ISO 27001:2013 – O que muda com a atualização da maior norma de Segurança da Informação?

O ano de 2013 nos brindou com diversas noticias sobre ataques de hackers, vazamentos de informação, espionagem digital, invasão de privacidade (oi Obama!) e a consequência é que todos os holofotes estão mais que nunca apontados para o tema Segurança da Informação.

É nesse contexto que nos últimos dias chegou a nova revisão da ISO 27001. Padrão internacional que – junto das demais publicações da família 27000 – há mais de uma década tem sido uma das principais referências sobre Segurança da Informação para empresas e profissionais em todo o mundo.

Uma série de perguntas fica no ar: O que realmente muda? A norma está mais efetiva?

Claro, quem é responsável pela gestão de um SGSI está imaginando a quantidade de novos controles e documentos obrigatórios para obter ou manter a certificação da sua empresa.

Sem mais delongas, vamos as mudanças!

Maior alinhamento com outros sistemas de gestão

Uma das dificuldades de quem implementa mais de um sistema de gestão ISO (e.g. 27001 x 9001) é saber que apesar das normas possuirem requisitos em comum, existem várias diferenças no que tange a definições .

Uma das modificações da 27001:2013 é o alinhamento com as diretrizes do Annex SL (conhecido antigamente como ISO Guide 83), que padroniza definições e estruturas de diferentes padrões ISO. Com isso, a norma está completamente  alinhada com outros padrões ISO como ISO 9001, ISO 14000, ISO 20000, ISO 22000, ISO 22301.

Empresas que possuem mais de um sistema de gestão poderão centralizar e integrar os mesmo de uma forma efetiva, reduzindo a sobrecarga administrativa.

Período de Transição

A ISO 27001:2013 já está valida e publicada no exterior. No Brasil a expectativa é que a ABNT publique a versão em português ainda este ano. Mas o que acontece com quem ainda está usando a versão 2005?

Se sua empresa está próxima de obter ou já possui certificação 27001:2005 não entre em pânico! Ainda é possível obter ou renovar a certificação na versão antiga até Setembro de 2014.

O prazo limite para migrar para a versão de 2013 é de dois anos, apenas em Setembro de 2015.

Documentos obrigatórios

A lista de documentos obrigatórios não assusta, especialmente se você já está acostumado com os requisitos da versão anterior:

• Documentos:
  • Scope of the ISMS (clause 4.3)
  • Information security policy and objectives (clauses 5.2 and 6.2)
  • Risk assessment and risk treatment methodology (clause 6.1.2)
  • Statement of Applicability (clause 6.1.3 d)
  • Risk treatment plan (clauses 6.1.3 e and 6.2)
  • Risk assessment report (clause 8.2)
  • Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
  • Inventory of assets (clause A.8.1.1)
  • Acceptable use of assets (clause A.8.1.3)
  • Access control policy (clause A.9.1.1)
  • Operating procedures for IT management (clause A.12.1.1)
  • Secure system engineering principles (clause A.14.2.5)
  • Supplier security policy (clause A.15.1.1)
  • Incident management procedure (clause A.16.1.5)
  • Business continuity procedures (clause A.17.1.2)
  • Statutory, regulatory, and contractual requirements (clause A.18.1.1)

• Registros:
  • Records of training, skills, experience and qualifications (clause 7.2)
  • Monitoring and measurement results (clause 9.1)
  • Internal audit program (clause 9.2)
  • Results of internal audits (clause 9.2)
  • Results of the management review (clause 9.3)
  • Results of corrective actions (clause 10.1)
  • Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

Claro, se um documento referenciado acima faz parte do anexo A, este só obrigatório se existir um risco que exija sua implementação.  Mas falando no famoso Anexo A, vamos a ele!

Anexo A: Comparando as versões!

Ok, a norma está mais alinhada com outros sistemas de gestão e vou ter um bom tempo para me adaptar. Ótimo! Mas o que realmente muda?

Bem, o objetivo da atualização foi tornar a 27001 mais eficiente e aderente ao contexto atual da Segurança da Informação nas organizações. A norma mudou bastante, mas isso não significa um trabalho enorme.

Vamos a um resumo das principais mudanças dos Controles e Objetivos de Controles no Anexo A:

Seções: o número de seções aumentou. Enquanto em sua versão anterior a norma era dívida em 11 itens, a 27001:2013 possui 14! Essa mudança ajuda principalmente a organização do framework, que em sua versão anterior tinha controles inseridos em locais que simplesmente não faziam sentido. Esse problema foi resolvido!

Um exemplo é criptografia, que agora ganhou uma seção própria (10) e não faz mais parte do item Aquisição, Desenvolvimento e Manutenção de sistemas de informação, o que faz bastante sentido. Outro item que ganhou uma seção própria foi Relacionamento com Fornecedor (15).

Veja como ficou a nova estrutura:

• 5 Security Policies
• 6 Organization of information security
• 7 Human resource security
• 8 Asset management
• 9 Access control
• 10 Cryptography
• 11 Physical and environmental security
• 12 Operations security
• 13 Communications security
• 14 System acquisition, development and maintenance
• 15 Supplier relationships
• 16 Information security incident management
• 17 Information security aspects of business continuity
• 18 Compliance

Número de Controles: Se você achava que uma atualização na norma aumentaria automaticamente o número de controles… bem, você estava errado! Claro, existem novos controles, mas vários controles considerados muito específicos ou desatualizados foram excluídos. Veja:

• Novos controles:
  • 14.2.1 Secure development policy – rules for development of software and information systems
  • 14.2.5 System development procedures – principles for system engineering
  • 14.2.6 Secure development environment – establishing and protecting development environment
  • 14.2.8 System security testing – tests of security functionality
  • 16.1.4 Assessment and decision of information security events – this is part of incident management
  • 17.2.1 Availability of information processing facilities – achieving redundancy

• Controles Excluídos:
  • 6.2.2 Addressing security when dealing with customers
  • 10.4.2 Controls against mobile code
  • 10.7.3 Information handling procedures
  • 10.7.4 Security of system documentation
  • 10.8.5 Business information systems
  • 10.9.3 Publicly available information
  • 11.4.2 User authentication for external connections
  • 11.4.3 Equipment identification in networks
  • 11.4.4 Remote diagnostic and configuration port protection
  • 11.4.6 Network connection control
  • 11.4.7 Network routing control
  • 12.2.1 Input data validation
  • 12.2.2 Control of internal processing
  • 12.2.3 Message integrity
  • 12.2.4 Output data validation
  • 11.5.5 Session time out
  • 11.5.6 Limitation of connection time
  • 11.6.2 Sensitive system isolation
  • 12.5.4 Information leakage
  • 14.1.2 Business continuity and risk assessment
  • 14.1.3 Developing and implementing business continuity plans
  • 14.1.4 Business continuity planning framework
  • 15.1.5 Prevention of misuse of information processing facilities
  • 15.3.2 Protection of information systems audit tools

Conclusões

Obviamente você deve estar se perguntando: Qual versão da norma devo usar? 2005 ou 2013?

Bem, a atualização da 27001 – que deve ser publicada em português pela ABNT ainda este ano – teve como principal objetivo algo que me atrai bastante: uma “gestão de riscos mais efetiva”, trazendo controles atualizados e organizados de forma mais intuitiva.

Além disso, a 27001:2013 é mais fácil de alinhar com outros sistemas de gestão, o que vai poupar bastante tempo em um novo projeto ou reduzir a carga administrativa em um ambiente existente.

Com todos esses benefícios é óbvio que a recomendação para novos projetos é partir já com a norma atualizada. Mas se você já possui um projeto em andamento, que deve ser concluído nos próximos seis a oito meses, eu recomendaria manter a versão 2005,mas seja rápido!

Fontes:

ISO/IEC 27001:2013

http://iso.org

http://www.british-assessment.co.uk/articles/isos-annex-sl-explained

http://blog.iso27001standard.com