Os cenários atuais de ameaças cibernéticas estão mudando rapidamente. Nesse sentido, é essencial manter a proteção sistemática da segurança da informação constantemente atualizada e desenvolvê-la ainda mais - com um catálogo moderno, amplo e flexível de medidas contemporâneas de segurança da informação. A nova ISO/IEC 27001:2022 suporta exatamente esse objetivo e fornece onze novos controles, três dos quais examinaremos com mais detalhes abaixo, que são eficazes na prevenção e detecção de ataques.
Ataques cibernéticos permanecem indetectáveis por muito tempo
O valor eminente da informação e dos dados no mundo empresarial do século XXI obriga cada vez mais as empresas e organizações a focarem-se na segurança da informação e a investirem na proteção sistemática dos seus ativos digitais. Porque? Em cenários dinâmicos de ameaças, as táticas dos invasores estão se tornando cada vez mais sofisticadas e multifacetadas, resultando em sérios danos à imagem e reputação das empresas afetadas e bilhões de dólares em perdas econômicas anuais em todo o mundo.
Os especialistas concordam que não há mais proteção completa contra ataques cibernéticos - apenas por causa do fator humano de incerteza. Isso torna a detecção precoce de ataques potenciais e reais ainda mais importante para limitar seu vetor lateral em redes corporativas e manter o número de sistemas compromissáveis o mais baixo possível. Mas ainda há muito o que fazer nessa área: pesquisas conduzidas como parte do programa "Custo de uma violação de dados 2022" estudo mostra que demorou em média 277 dias para detectar e conter um ataque em 2022.
A nova ISO 27001:2022
Para auxiliar empresas e organizações com uma estrutura padronizada contemporânea para sistemas de gestão de segurança da informação, a ISO publicou a nova norma ISMS ISO/IEC 27001:2022 em 25 de outubro de 2022. O Anexo A fornece controles/medidas que podem ser usados em uma empresa específica base para lidar com os riscos de segurança da informação.
Assista agora: O que está mudando com a nova ISO/IEC 27001:2022
A nova versão da ISO/IEC 27001, adaptada aos riscos de informação contemporâneos, foi publicada em 25 de outubro de 2022. O que isso significa para os usuários da norma? Em nossa gravação gratuita de webinar , você aprenderá sobre
- Novos recursos da ISO/IEC 27001:2022 - Estrutura e Anexo A
- ISO/IEC 27002:2022-02 - estrutura, conteúdo, atributos e hashtags
- Linha do tempo para a transição e seus próximos passos
A implementação das medidas do Anexo A na versão atual é suportada pela orientação de implementação estruturada de forma idêntica da ISO/IEC 27002:2022, que já foi atualizada em fevereiro. Controles genéricos para prevenção estratégica de ataques e detecção mais rápida foram incluídos recentemente.
Três novos controles para a detecção e prevenção
As agora 93 medidas no Anexo A da ISO/IEC 27001:2022 estão agora reorganizadas sob a atualização em quatro tópicos
- Medidas organizacionais,
- Medidas pessoais,
- Medidas físicas e
- Medidas tecnológicas.
Três dos onze controles de segurança da informação recém-introduzidos estão relacionados à prevenção e detecção oportuna de ataques cibernéticos. Esses três controles são
- 5.7 Ameaça de inteligência (organizacional).
- 8.16 Atividades de monitoramento (tecnológica)
- 8.23 Filtragem da Web (tecnológica).
A seguir, veremos mais de perto esses 3 novos controles.
Inteligência de ameaças
O controle organizacional 5.7 trata da coleta e análise sistemáticas de informações sobre ameaças relevantes. O objetivo da medida é conscientizar as organizações sobre sua própria situação de ameaça para que, posteriormente, possam tomar as medidas adequadas para mitigar o risco. Os dados de ameaças devem ser analisados de forma estruturada em três aspectos: estratégico, tático e operacional.
A análise estratégica de ameaças fornece informações sobre cenários de ameaças em constante mudança, como tipos de ataque e atores, por exemplo, atores motivados pelo estado, cibercriminosos, invasores contratados, hacktivistas. Agências governamentais nacionais e internacionais (como BSI - Escritório Federal Alemão para Segurança da Informação, enisa - Agência da União Europeia para Segurança Cibernética, Departamento de Segurança Interna dos EUA ou NIST - Instituto Nacional de Padrões e Tecnologia), bem como organizações sem fins lucrativos e entidades relevantes fóruns, fornecem inteligência de ameaças bem pesquisada em todos os setores e infraestruturas críticas.
Diretriz de Auditoria DQS para ISO 27001
conhecimento valioso
Nosso guia de auditoria ISO/IEC 27001 - Anexo A foi criado pelos principais especialistas como um guia prático de implementação e é uma excelente maneira de entender melhor os requisitos padrão selecionados. O guia ainda não se refere à versão revisada de outubro de 2022 da ISO/IEC 27001.
A inteligência tática de ameaças e sua avaliação fornecem avaliações dos métodos, ferramentas e tecnologias dos invasores.
A avaliação operacional de ameaças específicas fornece informações detalhadas sobre ataques específicos, incluindo indicadores técnicos, por exemplo, atualmente o aumento extremo de ataques cibernéticos por ransomware e suas variantes em 2022.
A análise das ameaças pode fornecer suporte das seguintes formas:
- Procedimentos para integrar dados de ameaças no processo de gestão de riscos,
- Tecnicamente preventivo e de detecção, por exemplo, atualizando regras de firewall, sistemas de detecção de intrusão (IDS), soluções anti-malware,
- Com informações de entrada para procedimentos de teste específicos e técnicas de teste contra a segurança da informação.
A qualidade dos dados do controle organizacional 5.7 para determinar a situação de ameaça e analisá-la afeta diretamente os dois controles técnicos para atividades de monitoramento (8.16) e filtragem da web (8.23) discutidos abaixo, que também são novos na ISO/IEC 27002.
Atividades de monitoramento
O controle de segurança da informação detectivo e corretivo 8.16 sobre monitoramento técnico das atividades tem como foco a detecção de anomalias como método de prevenção de ameaças. Redes, sistemas e aplicativos se comportam de acordo com padrões esperados, como taxa de transferência de dados, protocolos, mensagens e assim por diante. Qualquer mudança ou desvio desses padrões esperados é detectado como uma anomalia.
Certificação de acordo com a ISO 27001
Que esforço você tem que esperar para ter seu SGSI certificado de acordo com a ISO 27001? Obtenha informações gratuitamente e sem compromisso.
Estamos ansiosos para falar com você.
Para detectar esse comportamento incomum, as atividades relevantes devem ser monitoradas de acordo com os requisitos de negócios e segurança da informação e quaisquer anomalias devem ser comparadas com dados de ameaças existentes, entre outras coisas (consulte acima, requisito 5.7). Os seguintes aspectos são relevantes para o sistema de monitoramento:
- Rede de entrada e saída, sistema e tráfego de aplicativos,
- Acesso a sistemas, servidores, equipamentos de rede, sistemas de monitoramento, aplicações críticas, etc...,
- Arquivos de configuração de sistema e rede no nível administrativo ou de missão crítica;
- Logs de ferramentas de segurança [por exemplo, antivírus, sistemas de detecção de intrusão (IDS), sistema de prevenção de intrusão (IPS), filtros da web, firewalls, prevenção de vazamento de dados],
- Logs de eventos relacionados às atividades do sistema e da rede,
- Verificação de que o código executável em um sistema possui integridade e autorização,
- Uso de recursos, por exemplo, potência do processador, capacidade de disco, uso de memória, larguras de banda.
Os requisitos básicos para um monitoramento funcional das atividades são uma infraestrutura de TI/OT configurada de forma limpa e transparente e redes de TI/OT funcionando adequadamente. Qualquer alteração nesse estado básico é detectada como uma ameaça potencial à funcionalidade e, portanto, como uma anomalia. Dependendo da complexidade de uma infraestrutura, a implementação dessa medida é um grande desafio, apesar das soluções relevantes dos fornecedores. A importância dos sistemas de detecção de anomalias foi reconhecida quase simultaneamente com o requisito 8.16 da ISO/IEC 27002:2022 para operadores das chamadas infraestruturas críticas. Assim, no âmbito nacional dos normativos legais relevantes, existe a obrigatoriedade de estes aplicarem eficazmente os chamados sistemas de detecção de ataques com prazos.
Filtragem da Web
A Internet é tanto uma bênção como uma maldição. O acesso a sites duvidosos continua sendo uma porta de entrada para conteúdo malicioso e malware. O controle de segurança da informação 8.23 A filtragem da Web tem o objetivo preventivo de proteger os próprios sistemas de uma organização contra a invasão de malware e impedir o acesso a recursos da Web não autorizados. As organizações devem estabelecer regras para o uso seguro e apropriado de recursos online para esse fim - incluindo restrições obrigatórias de acesso a sites indesejados ou inapropriados e aplicativos baseados na web. O acesso aos seguintes tipos de sites deve ser bloqueado pela organização:
- Sites que possuem um recurso de upload - a menos que isso seja necessário por motivos comerciais legítimos,
- Sites maliciosos conhecidos ou mesmo suspeitos,
- Servidores de comando e controle,
- Sites maliciosos identificados como tal a partir dos dados de ameaças (ver também medida 5.7),
- Sites com conteúdo ilegal.
A medida de filtragem da web só funciona realmente com pessoal treinado que esteja suficientemente ciente do uso seguro e apropriado dos recursos online.
Conclusão técnica
Os novos controles de detecção e prevenção descritos aqui têm um papel fundamental a desempenhar na defesa contra o crime cibernético organizado e, com razão, encontraram seu caminho nas versões atuais do ISO/IEC 27001 e ISO/IEC 27002. Com a atualização e análise contínuas dos informações sobre ameaças, amplo monitoramento de atividades em suas próprias infraestruturas de TI e proteção de seus próprios sistemas contra sites duvidosos, as empresas estão fortalecendo de forma sustentável sua proteção contra a invasão de malware perigoso. Eles também se colocam em posição de iniciar medidas de resposta apropriadas em um estágio inicial.
As empresas e organizações agora devem implementar os três controles/medidas apresentados de acordo e integrá-los de forma consistente em seu SGSI para atender aos requisitos de futuras auditorias de certificação. A DQS tem mais de 35 anos de experiência abrangente na área de auditorias e certificações imparciais - e tem o prazer de apoiá-lo no gerenciamento de mudanças de seu Sistema de Gestão de segurança da informação de acordo com a ISO/IEC 27001:2022.
O que a atualização significa para a sua certificação?
A versão nova da ISO/IEC 27001 foi publicada em 25 de outubro de 2022. Isto resulta nos seguintes prazos de transição:
Última data para auditorias iniciais/recertificação de acordo com a “antiga” ISO 27001:2013
- Após 30 de abril de 2024, a DQS realizará auditorias iniciais e de recertificação apenas de acordo com a nova norma ISO/IEC 27001:2022
Transição de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova ISO/IEC 27001:2022
- Há um período de transição de 3 anos a partir de 31 de outubro de 2022
- Os certificados emitidos de acordo com ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 são válidos até 31 de outubro de 2025, o mais tardar, ou devem ser retirados nesta data
ISMS de última geração com a expertise da DQS
Ao fazer a transição para a nova versão da ISO/IEC 27001, as organizações ainda têm algum tempo. Os certificados atuais baseados na norma antiga perderão a validade em 31.10.2025. No entanto, é aconselhável lidar com os requisitos alterados do ISMS em um estágio inicial, iniciar processos de mudança adequados e implementá-los de acordo.
Como especialistas em auditorias e certificações com experiência de mais de três décadas, apoiamos você na implementação da nova norma. Informe-se com nossos numerosos auditores experientes sobre as mudanças mais importantes e sua relevância para sua organização - e confie em nossa experiência. Juntos, discutiremos seu potencial de melhoria e o apoiaremos até que você receba o novo certificado. Estamos ansiosos para ouvir de você.
Boletim Informativo DQS
Markus Jegelka
Especialista na DQS para sistemas de gestão de segurança da informação (ISMS) e auditor de longa data para as normas ISO 9001, ISO/IEC 27001 e catálogo de segurança de TI de acordo com o parágrafo 11.1a da Lei da Indústria de Energia Alemã (EnWG) com competência em procedimentos de teste para § 8a (3) BSIG.