Embora às vezes seja chamada de ISO 27001, a abreviação oficial da norma internacional sobre requisitos para gerenciamento de segurança de informações é ISO/IEC 27001. Isso porque foi publicada em conjunto pela ISO e pela Comissão Eletrotécnica Internacional (IEC). O número indica que foi publicada sob a responsabilidade do Subcomitê 27 (em Segurança da Informação, Segurança Cibernética e Proteção da Privacidade) da ISO e do Comitê Técnico Conjunto da IEC sobre Tecnologia da Informação (ISO/IEC JTC 1).
A ISO/IEC 27001 é um norma de segurança de informações reconhecida internacionalmente, desenvolvida pelo órgão de certificação Organização Internacional de Padronização (ISO) e a IEC (a Comissão Eletrotécnica Internacional). A ISO 27001 passou por várias iterações, incluindo a ISO 27001:2013; a versão mais recente é a ISO/IEC 27001:2022.
A ISO 27001 fornece diretrizes e uma estrutura, com requisitos para "estabelecer, implementar, manter e melhorar continuamente" um sistema de gerenciamento de segurança da informação (ISMS). A ISO 27001 compreende 93 controles de gerenciamento de riscos, mas nem todos são necessários para atender à conformidade com a norma ISO 27001; em vez disso, a conformidade com a ISO 27001 trata de compreender o nível de risco da sua organização e decidir quais dos 93 controles são mais apropriados para mitigar esse risco para ativos de informações.
A ISO 27001 e a segurança de dados
A ISO 27001 exige o estabelecimento de uma estrutura ISO 27001 ISMS para encapsular políticas e procedimentos que protejam os dados confidenciais de uma organização, incluindo a propriedade intelectual. Essa estrutura é baseada nos processos, pessoas, tecnologia e procedimentos necessários para os controles de segurança das informações, para proteger sistemas e dispositivos e proteger os dados contra acesso não autorizado que pode levar ao uso indevido, exposição, interrupção, modificação ou destruição dos dados. Além disso, as políticas e os procedimentos do ISMS ajudam a reduzir o risco de dados de ataques virtuais e ameaças internas por meio da avaliação de riscos. Um ISMS também ajuda a cumprir a conformidade com normas de proteção de dados e privacidade, como o Regulamento Geral de Proteção de Dados (GDPR), ajudando a impor a integridade, a confidencialidade e a disponibilidade de dados.
Alcance a conformidade ISO 27001 com a Akamai
As soluções de segurança da Akamai protegem contra vulnerabilidades, ameaças de malware (incluindo ransomware), violações de dados e ataques DDoS. A Akamai protege sua experiência do cliente, sua força de trabalho, seus sistemas e seus dados pessoais e dados confidenciais, incorporando a segurança em tudo, em qualquer lugar. A plataforma global da Akamai garante que uma organização possa detectar e prevenir ameaças existentes e emergentes e se adaptar ao cenário de segurança em constante mudança. Isso é essencial para manter a conformidade com a ISO 27001 e demonstrar melhorias contínuas na segurança. O elemento Zero Trust da plataforma da Akamai ajuda a criar um ambiente em conformidade com a ISO 27001, fornecendo visibilidade profunda de ativos, controles de acesso e fluxos de rede, com aplicação granular da política de segurança.
Como a ISO 27001 afeta sua organização?
A ISO 27001 compreende controles que abrangem áreas organizacionais, de pessoas, físicas e tecnológicas. Todos os setores correm o risco de ameaças virtuais centradas no ser humano que exploram o acesso a sistemas e serviços críticos.
Uma abordagem fundamental dentro dos objetivos de controle da norma ISO 27001 é a da segurança Zero Trust. Os controles incluem:
- Controle de acesso, para estabelecer controles de acesso físico e lógico a informações e outros ativos associados
- Direitos de acesso privilegiado, para garantir acesso de "privilégio mínimo"
- Segregação de redes, como parte de uma abordagem de segurança Zero Trust
Esses controles ajudam uma organização a estabelecer um ambiente Zero Trust.
Aqui estão três exemplos de setores que se beneficiam da implementação do Zero Trust de acordo com a ISO 27001:
A ISO 27001 para infraestruturas críticas
Os ataques a infraestruturas críticas têm efeitos devastadores. Um exemplo recente é um incidente de segurança no fornecedor de petróleo dos EUA Colonial Pipeline . Todo o sudoeste dos Estados Unidos foi afetado; tudo o que foi preciso para burlar a segurança das operações e infectar a empresa com ransomware foi uma única senha comprometida. As infraestruturas críticas abrangem muitos serviços vitais, incluindo serviços públicos, fabricantes de produtos químicos e transporte. A natureza crítica desses serviços os torna um alvo atraente para hackers. O acesso não autorizado e a exposição de credenciais que inclui a cadeia de suprimentos mais ampla são uma área central de foco. O aumento da conectividade com a Internet e uma superfície de ataque expandida de modernas unidades industriais conectadas permitiram que agentes mal-intencionados abram portas fechadas com firmeza em sistemas críticos. A implementação da ISO 27001 e das políticas e dos procedimentos de segurança de informações associadas reduz o risco de ataques virtuais em infraestruturas críticas.
A ISO 27001 para assistência médica
O setor de saúde mais amplo é o alvo ideal para os criminosos virtuais. O setor é rico em dados, uma infraestrutura crítica e altamente dependente de tecnologia e relacionamentos com fornecedores. Como resultado, as instituições de saúde correm risco de muitas formas de ataque cibernético, incluindo violações de dados e ransomware. Um relatório recente do FBI Internet Crime Complaint Center (IC3) disse que, em 2022, a unidade recebeu mais relatórios de ataques de ransomware direcionados à saúde do que qualquer outro setor de infraestrutura crítica. Como um serviço complexo, a saúde pode se beneficiar do rigor necessário para implementar um ISMS como parte da certificação ISO 27001. Uma abordagem Zero Trust para os riscos de segurança das informações garantirá que as organizações de saúde possam controlar o acesso a dados confidenciais e manter o controle sobre sistemas e serviços críticos.
ISO 27001 para serviços financeiros
Um levantamento de 2023 pelo Fundo Monetário Internacional (FMI) em 51 países descobriu que as ameaças virtuais contra instruções financeiras estão se "proliferando", indicando que uma resposta adequada do setor é urgentemente necessária. O setor financeiro está sofrendo com uma variedade de ataques virtuais, incluindo ransomware, violações de dados e ataques DDoS. O módulo Relatório de investigações de violação de dados da verizon de 2022 descreveu o tipo de ataques contra o setor financeiro em "ataques básicos a aplicações Web, invasão do sistema e erros diversos", cobrindo 79% das violações. O relatório também destaca que as credenciais roubadas são parte integrante da maioria dos ataques no setor. A ISO/IEC 27001 fornece mecanismos para o setor financeiro impor uma abordagem Zero Trust ao acesso não autorizado.
Benefícios comerciais da ISO 27001
A segurança dos dados é uma vantagem competitiva reconhecida. A obtenção da certificação ISO 27001 ajuda as organizações a provar a clientes e outras partes interessadas que sua empresa leva a segurança das informações a sério e que tem gerenciamento de continuidade de negócios em vigor. Estar em conformidade com a ISO 27001 significa que você criou um ambiente seguro, baseado em um ISMS, que reduz os riscos de segurança de dados e ajuda a minimizar os riscos para as empresas com as quais você faz negócios.
Passar pelo processo, implementar um conjunto de controles para gerenciar ameaças à segurança das informações e melhorar o gerenciamento de incidentes, significa que sua organização realizou uma análise de lacunas na segurança dos dados e está em menor risco de ataques virtuais e exposição acidental aos dados. Isso resulta em menos violações de dados e uma probabilidade reduzida de multas e outras penalidades por não conformidade com normas.
Os controles e a estrutura ISO 27001 são mapeados para outras normas de proteção de dados, como GDPR e NIST CSF (Cybersecurity Framework). Portanto, ter a certificação ISO 27001 ajuda a cumprir essas outras regulamentações de proteção de dados.
Perguntas frequentes (FAQ)
A ISO 27001 se concentra no projeto e na implementação de um ISMS em toda a organização; o SOC 2 fornece uma estrutura de segurança abrangente para isso. A conformidade com o SOC 2 exige que uma organização prove que implementou uma série de controles de segurança essenciais para proteger as informações. Em outras palavras, a ISO 27001 leva uma organização por meio de um desenvolvimento e implementação abrangentes de um ISMS, mas o SOC 2 se concentra em uma auditoria mais restrita de controles de segurança.
Outras diferenças incluem que a ISO 27001 é um norma de certificação reconhecido internacionalmente. O SOC 2 é um conjunto de auditorias realizadas por um contador público certificado independente (CPA).
A ISO/IEC 27001 é um norma internacional amplamente reconhecida que estabelece requisitos para um ISMS. Ela é usada por organizações de qualquer tamanho ou tipo que exigem a garantia de que seus riscos à segurança das informações estão sendo gerenciados. Isso inclui organizações nos setores público e privado, pequenas e médias empresas, grandes empresas, organizações sem fins lucrativos e agências governamentais.
A certificação ISO/IEC 27001 é uma maneira de demonstrar que a organização está comprometida e é capaz de gerenciar informações de forma segura. A posse de um certificado emitido por um organismo de acreditação pode trazer uma camada adicional de confiança, uma vez que um organismo de acreditação forneceu uma confirmação independente da competência do organismo de certificação. Se desejar usar um logotipo para demonstrar a certificação, entre em contato com o corpo de certificação que emitiu o certificado. Como em outros contextos, as normas devem sempre ser referenciadas com a sua referência completa, por exemplo, "certificado pela ISO/IEC 27001:2022" (não apenas "certificado pela ISO 27001").
Por que os clientes escolhem a Akamai
A Akamai é uma empresa de cibersegurança e cloud que potencializa e protege negócios online. Nossas soluções de segurança líderes de mercado, inteligência avançada contra ameaças e equipe de operações globais oferecem defesa em profundidade para garantir a segurança de dados e aplicativos empresariais em todos os lugares. As abrangentes soluções de computação em nuvem da Akamai oferecem desempenho e acessibilidade na plataforma mais distribuída do mundo. Empresas globais confiam na Akamai para obter a confiabilidade, escala e experiência líderes do setor de que precisam para expandir seus negócios com confiança.