Resultado de imagem para ISO 27001

A norma ISO 27001 é amplamente utilizada para atestar maturidade e eficiência na gestão de Segurança da Informação das organizações, sendo sua certificação bastante valorizada por clientes e parceiros e, para efetivação de negócios, muitas vezes determinante.

Do outro lado, a organização que se propõe a implementar e manter um Sistema de Gestão de Segurança da Informação (SGSI) deve cumprir seus passos à risca, não se resumindo apenas à implementação de controles e auditorias externas.

Desta forma, utilizando a norma de forma correta (e não apenas para propaganda vazia), devemos, como gestores de Segurança da Informação, fazer com que esta ferramenta nos aponte deficiências, determine riscos, aponte soluções e ajude a gerar a estratégia desejada para proteção de dados.

E um destes quesitos passa pelas auditorias internas, que servem tanto de subsídio para as auditorias de certificação e manutenção, bem como para testar como o programa está implementado.

Neste cenário, a área de Tecnologia da Informação é peça-chave, pois pode representar, em controles aplicáveis (isso pode variar dependendo da organização a qual a norma é implementada), cerca de 70% do seu conteúdo.

Mas como auditar esta área? Devemos ter qual abordagem? O cunho deve ser técnico ou generalista?

As perguntas acima se resumem ao conceito da norma: Controles.

Devemos auditar esta – e outras áreas – com o pensamento de um gestor e focando nos controles, e não nas ramificações (por padrão, mas também pode ser subjetivo), priorizando cruzar os requerimentos com sua aplicação e implementação, sendo a efetividade disso uma questão que foge à conformidade com a norma.

Senso assim, qual deve ser o plano de auditoria para a área?

Acredito, de forma geral, que podemos agrupar os controles da seguinte forma (a norma deve ser adquirida via ABNT):

  • Gestão de Ativos e Riscos (A.8.1.1 a A.8.1.3; A.8.2.3);
  • Classificação da Informação (A.8.2.1 a A.8.2.2);
  • Responsabilidade da Gestão (A.7.2.1);
  • Proteção de Registros (A.18.1.3);
  • Criptografia (A.10.1.1 a A.10.1.2; A.18.1.5; A.18.2.2);
  • Contatos Externos (A.6.1.3 a A.6.1.4);
  • Comunicação de Incidentes (A.16.1.2 a A.16.1.3);
  • Descarte (A.8.3.2; A.11.2.5; A.11.2.7);
  • Procedimentos Operacionais (A.12.1.1);
  • Gestão de Mudanças (A.12.1.2);
  • Segregação de Funções (A.6.1.2);
  • Segragação de Ambientes (A.9.4.5; A.12.1.4; A.14.2.2; A.14.2.8; A.14.3.1);
  • Gestão de Capacidade (A.12.1.3);
  • Malware (A.12.2.1);
  • Backup (A.12.3.1);
  • Redes (A.9.1.2; A.13.1.1 a A.13.1.3; A.14.1.2);
  • Mídias Removíveis (A.8.3.1);
  • Mensageria (A.13.2.3);
  • Desenvolvimento (A.9.4.2; A.14.1.1; A.14.1.3; A.14.2.1; A.14.2.5 a A.14.2.7; A.14.2.9);
  • Gestão e Análise de Logs de Eventos (A.12.4.1 a A.12.4.3);
  • Gestão de Tempo e Sincronização (A.12.4.4);
  • Controle de Acesso (A.9.11 a A.9.2.2; A.9.4.1);
  • Gestão de Identidades (A.9.2.1; A.9.2.3 a A.9.2.5; A.9.3.1);
  • Comportamento Humano (A.11.2.8 a A.11.2.9);
  • Gestão de Senhas (A.9.4.3);
  • Gestão de Instalação e Licenciamento de Software (A.9.4.4; A.12.5.1; A.12.6.2; A.14.2.3 a A.14.2.4);
  • Requerimentos de Segurança da Informação (A.14.1.1);
  • Gestão de Dispositivos Móveis (A.6.2.1);
  • Gestão de Vulnerabilidades (A.12.6.1);
  • Gestão de Continuidade (A.17.1.1 a A.17.1.3; A.17.2.1)

Adicionalmente também é recomendável avaliar os controles GDPR (e, posteriormente, LGPD), de forma a se integrar, principalmente, com os ativos declarados pela área e mensurados quanto ao seu riscos e ao processamento e controle de dados pessoais:

  • Uso de Dados Pessoais (GDPR-01);
  • Correção de Dados (GDPR-02);
  • Retenção de Dados (GDPR-03);
  • Profiling (GDPR-04);
  • Arquivamento de Interesse Público (GDPR-05);
  • Alerta de Utilização de Dados (GDPR-06 a GDPR-08);
  • Consentimento (GDPR-09 e GDPR-10)

Fonte: Security Report