< voltar

ISO/IEC 27001 - Serviços Cloud, Privacidade, Cibersegurança e Datacenters - novos desafios para uma norma de referência no mundo da segurança empresarial

A ISO/IEC 27001 é uma norma integrada numa família de padrões desenhados para serem aplicados no universo das tecnologias da informação.

Nos últimos anos, em Portugal, temos vindo a registar um número crescente de organizações que implementaram o sistema de gestão para a segurança da informação, várias tendo atingindo a respetiva certificação.

Graças à evolução positiva da maturidade de consultores, auditores e decisores, os modelos utilizados para gestão do risco, de incidentes e da garantia de continuidade de negócio têm vindo a demonstrar uma melhor adequação às necessidades destes sistemas, o que ajuda a credibilizar o esforço coletivo para o sucesso da aposta na sua implementação.

Tal como acontece com outros sistemas de gestão, este estágio deve constituir uma oportunidade para procuramos uma evolução da sua aplicabilidade que complete a sua natureza, promovendo suporte para outros desafios e para a cobertura de temas emergentes nas tecnologias da informação e dos paradigmas associados.

A segurança da informação pode e deve ser entendida como uma estrutura de suporte a novos desafios, como são os casos do “Cloud Computing”, “Gestão de privacidade”, da “Cibersegurança” e das infraestruturas para Datacenters.

No que diz respeito ao tema “Cloud Computing, será de ter em conta que a ISO nomeou um grupo de trabalho que tem vindo a desenvolver várias normas para necessidades especificas nestas matérias, denominado ISO/IEC JTC 1/SC 38 - Cloud Computing and Distributed Platforms. Em concreto, podemos encontrar na ISO/IEC 17788 a identificação de terminologia a utilizar na identificação de serviços e componentes de Coud, assim como as diferenças pela definição ISO entre “cloud pública” e “cloud privada”.

Na norma ISO/IEC 17789 podemos encontrar temas que dizem respeito ao modelo de arquitetura de “cloud computing” endereçando alguns pontos de segurança que podem ser tratados por normas complementares.

Na família de normas ISO 27000, temos um caso concreto de aplicabilidade na norma ISO/IEC 27017 Code of practice for information security controls based on ISO/IEC 27002 for cloud services. Depreende-se do seu título que se tratam recomendações de boas práticas para a implementação de controlos de segurança aplicáveis para serviços suportados em cloud.

Um caso prático que se retira da análise desta norma tem a ver com a identificação de fronteiras de responsabilidades entre o prestador de serviços cloud e o cliente, em face da natureza técnica destes serviços.

Podemos encontrar ainda nesta família de normas algo que endereça diretamente um tema deveras oportuno nos dias de hoje em Portugal e que diz respeito à gestão da privacidade de dados.

A norma ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors permite endereçar a gestão da privacidade de dados na cloud, integrando os seus conceitos e recomendação num sistema de gestão da segurança da informação.

Em complemento, há que ter em consideração que esta norma está elaborada por forma a cumprir os requisitos para implementação da norma ISO/IEC 29100 Privacy Framework para um “PII processor”, que se constitui como um componente do sistema que executar o tratamento de “PII - Personally Identifiable Information”.

Por falar em temas da atualidade tecnológica e da respetiva segurança, certamente que a cibersegurança será um dos que tem mais destaque.

Tradicionalmente este tema tecnológico é endereçado em matérias de segurança como sendo uma preocupação de carácter tecnológico informático.

Mas... e se tivermos necessidade de integrar estas preocupações num sistema de gestão da segurança da informação, como o fazer?

A resposta está na norma ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity.

Encontramos nesta norma 3 blocos principais de orientações e recomendações, em temas que interagem com parte dos controlos do Anexo A da norma ISO/IEC 27001.

Assim, temos:

Bloco 1 - Política e Gestão do Risco
Destacam-se neste bloco a definição de “mecanismos de ataque” e o apoio que disponibiliza para a identificação de fontes de ameaças e riscos decorrentes.

Bloco 2 - Controlos e coordenação da partilha de informação
Encontramos neste bloco a esperada integração de controlos para cibersegurança com os controlos de segurança da informação, assim como recomendações especificas para a proteção do trânsito e armazenamento de informação.

Bloco 3 - Gestão de incidentes de cibersegurança
Numa abordagem muito similar à gestão de incidentes para segurança da informação, são apresentadas as recomendações de personalização para a gestão e resposta a incidentes de cibersegurança, incluindo o plano de continuidade de negócio e os respetivos testes.

Finalmente, em relação ao tema “Datacenter”, a aplicação da norma ISO/IEC 27001 acontece praticamente sempre para as componentes de serviços de tecnologias de informação.

Sendo perfeitamente aceitável esta visão, esta nota tem como objetivo chamar à atenção que as infraestruturas que suportam a operacionalização do Datacenter também elas usam suportes informáticos para o alojamento e tratamento de dados relacionados com os sistemas de energia, de climatização e de segurança física para controlo de acessos e proteção contra fogo, entre outros.

Vulgarmente conhecida como “Gestão Técnica”, esta componente utiliza todos os meios convencionais usados para os serviços aplicacionais de negócio.

Em Datacenters de maior porte poderemos encontrar soluções elaboradas e complexas que se enquadram numa definição de “BMS - Building Management System”.

Qual a pertinência deste tema em matérias de segurança da informação?

Nos últimos 5 anos têm sido registados a nível mundial dezenas de ataques de cibersegurança a estas infraestruturas, que têm como objetivo proceder ao desligamento remoto dos sistemas de suporte e como tal provocar interrupções de serviço que podem ocorrer durante horas!

Dada a sua pertinência, mas simultaneamente à sua complexidade, fica a promessa de vir a ser desenvolvido este tema num posterior artigo dedicado a estas questões.

Paulo Borges

Mais de 30 anos de experiência no mercado das Tecnologias da Informação, 10 deles em paralelo com atividades e projetos em Angola, Brasil, Marrocos e outras zonas de África.

Acreditado como ATS pelo UpTime Institute desde Setembro de 2011, com experiência comprovada na conceção e gestão de projetos em Tier II, Tier III e Tier IV em Portugal, Espanha, Marrocos e Angola.

Lead Auditor das normas ISO 27001 (Gestão da Segurança da Informação), da norma ISO 22301 (Continuidade de Negócio) e na norma ISO 20000 (Gestão de Serviços), com dezenas de projetos realizados em Portugal e em Angola, e incluindo experiência em sistemas de gestão certificados pela BSI e pela SGS.

Auditor ISO 27001 qualificado pela APCER.

Experiência em projetos internacionais de PSIM – Physical Security Infrastructure Management.

	fevereiro de 2017 \| nº31
ARTIGOS DE OPINIÃO Semelhanças entre a ISO/IEC 27001 e o Regulamento Europeu de Proteção dos Dados Pessoais A nova norma ISO IEC 30105 BPO Conhecimento organizacional - a norma 9001:2015 como ferramenta para o sucesso das organizações Semelhanças entre o CISO / Gestor de Segurança da Informação e o DPO / Encarregado de Proteção de Dados ISO/IEC 27001 - Serviços cloud, privacidade, cibersegurança e datacenters - novos desafios para uma norma de referência no mundo da segurança empresarial VOZ DO CLIENTE Informa DB Autoridade Antidopagem de Portugal Factis Conceito Multicert STEP PLMJ Macedo Vitorino ENTIDADES CERTIFICADORAS APCER Exova BM TRADA Portugal QUALIWORK E PARCEIROS Apresentação da QualiWork Apresentação da Prime Alliance Apresentação da Vercont Apresentação da Scopphu > Conheça o nosso calendário	< voltar ISO/IEC 27001 - Serviços Cloud, Privacidade, Cibersegurança e Datacenters - novos desafios para uma norma de referência no mundo da segurança empresarial A ISO/IEC 27001 é uma norma integrada numa família de padrões desenhados para serem aplicados no universo das tecnologias da informação. Nos últimos anos, em Portugal, temos vindo a registar um número crescente de organizações que implementaram o sistema de gestão para a segurança da informação, várias tendo atingindo a respetiva certificação. Graças à evolução positiva da maturidade de consultores, auditores e decisores, os modelos utilizados para gestão do risco, de incidentes e da garantia de continuidade de negócio têm vindo a demonstrar uma melhor adequação às necessidades destes sistemas, o que ajuda a credibilizar o esforço coletivo para o sucesso da aposta na sua implementação. Tal como acontece com outros sistemas de gestão, este estágio deve constituir uma oportunidade para procuramos uma evolução da sua aplicabilidade que complete a sua natureza, promovendo suporte para outros desafios e para a cobertura de temas emergentes nas tecnologias da informação e dos paradigmas associados. A segurança da informação pode e deve ser entendida como uma estrutura de suporte a novos desafios, como são os casos do “Cloud Computing”, “Gestão de privacidade”, da “Cibersegurança” e das infraestruturas para Datacenters. No que diz respeito ao tema “Cloud Computing, será de ter em conta que a ISO nomeou um grupo de trabalho que tem vindo a desenvolver várias normas para necessidades especificas nestas matérias, denominado ISO/IEC JTC 1/SC 38 - Cloud Computing and Distributed Platforms. Em concreto, podemos encontrar na ISO/IEC 17788 a identificação de terminologia a utilizar na identificação de serviços e componentes de Coud, assim como as diferenças pela definição ISO entre “cloud pública” e “cloud privada”. Na norma ISO/IEC 17789 podemos encontrar temas que dizem respeito ao modelo de arquitetura de “cloud computing” endereçando alguns pontos de segurança que podem ser tratados por normas complementares. Na família de normas ISO 27000, temos um caso concreto de aplicabilidade na norma ISO/IEC 27017 Code of practice for information security controls based on ISO/IEC 27002 for cloud services. Depreende-se do seu título que se tratam recomendações de boas práticas para a implementação de controlos de segurança aplicáveis para serviços suportados em cloud. Um caso prático que se retira da análise desta norma tem a ver com a identificação de fronteiras de responsabilidades entre o prestador de serviços cloud e o cliente, em face da natureza técnica destes serviços. Podemos encontrar ainda nesta família de normas algo que endereça diretamente um tema deveras oportuno nos dias de hoje em Portugal e que diz respeito à gestão da privacidade de dados. A norma ISO/IEC 27018 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors permite endereçar a gestão da privacidade de dados na cloud, integrando os seus conceitos e recomendação num sistema de gestão da segurança da informação. Em complemento, há que ter em consideração que esta norma está elaborada por forma a cumprir os requisitos para implementação da norma ISO/IEC 29100 Privacy Framework para um “PII processor”, que se constitui como um componente do sistema que executar o tratamento de “PII - Personally Identifiable Information”. Por falar em temas da atualidade tecnológica e da respetiva segurança, certamente que a cibersegurança será um dos que tem mais destaque. Tradicionalmente este tema tecnológico é endereçado em matérias de segurança como sendo uma preocupação de carácter tecnológico informático. Mas... e se tivermos necessidade de integrar estas preocupações num sistema de gestão da segurança da informação, como o fazer? A resposta está na norma ISO/IEC 27032:2012 Information technology -- Security techniques -- Guidelines for cybersecurity. Encontramos nesta norma 3 blocos principais de orientações e recomendações, em temas que interagem com parte dos controlos do Anexo A da norma ISO/IEC 27001. Assim, temos: Bloco 1 - Política e Gestão do Risco Destacam-se neste bloco a definição de “mecanismos de ataque” e o apoio que disponibiliza para a identificação de fontes de ameaças e riscos decorrentes. Bloco 2 - Controlos e coordenação da partilha de informação Encontramos neste bloco a esperada integração de controlos para cibersegurança com os controlos de segurança da informação, assim como recomendações especificas para a proteção do trânsito e armazenamento de informação. Bloco 3 - Gestão de incidentes de cibersegurança Numa abordagem muito similar à gestão de incidentes para segurança da informação, são apresentadas as recomendações de personalização para a gestão e resposta a incidentes de cibersegurança, incluindo o plano de continuidade de negócio e os respetivos testes. Finalmente, em relação ao tema “Datacenter”, a aplicação da norma ISO/IEC 27001 acontece praticamente sempre para as componentes de serviços de tecnologias de informação. Sendo perfeitamente aceitável esta visão, esta nota tem como objetivo chamar à atenção que as infraestruturas que suportam a operacionalização do Datacenter também elas usam suportes informáticos para o alojamento e tratamento de dados relacionados com os sistemas de energia, de climatização e de segurança física para controlo de acessos e proteção contra fogo, entre outros. Vulgarmente conhecida como “Gestão Técnica”, esta componente utiliza todos os meios convencionais usados para os serviços aplicacionais de negócio. Em Datacenters de maior porte poderemos encontrar soluções elaboradas e complexas que se enquadram numa definição de “BMS - Building Management System”. Qual a pertinência deste tema em matérias de segurança da informação? Nos últimos 5 anos têm sido registados a nível mundial dezenas de ataques de cibersegurança a estas infraestruturas, que têm como objetivo proceder ao desligamento remoto dos sistemas de suporte e como tal provocar interrupções de serviço que podem ocorrer durante horas! Dada a sua pertinência, mas simultaneamente à sua complexidade, fica a promessa de vir a ser desenvolvido este tema num posterior artigo dedicado a estas questões. Paulo Borges Mais de 30 anos de experiência no mercado das Tecnologias da Informação, 10 deles em paralelo com atividades e projetos em Angola, Brasil, Marrocos e outras zonas de África. Acreditado como ATS pelo UpTime Institute desde Setembro de 2011, com experiência comprovada na conceção e gestão de projetos em Tier II, Tier III e Tier IV em Portugal, Espanha, Marrocos e Angola. Lead Auditor das normas ISO 27001 (Gestão da Segurança da Informação), da norma ISO 22301 (Continuidade de Negócio) e na norma ISO 20000 (Gestão de Serviços), com dezenas de projetos realizados em Portugal e em Angola, e incluindo experiência em sistemas de gestão certificados pela BSI e pela SGS. Auditor ISO 27001 qualificado pela APCER. Experiência em projetos internacionais de PSIM – Physical Security Infrastructure Management.
	Av. Columbano Bordalo Pinheiro, 61C, 1º Andar, Escritório 13, 1070-061 Lisboa, Portugal tel. 917842136 \| 917840772 \| 917843174 \| www.qualiwork.pt \| geral@qualiwork.pt
Para deixar de receber a newsletter envie um e-mail para geral@qualiwork.pt