Por Pedro Bagulho e Rafael Costa, Information Security Senior Consultants da Integrity part of Devoteam

Antes de falarmos, de forma mais pormenorizada, sobre as novidades da versão 2022 das normas ISO 27002 e ISO 27001, convém fazer uma pequena contextualização quanto aos atuais riscos de segurança da informação, segurança cibernética e privacidade. 

Não é com certeza novidade, mas nos últimos anos o número de ciberataques com sucesso aumentou consideravelmente, por isso gerir a segurança da informação das organizações passou a ser ponto absolutamente prioritário, já que os impactos que dai advém causam inúmeros constrangimentos, alguns deles com danos irrecuperáveis.  

Independentemente do seu grau de maturidade digital, há que ter consciência que todas as organizações estão em risco, e a atualização já publicada da norma ISO 27002:2022 o que traz é precisamente continuar a ajudar as empresas a lidar com os cenários de segurança da informação em constante mudança, como os riscos cibernéticos e de privacidade.

De forma objetiva, as alterações na versão 2022 da norma ISO 27002:2022 de controlos de referência e orientações genéricas de segurança da informação estão essencialmente relacionadas com 4 aspetos: o “Code of Practice” que foi retirado do título; 4 “temas” que agora agrupam os controlos: Organizacional, Pessoas, Físico e Tecnológico; 93 controlos em vez dos 114 anteriores (na versão 2013) que ajudam as empresas a lidar com novos cenários de segurança da informação, cibersegurança e proteção de privacidade; e a introdução de 5 “atributos” aos controlos para permitir filtrar, classificar ou apresentar controlos de diferentes maneiras.

Ora, estas alterações na ISO 27002:2022 implicam, por sua vez, alterações expetáveis na ISO 27001:2022, sendo de realçar as seguintes alterações: a designação da norma será alterada para “ISO 27001:2022 – Information security, cybersecurity and privacy protection”, dando maior ênfase aos riscos cibernéticos e riscos de proteção de privacidade; o texto de algumas cláusulas que reorganizam alguns aspetos e ajudam a interpretar outros; e a reformulação da estrutura e conteúdo do Anexo A para acomodar as alterações aos controlos da ISO 27002. 

Diríamos mesmo que a grande alteração na norma se consubstancia na introdução de 11 novos controlos no Anexo A. E porque surgem estes novos controlos? Precisamente porque a norma 27002 passou a abranger não só a segurança da informação, mas também a cibersegurança e a proteção da privacidade. 

Sem entrar por muitas especificações técnicas, mas olhando para os 11 novos controlos, cada um tem um propósito: (1) 5.7 Threat Intelligence, para obtenção de informações sobre ameaças do contexto da organização para que as ações de mitigação possam ser tomadas; (2) 5.23 Segurança da Informação Para Uso de Serviços na Cloud, para especificar e gerir a segurança da informação para o uso de serviços baseados em cloud; (3) 5.30 Prontidão de Tecnologias de Informação e Comunicação para a Continuidade de Negócio, de forma a garantir a disponibilidade da informação da organização e outros ativos associados durante uma eventual disrupção; (4) 7.4 Monitorização da Segurança Física, com o intuito de
detetar e impedir o acesso físico não autorizado; (5) 8.9 Gestão de Configurações, para garantir que o hardware, software, serviços e redes funcionam de acordo com configurações de segurança estabelecidas e que a configuração não é alterada por modificações não autorizadas ou incorretas; (6) 8.10 Eliminação da Informação, para evitar a exposição desnecessária de informações confidenciais e para cumprir os requisitos legais, requisitos estatutários, regulamentares e contratuais para exclusão de informações; (7) 8.11 Mascaramento de Dados, para limitar a exposição de dados confidenciais, incluindo dados pessoais, assim como cumprir as normas legais, estatutárias, requisitos regulamentares e contratuais; (8) 8.12 Prevenção na Fuga de Dados, para detetar e impedir a divulgação não autorizadas e/ou exfiltração de dados e informações por parte de indivíduos ou sistemas; (9) 8.16 Atividades de Monitorização, para detetar comportamentos anómalos e possíveis incidentes de segurança da informação; (10) 8.23 Filtragem Web, para proteger os sistemas de serem comprometidos por malware e impedir o acesso a recursos da web não autorizados e, por fim, (11) 8.28 Código Seguro, para garantir que o software seja desenvolvido de forma segura, reduzindo assim o número de potenciais vulnerabilidades de segurança da informação no software.

É importante considerar algumas das atividades a realizar, para quem já implementou a ISO 27001:2013 como: executar uma análise de gap, realizar uma análise de risco, rever o Plano de Tratamento de Risco, rever e atualizar a informação documentada do SGSI, atualizar as evidências que são recolhidas assim como a Declaração de Aplicabilidade e ainda fazer uma auditoria interna e revisão pela gestão. 

Perante isto, é natural que surja a dúvida se se deverá certificar já na nova versão ISO27001:2022. A resposta é não, neste momento, há que obter a certificação pela versão 2013, esperar a publicação da versão 2022, transitar para essa nova versão a partir de meados de 2023 e, então, certificar a versão de 2022. E tudo isto não só porque as entidades certificadoras têm 6 meses para obter acreditação (meados de 2023), mas também porque o prazo de transição é de dois anos após a publicação (meados/finais de 2024).

Em suma, as organizações podem começar já a preparar-se com base no conteúdo da ISO27002:2022 e a tomar consciência que devem unir todos os esforços à volta da gestão da segurança de informação. A obtenção de certificação em normas, reconhecidas internacionalmente pelo seu modelo de gestão, espelha a visão estratégica no cuidado de tomar as devidas diligências face aos desafios que as organizações enfrentam, já que todos os anos se intensificam este tipo de ameaças e ataques que prejudicam, de forma cada vez mais feroz, a resiliência, a continuidade e o crescimento dos negócios.