ISO 27001: NOVOS CONTROLES E SEUS IMPACTOS NOS NEGÓCIOS
As mudanças na ISO 27001 influenciam nos níveis estratégico, tático e operacional de organizações dos mais diversos setores e portes, resultando em maiores desafios para a Segurança da Informação nas empresas.
A ISO 27001 é referência global em gestão de Segurança da Informação e tem como princípio geral a adoção de uma série de requisitos, processos e controles para mitigar e gerenciar adequadamente os riscos de Segurança da Informação das organizações. A norma tem um importante papel ao estabelecer critérios específicos que uma empresa precisa atender para ser elegível à certificação de terceira parte.
A evolução da transformação digital na última década desde a última modificação trouxe inúmeros benefícios para os avanços tecnológicos, mas automaticamente também se expandiu os riscos e as vulnerabilidades que ameaçam a gestão de Segurança da Informação das organizações. Assim, após nove anos desde a sua última atualização, a norma teve mudanças anunciadas no final de 2022.
Com foco crescente em mitigar riscos relacionados a ciberataques, a ISO/IEC 27001:2022 passou por importantes atualizações. As principais mudanças estão na especificação de quatro domínios conceituais e na incorporação de 11 novos controles no Anexo A.
Quais são os novos controles?
O Anexo A da norma ISO 27001 recebeu 11 novos controles:
1. Inteligência de ameaças
2. Segurança da informação para o uso de serviços em nuvem
3. Prontidão de TIC (Tecnologia de Informação e Comunicação) para a continuidade de negócios
4. Monitoramento de segurança física
5. Gestão de configuração
6. Descarte ou exclusão de informações
7. Mascaramento de dados
8. Prevenção de vazamento de dados
9. Atividades de monitoramento
10. Filtragem da web
11. Criptografia segura (Desenvolvimento Seguro)
Um dos grandes desafios para atender em especial aos novos controles estão em questões contratuais. Com crescente terceirização de boa parte de serviços de tecnologia, como ocorre com as plataformas de software as a service, lidar com as novas cláusulas atinge um nível maior de complexidade na elaboração de contratos e requer maiores cuidados nos acordos e contratações de serviços.
Outro ponto de atenção importante para as organizações está na escassez de mão de obra qualificada para dar andamento às demandas dos novos desafios em Segurança da Informação. De acordo com a pesquisa (ISC)² Cibersecurity Workforce Study 2022, o gap de profissionais especializados em cibersegurança cresceu 26,2% em um ano, comparado com 2021. Essa realidade deve cobrar das empresas ações a curto prazo para estabelecer uma gestão de segurança da informação eficaz.
O crescimento quase que exponencial de dados e informações aliado a uma complexa gestão de dados são os principais desafios para os próximos anos. As organizações devem se atentar à importância de investir no engajamento da cultura de cibersegurança entre seus colaboradores e stakeholders. Afinal, as mudanças na ISO 27001 têm influência nos níveis estratégico, tático e operacional de organizações dos mais diversos setores e portes.
Impactos na governança
A governança corporativa recebe um impacto significativo da ISO 27001:2022. Área fundamental para a transparência, responsabilidade e tomada de decisões nas empresas, a governança é influenciada nos aspectos de gerenciamento de riscos, conformidade, requisitos regulatórios e de compliance da Segurança da Informação.
Outro ponto relacionado à agenda de governança das organizações está na LGPD (Lei Geral de Proteção de Dados). A proteção dos dados pessoais de clientes, colaboradores, entre outras partes interessadas, requer a implementação de medidas que devem considerar a responsabilidade das organizações em relação a esses princípios de segurança. Prevenir incidentes, garantir a conformidade, gerenciar o controle dos dados são atributos intrínsecos à LGPD que passam pela eficiência de uma gestão abrangente de cibersegurança.
Diferencial competitivo
Considerando-se os desafios emergentes, a certificação ISO 27001:2022 traz benefícios inquestionáveis para as organizações. Considera-se que essa é norma, é a base para uma estratégia eficiente para uma gestão de credibilidade e que contribua com a boa reputação no mercado. O respaldo inicial das empresas neste tema está na ISO 27001 para assegurar que a Segurança da Informação seja considerada como estratégica para a continuidade e evolução dos negócios.