ISO/IEC 27001:2022 Alterações chave

ISO/IEC 27001:2022  Alterações-chave

A proteção das operações diárias orientadas pela informação, dados pessoais e propriedade intelectual contra ameaças é imprescindível para empresas de todas as dimensões. Os ataques cibernéticos, a adaptação a riscos de segurança da informação em constante mudança exige uma abordagem à construção da resiliência das empresas.

A nova versão da ISO/IEC 27001:2022 é uma das principais referências internacionais em segurança da informação  foi publicada em Outubro de 2022.

As ameaças digitais com características cada vez mais ofensivas estão continuamente em desenvolvimento e o foco da norma é a gestão do risco e a orientação do processo na gestão da segurança da informação. A  nova versão ISO/IEC 27001 define os requisitos para estabelecer, implementar, manter e sustentar um sistema de gestão da segurança da informação (SGSI) para as empresas, independentemente da sua estrutura, tamanho ou segmento. 

Refletindo a evolução tecnológica e a abrangência dos temas associados à segurança, o título da norma alterou: ISO/IEC 27001:2022 – Segurança da informação, cibersegurança e proteção da privacidade – Sistemas de gestão da segurança da informação – Requisitos.

Outra mudança interessante é a adaptação à chamada “Estrutura Harmonizada”,  que é a estrutura básica e o modelo para o desenvolvimento de novas e futuras revisões das normas do sistema de gestão ISO. Uma das mudanças significativas desta alteração é o novo requisito 6.3, que exige que as alterações ao SGSI sejam implementadas de uma forma planeada. Esta exigência é comum a outros sistemas de gestão e expressa a expectativa de que um processo de mudança relacionado com o SGSI.

Além de clarificação e pequenas modificações em alguns requisitos, esta nova versão da ISO apresenta outas importantes mudanças, nomeadamente no número e classificação dos controlos de segurança (Anexo A).

No Anexo A, podemos observar dois novos aspectos: temas e atributos. Os temas referem-se à forma de categorização dos controlos de segurança e é possível encontrar quatro temas: controlos para pessoas, físicos, tecnológicos e organizacionais. Os atributos dos controlos referem-se a uma classificação baseada em outras perspectivas ou abordagens, de modo que os atributos podem ser usados para filtrar, classificar ou apresentar diferentes controlos, permitindo visões e perspectivas diferentes sobre os mesmos. São considerados cinco atributoso:

  • Tipo de controlo é um atributo para a visão dos controlos na perspectiva de quando e como uma medida altera o risco relacionado com a ocorrência de um incidente de segurança da informação (preventivo, detetivo ou corretivo).
  • Propriedades de segurança da informação é um atributo para a visualização dos controlos na perspectiva de que objetivo de proteção a medida se destina a apoiar (confidencialidade, integridade e disponibilidade).
  • Conceitos de cibersegurança analisa os controlos da perspectiva de como eles mapeiam para o quadro de cibersegurança (identificar, proteger, detectar, responder e recuperar).
  • Capacidade Operacional considera os controlos na perspectiva das suas capacidades operacionais de segurança da informação e apoia uma visão prática dos utilizadores das medidas (capacidades de segurança sob a perspectiva de profissionais, como governança ou segurança física).
  • Domínios de Segurança é um atributo que permite que os controlos sejam vistos da perspectiva de quatro domínios de segurança da informação (governança e ecossistema, proteção, defesa e resiliência).

Outra mudança significativa é a redução do número de controlos de segurança de 114 para 93.  Os controlos que constam no Anexo A são extraídos diretamente da ISO/IEC 27002:2022 de março/2022. É possível identificar 8 controlos para pessoas, 14 controlos físicos, 34 controlos tecnológicos e 37 controlos organizacionais. Pode-se ainda observar que o conceito “objetivos do controlo” foi eliminado.

A nova estruturação dos controlos:

  • Controlos novos: 11
  • Controlos alterados: 58
  • Controlos fundidos: 24

Novos controlos:

  • A.5.7 Threat intelligence
  • A.5.23 Information security for use of cloud services
  • A.5.30 ICT readiness for business continuity
  • A.7.4 Physical security monitoring
  • A.8.9 Configuration management
  • A.8.10 Information deletion
  • A.8.11 Data masking
  • A.8.12 Data leakage prevention
  • A.8.16 Monitoring activities
  • A.8.23 Web filtering
  • A.8.28 Secure coding

De notar que estes controlos de segurança não são obrigatórios – a norma ISO 27001 permite excluir um controlo se (i) não identificou riscos relacionados e (ii) não existem requisitos legais/regulamentares/contratuais para implementar determinado controlo.

Considerando que certificados na versão 2013 expiram a 31/10/2025,  é fundamental lembrar etapas importantes para a transição:

  • Criar um plano de formação para aquisição de conhecimento em torno da norma
  • Rever matriz do risco associada aos novos controlos e plano de tratamento do risco
  • Verificar Plano de Tratamento do Risco (PTR) atualizado
  • Rever SOA á luz da nova estrutura do Anexo A
  • Confirmar a implementação e efetividade dos controlos novos ou alterados
  • Rever politicas e procedimentos na medida do necessário
  • Implementar as alterações identificadas
  • Verificar a gestão de alterações

Carlos Silva

Especialista para sistemas de gestão de segurança da informação (SGSI) 
Senior Lead Implementer  &  Auditor ISO 27001

Selo Digital – Cibersegurança

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

Existem quatro Selos de Maturidade Digital e um Selo Global que refletem a certificação em três níveis distintos: Bronze, Prata e Ouro. Cada selo apresenta a dimensão da certificação e o respetivo nível alcançado pela organização.

Fonte: Disponível em <https://selosmaturidadedigital.incm.pt/SMD/>

O Selo digital da Cibersegurança sela o compromisso de todas as organizações com a adoção de um guião para o processo de transição digital, num mundo e tempo marcados pela cada vez maior dependência das tecnologias de informação e comunicação (TIC).

O certificado Selo Digital Cibersegurança tem por objetivo testemunhar o compromisso da organização certificada com a cibersegurança e um referencial na cultura da organização.

A transformação digital é uma realidade inevitável e o certificado Selo Digital Cibersegurança pode ser adquirido por organizações de todas as dimensões, sejam do setor privado ou setor público, representando uma oportunidade para as organizações se tornarem mais competitivas no mercado e mais eficazes.

É uma iniciativa desenvolvida em parceria com o Instituto Português de Acreditação e o Instituto Português da Qualidade, as entidades certificadoras e a Imprensa Nacional Casa da Moeda.

O certificado Selo Digital Cibersegurança compreende três níveis de garantia – Bronze, Prata e Ouro, que permitem à organização selecionar o nível de garantia mais adequado às suas necessidades de cibersegurança e às necessidades do contexto em que se inserem.

A Controgal Consulting é especializada na implementação da norma “Maturidade Digital – Selo Digital – Cibersegurança” e presta serviços de consultoria a fim de garantir que os seus clientes estão em conformidade com as medidas e as boas práticas exigidas pela norma.

 

O RGPD e as nossas escolas

No seguimento das sessões de formação de sensibilização e de consultoria na implementação do Sistema Gestão de Privacidade da Dados (SGPD), focando as obrigações e a forma de obter a conformidade ao Regulamento Geral de Proteção de Dados da UE (RGPD), que tenho ministrado em escolas, decidi neste artigo referir alguns dos novos desafios que se colocam aos estabelecimentos escolares.

O RGPD traz novos direitos para que os residentes europeus tenham controle sobre seus dados pessoais. O RGPD reúne o melhor destas leis individuais e cria uma única regulamentação pan-europeia que cria consistência para os indivíduos na proteção e controle de seus dados pessoais e pode ser facilmente implementada em toda a UE pelos fornecedores de serviços e bens. Além disso, é uma oportunidade para todas as organizações melhorarem a segurança da informação pela qual são responsáveis, seja informação empresarial, de negócio, dados pessoais ou de qualquer outra natureza administrativa/financeira e assim também aproveitar a oportunidade para tomar novas medidas para garantir a segurança de toda a informação. De referir que a digitalização de processos, da informação e dos negócios, a segurança passa a ter um nível de exigência sem precedentes.

Os nossos filhos são talvez a comunidade mais importante para a qual este novo regulamento ajuda a fornecer novas proteções. À medida que as crianças usam cada vez mais aplicativos online, e como nossas escolas estão usando novas tecnologias inovadoras online na sala de aula, essas novas proteções dos dados pessoais são bem-vindas.

O tratamento de dados pessoais dos nossos filhos tem que ser realizado de forma confiável. O fundamento dessa confiança é construído em torno dos princípios do RGPD.

Qualquer estabelecimento escolar que pretenda coletar e tratar dados dos alunos deve fornecer uma base jurídica para essa ação. Se o consentimento for usado como base legal para o processamento de dados, o consentimento deve ser fornecido por uma pessoa com responsabilidade parental se a criança tiver menos de 13 anos. De notar que o aviso de consentimento e privacidade deve ser escrito em linguagem simples que possa ser entendida por crianças e por quem tem a responsabilidade parental.

Para as escolas que usam serviços online na sala de aula, serviços de e-mail, redes sociais, colaboração de documentos e material didático online, será necessária uma atenção especial para garantir que os serviços utilizados sejam totalmente compatíveis com o RGPD.

Alguns passos importantes:

Sensibilizar

·        Certificar que os pessoais docentes e não docentes dentro da escola estão cientes das novas regras de proteção de dados pessoais ao abrigo do RGPD

·        Estar ciente das implicações ao nível da responsabilidade da gestão do estabelecimento escolar por não estar em conformidade com as obrigações do RGPD

·        Realizar ações de formação para que as pessoas entendam as mudanças dentro da escola

Nomear um Encarregado de Proteção de Dados (DPO), se necessário

O RGPD exige que as organizações nomeiem um Encarregado de Proteção de Dados (DPO) obrigatório somente em determinadas circunstâncias (artigo 37º).

Esta função pode ser desempenhada por um elemento interno da organização ou pode ser contratada a uma entidade externa.

Nas situações em que não seja mandatório nomear um DPO, na minha opinião, é sempre recomendável nomear um ponto de contato, alguém interno ou externo por subcontratação, que seja o responsável por informar e aconselhar a empresa sobre a conformidade da proteção de dados, aconselhar sobre a avaliação do impacto da proteção de dados, monitorizar a conformidade da proteção de dados, ministrar formação, realizar auditorias relacionadas com esta área e cooperar e atuar como ponto de contacto com os titulares dos dados e com as autoridades de controlo da proteção de dados.

Considere os dados que a escola possui e o que faz com esses dados

·        Realizar um mapeamento e inventariação dos dados pessoais que a escola atualmente possui, dos tratamentos e dos fluxos de dados pessoais para terceiros. É provável que isso implique uma auditoria completa de proteção de dados.

·        Rever a base jurídica para processar os dados pessoais que a escola possui. Por exemplo, a escola obteve o consentimento dos pais / funcionários ou o processamento necessário para que a escola cumpra suas obrigações legais?

Note que crianças menores de 16 anos não podem “consentir” o processamento de seus dados pessoais.

Rever procedimentos existentes

Rever como a escola procura, obtém e registra dados pessoais e o consentimento dos titulares dos dados.

Alguns pontos a considerar:

·        A escola possui sistemas adequados para corrigir ou apagar dados a pedido de um indivíduo?

·        Tem procedimento para responder a uma solicitação de acesso, oposição ou esquecimento?

·        Há políticas e procedimentos que permitam avaliar e gerir os riscos?

·        Existe procedimentos para tratamento de dados pessoais não automatizados?

·        Os sistemas garantem a confidencialidade, integridade e disponibilidade dos dados?

·        Consegue-se detetar qualquer violação de dados logo que ocorra e comunicá-la em 72 horas?

Por fim, não basta fazer, há que demonstrar:

·        Conseguimos recolher evidências e demonstrar que cumprimos com o RGPD?

O ponto de partida para esta missão é garantir que as escolas tenham as técnicas e as medidas organizacionais de que precisam para ser seguras e produtivas no nosso mundo digitalmente transformador e que cumpram as obrigações do novo regime do RGPD.