• (19) 2042-2150
  • (11) 4210-8150

Norma ISO 27002: novos controles e boas práticas!

Mão humana entrando em contato com holograma sobre a norma ISO 27002

 

No final de 2022, a versão brasileira da norma ISO 27002 foi revisada. Uma série de controles sobre gestão de tecnologias da informação foram adicionados, incluindo várias práticas de conformidade que se relacionam diretamente com a Lei Geral de Proteção de Dados (LGPD).

Por isso, separamos um panorama a respeito da norma e sua importância nas práticas de backup e compliance, além de comentar um pouco mais sobre a revisão e o conteúdo vigente.

O que é a norma ISO 27002?

Reunindo uma série de controles de segurança de dados, a ISO 27002 foi estruturada pela International Organization for Standardization (ISO) e faz parte da família de normas sobre segurança da informação, a ISO/IEC 27000.

Esse conjunto é composto por boas práticas internacionais, envolvendo requerimentos e procedimentos, assim, empresas de todos os portes e setores têm um alicerce na implementação, no fortalecimento e na manutenção da cibersegurança.

Estrutura da norma ISO 27002

Feita para auxiliar na construção de um Sistema de Gestão de Segurança da Informação (SGSI), a norma teve a primeira versão publicada em 2013, contando com 114 controles.

Voltados para o cenário de segurança, privacidade e proteção de dados, esses controles foram revisados em 2022 devido à necessidade de atender novos ambientes organizacionais, marcados pela adoção de práticas e tecnologias atuais nas empresas, modificando rotinas de gestão e atuação como um todo.

Profissional de TI usando holograma representando a Terra

A norma ISO 27002 traz padrões para o enfrentamento de questões atuais de cibersegurança.

Para entender melhor quais são os controles aplicáveis a cada circunstância e instituição, a recomendação é que uma avaliação de riscos seja feita como parte inicial da operação. Nem todos os controles listados serão utilizados, mas é possível identificar o maior número possível para minimizar questões de cibersegurança.

Além disso, todos são distribuídos em temas e atributos usados para filtrar, classificar e apresentar diferentes perspectivas, sendo:

  • Tipo do controle: preventivo, detectivo ou corretivo.
  • Propriedades de segurança da informação: confidencialidade, integridade ou disponibilidade.
  • Conceitos de segurança cibernética: identificar, proteger, detectar, responder ou recuperar.
  • Domínios de segurança: governança e ecossistema, proteção, defesa ou resiliência.
  • Capacidades operacionais: possui uma lista com 14 capacidades, que são os assuntos relacionados a cada controle, como Governança, Gestão de ativos, etc.

Revisão brasileira da norma em 2022

Revisada no final de 2022, a norma ISO 27002 se adequou às novas ameaças e questões atuais sobre o tratamento de informações. Depois de entrar em consulta nacional pela ABNT, o regimento foi traduzido e agora conta com 93 controles distribuídos em quatro seções:

  • Controles organizacionais;
  • Controles de pessoas;
  • Controles físicos;
  • Controles tecnológicos.

Seções da norma ISO 27002

O documento é organizado da seguinte forma: as quatro primeiras seções são introdutórias e trazem o escopo, as referências normativas, uma lista com termos e definições e a estrutura dos controles registrados. Também possui dois anexos contendo a relação com a norma atual e a antiga ISO 27002:2013, além de uma lista em relação ao uso de atributos.

Mão humana tocando em holograma que representa a família de normas ISO 27000

A norma traz uma lista de controles atualizada e outra de atributos relacionados a cada uma.

É a partir da quinta seção que começam a ser listados todos os controles, a divisão é feita a partir de quatro grandes necessidades da segurança da informação

Controles organizacionais

Esta lista está relacionada a questões de Gerenciamento de Segurança da Informação (GSI) que tenham escopo amplo com foco em processos e governança. Veja a lista completa dos 37 controles listados:

  • 5.1 Políticas de segurança da informação;
  • 5.2 Papéis e responsabilidades pela segurança da informação;
  • 5.3 Segregação de funções;
  • 5.4 Responsabilidades da direção;
  • 5.5 Contato com autoridades;
  • 5.6 Contato com grupos de interesse especial;
  • 5.7 Inteligência de ameaças;
  • 5.8 Segurança da informação no gerenciamento de projetos;
  • 5.9 Inventário de informações e outros ativos associados;
  • 5.10 Uso aceitável de informação e outros ativos associados;
  • 5.11 Devolução de ativos;
  • 5.12 Classificação das informações;
  • 5.13 Rotulagem de informações;
  • 5.14 Transferência de informações;
  • 5.15 Controle de acesso;
  • 5.16 Gestão de identidade;
  • 5.17 Informações de autenticação;
  • 5.18 Direitos de acesso;
  • 5.19 Segurança da informação nas relações com fornecedores;
  • 5.20 Abordagem da segurança da informação nos contratos de fornecedores; 
  • 5.21 Gestão da segurança da informação na cadeia de fornecimento de TIC;
  • 5.22 Monitoramento, análise crítica e gestão de mudanças dos serviços de fornecedores;
  • 5.23 Segurança da informação para uso de serviços em nuvem;
  • 5.24 Planejamento e preparação da gestão de incidentes de segurança da informação;
  • 5.25 Avaliação e decisão sobre eventos de segurança da informação;
  • 5.26 Resposta a incidentes de segurança da informação;
  • 5.27 Aprendizado com incidentes de segurança da informação;
  • 5.28 Coleta de evidências;
  • 5.29 Segurança da informação durante a disrupção;
  • 5.30 Prontidão de TIC para continuidade de negócios;
  • 5.31 Requisitos legais, estatutários, regulamentares e contratuais;
  • 5.32 Direitos de propriedade intelectual;
  • 5.33 Proteção de registros;
  • 5.34 Privacidade e proteção de dados pessoais;
  • 5.35 Análise crítica independente da segurança da informação;
  • 5.36 Conformidade com políticas, regras e normas para segurança da informação;
  • 5.37 Documentação dos procedimentos de operação.

Controles de pessoas

A lista de procedimentos está associada à contratação, conscientização, educação e ao treinamento, além de relatos de eventos e incidentes. Tudo que diz respeito ao comportamento das pessoas em uma organização é relatado nesta seção. 

  • 6.1 Seleção;
  • 6.2 Termos e condições de contratação;
  • 6.3 Conscientização, educação e treinamento em segurança da informação;
  • 6.4 Processo disciplinar;
  • 6.5 Responsabilidades após encerramento ou mudança da contratação;
  • 6.6 Acordos de confidencialidade ou não divulgação;
  • 6.7 Trabalho remoto;
  • 6.8 Relato de eventos de segurança da informação.

Controles físicos

A seção concentra boas práticas que servem para minimizar problemas de segurança da informação que envolvam ativos físicos. São consideradas desde questões de infraestrutura até a manutenção e o ciclo de vida dos equipamentos.

  • 7.1 Perímetros de segurança física;
  • 7.2 Entrada física;
  • 7.3 Segurança de escritórios, salas e instalações;
  • 7.4 Monitoramento de segurança física;
  • 7.5 Proteção contra ameaças físicas e ambientais;
  • 7.6 Trabalho em áreas seguras;
  • 7.7 Mesa limpa e tela limpa;
  • 7.8 Localização e proteção de equipamentos;
  • 7.9 Segurança de ativos fora das instalações da organização;
  • 7.10 Mídia de armazenamento;
  • 7.11 Serviços de infraestrutura;
  • 7.12 Segurança do cabeamento;
  • 7.13 Manutenção de equipamentos;
  • 7.14 Descarte seguro ou reutilização de equipamentos.

Controles tecnológicos

Dividida em 34 controles, esta seção aborda todo tipo de ativo tecnológico, desde a rede ao uso de softwares terceirizados e demais tecnologias. Concentra boas práticas de gestão de segurança cibernética.

  • 8.1 Dispositivos endpoint do usuário;
  • 8.2 Direitos de acessos privilegiados;
  • 8.3 Restrição de acesso à informação;
  • 8.4 Acesso ao código-fonte;
  • 8.5 Autenticação segura;
  • 8.6 Gestão de capacidade;
  • 8.7 Proteção contra malware;
  • 8.8 Gestão de vulnerabilidades técnicas;
  • 8.9 Gestão de configuração;
  • 8.10 Exclusão de informações;
  • 8.11 Mascaramento de dados;
  • 8.12 Prevenção de vazamento de dados;
  • 8.13 Backup das informações;
  • 8.14 Redundância dos recursos de tratamento de informações;
  • 8.15 Log;
  • 8.16 Atividades de monitoramento;
  • 8.17 Sincronização do relógio;
  • 8.18 Uso de programas utilitários privilegiados;
  • 8.19 Instalação de software em sistemas operacionais;
  • 8.20 Segurança de redes;
  • 8.21 Segurança dos serviços de rede;
  • 8.22 Segregação de redes;
  • 8.23 Filtragem da web;
  • 8.24 Uso de criptografia;
  • 8.25 Ciclo de vida de desenvolvimento seguro;
  • 8.26 Requisitos de segurança da aplicação;
  • 8.27 Princípios de arquitetura e engenharia de sistemas seguros;
  • 8.28 Codificação segura;
  • 8.29 Testes de segurança em desenvolvimento e aceitação;
  • 8.30 Desenvolvimento terceirizado;
  • 8.31 Separação dos ambientes de desenvolvimento, teste e produção;
  • 8.32 Gestão de mudanças;
  • 8.33 Informações de teste;
  • 8.34 Proteção de sistemas de informação durante os testes de auditoria.

Objetivos e boas práticas da norma ISO 27002 

Como vimos, a norma concentra as melhores práticas de segurança da informação, listando diversos componentes que devem ser adaptados conforme a necessidade das instituições.

A lista é completa, já que inclui não só as questões de cibersegurança, mas também controles para a proteção de informações em ativos não tecnológicos em ambientes físicos. O que quer dizer que cobre práticas de implantação de uma estrutura resiliente de forma geral. Não por acaso os controles se dividem em quatro grandes frentes, retomando:

  • Controles organizacionais: políticas, procedimentos e estruturas organizacionais implementados para gerenciar e proteger os recursos de TI da empresa.
  • Controles de pessoas: medidas tomadas para garantir que apenas pessoas autorizadas tenham acesso aos recursos de TI da empresa.
  • Controles físicos: medidas de segurança física implementadas para proteger os recursos de TI da empresa.
  • Controles tecnológicos: medidas de segurança implementadas por meio de recursos de TI, como software antivírus e firewalls.

Cabe ao profissional responsável pelo planejamento e execução dessas demandas adaptar aquilo que for necessário, pensando sempre na realidade do negócio. O recomendado é abordar a segurança de forma holística, ou seja, olhar para as questões em conjunto e não isoladas.

Quais os benefícios de aplicar a norma ISO 27002?

Implementar as diretrizes de segurança da informação da ISO 27002 ajuda as organizações a garantir que as informações estejam protegidas contra uso ou acesso não autorizado, assim como a perda, o sequestro e a destruição dos dados. 

Além disso, as organizações que aplicam a norma ISO 27002 são capazes de melhorar a satisfação dos clientes e a competitividade no mercado. Outros benefícios incluem a redução do tempo e dos custos associados à segurança da informação, além de uma maior transparência e responsabilidade.

A conformidade com a norma ISO 27002 também ajuda a melhorar a reputação da companhia e a credibilidade de seus produtos e serviços. Seu cumprimento é requerimento para a obtenção do selo ISO 27000, focado no SGSI, juntamente com os componentes e a certificação da ISO 27001.

Banner com o texto: Quer saber quais são os tipos de armazenamento? Clique aqui!

Relação entre a norma ISO 27002 e a LGPD

Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) é um regulamento específico para o tratamento de informações, sensíveis ou não. Já a ISO 27002 é um conjunto de boas práticas para a implementação de diferentes procedimentos para o gerenciamento do SGSI como um todo.

Isso quer dizer que a norma ISO 27002 é opcional, ela lista os processos que podem ser aplicados, enquanto a LGPD é uma lei e deve ser cumprida integralmente. Ainda assim, seguir os conceitos presentes na ISO ajuda na criação e manutenção de um ambiente mais controlado de forma preventiva.

Com algumas mudanças culturais em empresas, como a consolidação do trabalho híbrido e remoto, novos cenários e desafios para a cibersegurança surgiram. A revisão da ISO 27002:2022 é reflexo de novos tempos e trouxe um olhar mais realista à atualidade organizacional das instituições. 

Isso é evidenciado pela adição de controles específicos para itens como as tecnologias em nuvem e seus ambientes, assim como o uso de criptografia. Incluindo cuidados com a documentação de processos de cópias de segurança, mascaramento de dados e políticas de retenção e descarte de informações.

Cada vez mais, os dados desempenham um papel importante na estratégia dos negócios. Eles se destacam como diferencial competitivo na tomada de decisão e fornecimento de insights para o desenvolvimento de ações. Por isso, os cuidados com a cibersegurança são fundamentais para o funcionamento das instituições.

Conhecer a norma ISO 27002:2022 e outros documentos relacionados à segurança da informação é essencial para assegurar a adoção das melhores práticas de SGSI. Quer proteger seus dados e ainda garantir a conformidade com a LGPD na nuvem? Baixe nosso e-book e confira as melhores estratégias!

Banner sobre e-book LGPD e Nuvem: Implicações e formas de adaptação. Baixar gratuitamente.

Índice

Aprofunde seu conhecimento com nossos e-books

Anterior
Próximo
Datasafer
Av. Antônio Artioli, 570 - CJ 34, Swiss Park Office - Campinas/SP - CEP: 13049-900 CNPJ: 17.549.929/0001-77
Política de Privacidade | Termos de Uso