaliação de risco. Só será necessário identificar os riscos associados com a confidencialidade, integridade e disponibilidade. Embora esta alteração possa parecer demasiado radical, os autores da nova norma querem permitir maior liberdade na forma como os riscos são identificados. No entanto, a metodologia de ativos-vulnerabilidades e ameaças poderá continuar a ser uma boa prática para resposta a este requisito. O conceito para determinar o nível de risco com base na probabilidade e consequências permanece. Além disso, a metodologia de avaliação de risco não necessita de estar documentada, embora o processo de avaliação de risco precise de ser previamente definido. Desaparece o conceito de proprietário do ativo, surgindo um novo conceito de “proprietário de risco", passando a responsabilidade assim para um nível superior.

O Anexo A onde estão listados todos os controlos mantem-se, tendo sido reorganizado. Os restantes anexos foram retirados, uma vez que a sua utilidade era reduzida. Os controlos e objetivos de controlo estão listados no Anexo A, embora as organizações não estejam limitadas aos mesmos, podendo escolher outros. Passam a existir 114 controlos em 14 grupos, tendo a norma de 2005 apenas 133 controlos em 11 grupos.

A.5: Information security policies
A.6: How information security is organised
A.7: Human resources security – controls that are applied before, during, or after employment
A.8: Asset management
A.9: Access controls and managing user access
A.10: Cryptographic technology
A.11: Physical security of the organisation's sites and equipment
A.12: Operational security
A.13: Secure communications and data transfer
A.14: Secure acquisition, development, and support of information systems
A.15: Security for suppliers and third parties
A.16: Incident management
A.17: Business continuity/disaster recovery (to the extent that it affects information security)
A.18: Compliance - with internal requirements, such as policies, and with external requirements, such as laws

Os controlos novos e atualizados surgem para dar resposta às mudanças de tecnologia que afetam muitas organizações, como por exemplo, o “Cloud Computing”.

Ao nível da documentação de suporte ao SGSI existem também mudanças. Os conceitos "documentos" e "registos" são fundidos, passando agora a falar-se em "informação documentada." Consequentemente, todos os requisitos para o controlo de documentação passam a aplicar-se aos documentos e registos, não tendo estes requisitos sido alterados face à ISO 27001 de 2005. Desaparece ainda a necessidade de procedimentos documentados (controlo de documentos, auditoria interna, ação corretiva e ação preventiva), no entanto, é indispensável documentar a saída destas atividades. Portanto, deixa de ser necessário escrever estes procedimentos, mas terão que ser mantidos todos os registos na gestão da informação documentada, relativos à realização de auditorias internas, planeamento e execução de ações corretivas.

É dado um particular enfoque na importância das partes interessadas, que podem incluir acionistas, autoridades (incluindo os requisitos legais e regulamentares), clientes, parceiros, etc, passando a existir uma cláusula em separado que especifica que todas as partes interessadas devem ser enumeradas, devendo ser consideradas todas as suas necessidades.

Ao nível dos objetivos, monitorização e medição a mudança é substancial. Estes passam a existir em cláusulas separadas como requisitos muito concretos. É necessário definir objetivos claros, o responsável pela sua medição e monitorização e planos para a sua concretização.

A comunicação é outro aspeto da norma que sofre alteração. Existe uma nova cláusula em que todos os requisitos de comunicação passam a estar resumidos – o que precisa ser comunicado, quando, por quem e por que meios. Desta forma, poderá tornar-se mais simples ultrapassar o problema da segurança da informação, não sendo encarado apenas como um assunto das áreas das tecnologias de informação ou de segurança. O sucesso do SGSI depende tanto das tecnologias de informação e como do negócio e é fundamental a sua compreensão geral quanto á finalidade da proteção da informação.

Outra grande mudança é que deixam de existir ações preventivas, pelo menos formalmente. Efetivamente passam a fazer parte da avaliação e tratamento de risco, onde se enquadram mais naturalmente. Além disso, passa a existir uma distinção entre as correções que são feitas como uma resposta direta a uma não conformidade, ao contrário das ações corretivas que são feitas para eliminar a causa de uma não conformidade. Desta forma, foi resolvida outra ambiguidade existente na norma de 2005.

Assim, as alterações enumeradas não significam uma mudança radical dos SGSI existentes, mas com esta nova versão da norma poderão beneficiar de uma melhor adequação à realidade do contexto organizacional e das atualizações tecnológicas.

Mercado

Numa análise efetuada ao mercado da certificação, verificamos uma crescente procura por parte das organizações em implementar e certificar os seus sistemas de gestão de acordo com a ISO/IEC 27001. A taxa média de crescimento do número de certificados ISO/IEC 27001 emitidos nos últimos 5 anos, foi de 21%, o que reflete o elevado grau de recetividade pelos mercados. A taxa de crescimento em 2012, comparando com o mesmo periodo de 2011, foi de 13%. Os países com maior taxa de crescimento em 2012 foram a Roménia, o Japão e a China. O gráfico seguinte ilustra o crescimento em números de certificados emitidos, de acordo com a ISO/IEC 27001, no mundo.

Fonte: ISO Survey 2012

O Japão continua a liderar a tabela dos países com maior número de certificados emitidos, seguido do Reino Unido e da Índia. Portugal, em 2012, teve um crescimento de 70% face a 2011, com 34 certificados ISO/IEC 27001 emitidos.

A APCER, como entidade acreditada pelo IPAC para a certificação de acordo com a ISO/IEC 27001, empenha-se em prestar serviços de valor acrescentado, contribuindo para a melhoria dos processos e desempenho das organizações, tornando-as mais sustentáveis, produtivas e competitivas.

André Ramos
Gestor de Produto
APCER

	fevereiro de 2014 \| nº27
ARTIGOS DE OPINIÃO Segurança da Informação - A nova versão da norma ISO/IEC 27001 __ A norma ISO/IEC 20000:2011 VOZ DO CLIENTE ArtSoft __ Alvo __ ISEG __ Normática __ OSRAM __ Vilt __ Score Innovation __ Metatheke ENTIDADES CERTIFICADORAS Apcer __ SGS QUALIWORK E PARCEIROS Apresentação da QualiWork __ Apresentação da Alvo __ Apresentação da Invest 2020 __ Apresentação da Infinite __ Apresentação da Score Innovation __ Apresentação da Slot __ Apresentação da Vercont > Conheça o nosso calendário	< voltar A ISO/IEC 27001 como modelo de excelência para a gestão da segurança de informação nas organizações Após 8 anos da publicação da norma ISO de gestão da segurança de informação, surge a nova versão da ISO/IEC 27001:2013 "Information technology— Security techniques — Information security management systems — Requirements". As alterações da ISO/IEC 27001, a partir da versão de 2005, não são muito significativas, contudo carecem de alguma análise e compreensão. Ao nível da estrutura, tal como esperado, a ISO/IEC 27001 de 2013 está alinhada com a nova estrutura de todas as novas normas de gestão, que foi iniciada com a ISO 22301, a norma de gestão de continuidade de negócio. A ISO/IEC 27001 de 2013 enfatiza a monitorização e avaliação do nível de desempenho do sistema de gestão de segurança de informação (SGSI), existindo uma nova seção sobre as atividades asseguradas por terceiros (“outsourcing”), o que vem dar resposta ao fato de muitas organizações externalizarem atividades do seu sistema de gestão. O ciclo de melhoria, tal como preconizado na 27001:2005, deixa de ser obrigatório, passando a ser dada mais atenção ao contexto organizacional da segurança da informação e tendo a avaliação de risco sido alterada. Em geral, a 27001:2013 está desenvolvida para um melhor alinhamento com outras normas de gestão, como a ISO 9000 e ISO 20000. Ao nível da gestão de risco, a cláusula 6.1.3 passa a descrever como uma organização pode responder aos riscos da gestão da segurança de informação, através de um conveniente plano de tratamento dos mesmos e da definição dos controlos adequados. Os ativos, vulnerabilidades e ameaças deixam de ser a base da avaliação de risco. Só será necessário identificar os riscos associados com a confidencialidade, integridade e disponibilidade. Embora esta alteração possa parecer demasiado radical, os autores da nova norma querem permitir maior liberdade na forma como os riscos são identificados. No entanto, a metodologia de ativos-vulnerabilidades e ameaças poderá continuar a ser uma boa prática para resposta a este requisito. O conceito para determinar o nível de risco com base na probabilidade e consequências permanece. Além disso, a metodologia de avaliação de risco não necessita de estar documentada, embora o processo de avaliação de risco precise de ser previamente definido. Desaparece o conceito de proprietário do ativo, surgindo um novo conceito de “proprietário de risco", passando a responsabilidade assim para um nível superior. O Anexo A onde estão listados todos os controlos mantem-se, tendo sido reorganizado. Os restantes anexos foram retirados, uma vez que a sua utilidade era reduzida. Os controlos e objetivos de controlo estão listados no Anexo A, embora as organizações não estejam limitadas aos mesmos, podendo escolher outros. Passam a existir 114 controlos em 14 grupos, tendo a norma de 2005 apenas 133 controlos em 11 grupos. A.5: Information security policies A.6: How information security is organised A.7: Human resources security – controls that are applied before, during, or after employment A.8: Asset management A.9: Access controls and managing user access A.10: Cryptographic technology A.11: Physical security of the organisation's sites and equipment A.12: Operational security A.13: Secure communications and data transfer A.14: Secure acquisition, development, and support of information systems A.15: Security for suppliers and third parties A.16: Incident management A.17: Business continuity/disaster recovery (to the extent that it affects information security) A.18: Compliance - with internal requirements, such as policies, and with external requirements, such as laws Os controlos novos e atualizados surgem para dar resposta às mudanças de tecnologia que afetam muitas organizações, como por exemplo, o “Cloud Computing”. Ao nível da documentação de suporte ao SGSI existem também mudanças. Os conceitos "documentos" e "registos" são fundidos, passando agora a falar-se em "informação documentada." Consequentemente, todos os requisitos para o controlo de documentação passam a aplicar-se aos documentos e registos, não tendo estes requisitos sido alterados face à ISO 27001 de 2005. Desaparece ainda a necessidade de procedimentos documentados (controlo de documentos, auditoria interna, ação corretiva e ação preventiva), no entanto, é indispensável documentar a saída destas atividades. Portanto, deixa de ser necessário escrever estes procedimentos, mas terão que ser mantidos todos os registos na gestão da informação documentada, relativos à realização de auditorias internas, planeamento e execução de ações corretivas. É dado um particular enfoque na importância das partes interessadas, que podem incluir acionistas, autoridades (incluindo os requisitos legais e regulamentares), clientes, parceiros, etc, passando a existir uma cláusula em separado que especifica que todas as partes interessadas devem ser enumeradas, devendo ser consideradas todas as suas necessidades. Ao nível dos objetivos, monitorização e medição a mudança é substancial. Estes passam a existir em cláusulas separadas como requisitos muito concretos. É necessário definir objetivos claros, o responsável pela sua medição e monitorização e planos para a sua concretização. A comunicação é outro aspeto da norma que sofre alteração. Existe uma nova cláusula em que todos os requisitos de comunicação passam a estar resumidos – o que precisa ser comunicado, quando, por quem e por que meios. Desta forma, poderá tornar-se mais simples ultrapassar o problema da segurança da informação, não sendo encarado apenas como um assunto das áreas das tecnologias de informação ou de segurança. O sucesso do SGSI depende tanto das tecnologias de informação e como do negócio e é fundamental a sua compreensão geral quanto á finalidade da proteção da informação. Outra grande mudança é que deixam de existir ações preventivas, pelo menos formalmente. Efetivamente passam a fazer parte da avaliação e tratamento de risco, onde se enquadram mais naturalmente. Além disso, passa a existir uma distinção entre as correções que são feitas como uma resposta direta a uma não conformidade, ao contrário das ações corretivas que são feitas para eliminar a causa de uma não conformidade. Desta forma, foi resolvida outra ambiguidade existente na norma de 2005. Assim, as alterações enumeradas não significam uma mudança radical dos SGSI existentes, mas com esta nova versão da norma poderão beneficiar de uma melhor adequação à realidade do contexto organizacional e das atualizações tecnológicas. Mercado Numa análise efetuada ao mercado da certificação, verificamos uma crescente procura por parte das organizações em implementar e certificar os seus sistemas de gestão de acordo com a ISO/IEC 27001. A taxa média de crescimento do número de certificados ISO/IEC 27001 emitidos nos últimos 5 anos, foi de 21%, o que reflete o elevado grau de recetividade pelos mercados. A taxa de crescimento em 2012, comparando com o mesmo periodo de 2011, foi de 13%. Os países com maior taxa de crescimento em 2012 foram a Roménia, o Japão e a China. O gráfico seguinte ilustra o crescimento em números de certificados emitidos, de acordo com a ISO/IEC 27001, no mundo. Fonte: ISO Survey 2012 O Japão continua a liderar a tabela dos países com maior número de certificados emitidos, seguido do Reino Unido e da Índia. Portugal, em 2012, teve um crescimento de 70% face a 2011, com 34 certificados ISO/IEC 27001 emitidos. A APCER, como entidade acreditada pelo IPAC para a certificação de acordo com a ISO/IEC 27001, empenha-se em prestar serviços de valor acrescentado, contribuindo para a melhoria dos processos e desempenho das organizações, tornando-as mais sustentáveis, produtivas e competitivas. André Ramos Gestor de Produto APCER
	Av. Columbano Bordalo Pinheiro, 61C, 1º Andar, Escritório 13, 1070-061 Lisboa, Portugal tel. 917842136 \| 917840772 \| 917843174 \| www.qualiwork.pt \| geral@qualiwork.pt
Para deixar de receber a newsletter envie um e-mail para geral@qualiwork.pt