Gestão da configuração na segurança da informação

CONTEÚDO

• Aumento da complexidade e ameaças
• Gestão da configuração no contexto da norma ISO 27001:2022
• Controle 8.9 "Gestão da configuração"
• Gestão da configuração na segurança da informação - Conclusão
• DQS: O seu contato para a segurança da informação certificada

Aumento da complexidade e das ameaças

Definições incorretas e configurações de segurança comportam riscos incalculáveis para a segurança da informação. Tendo em conta a crescente complexidade dos ambientes de TI modernos, a gestão da configuração - ou seja, a definição, documentação, implementação, monitorização e revisão contínuas e sistemáticas das configurações de segurança - está a tornar-se uma tarefa difícil que se estende à gestão da conformidade de uma organização.

Para quem está de fora, a infraestrutura de TI é uma teia confusa de aplicações, dispositivos, componentes de rede e serviços, quer estejam hospedada no local ou numa nuvem. Estes últimos, em particular, aumentaram drasticamente durante a pandemia do coronavírus. No entanto, para as equipas de TI, configurar o número crescente de componentes do sistema e monitorizar e adaptar continuamente as configurações dos sistemas significa uma quantidade considerável de trabalho, que muitas vezes sobrecarrega os funcionários. Sem uma gestão sistemática da configuração, esta situação pode conduzir a um risco de segurança considerável e à perda ou utilização indevida de dados (incluindo dados pessoais).
 

Afinal, 81% dos gestores de segurança em um  estudo alemão de 2022 afirmaram que as vulnerabilidades e as configurações incorretas desconhecidas causam os maiores problemas de segurança nas suas infraestruturas. E no Pandemic Eleven, um estudo da Cloud Security Alliance sobre as vulnerabilidades mais graves na computação em nuvem durante a pandemia, as configurações incorretas também ocupam um terceiro lugar proeminente.

Portanto, é uma consequência lógica dos desenvolvimentos dos últimos anos prestar mais atenção à gestão da configuração nas tecnologias da informação, por exemplo, no contexto do acesso não autorizado. Por conseguinte, é correto que a nova norma ISO/IEC 27001:2022 tenha dedicado um controle de segurança da informação separado a este tópico.
 

Gestão de configuração no contexto da ISO 27001:2022

O anexo A reestruturado da ISO 27001 de 2022 contém 93 medidas de segurança da informação (controles), incluindo 11 novos. Com a atualização, os controles estão agora organizados tematicamente em quatro seções

• Medidas organizacionais
• Medidas pessoais
• Medidas físicas
• Medidas tecnológicas

A gestão da configuração segura nas tecnologias da informação insere-se na área temática das medidas tecnológicas ou técnicas e é enumerada no Apêndice A, no item 8.9. Trata-se de uma das ferramentas preventivas que apoiam os três objetivos de proteção da segurança da informação (confidencialidade, integridade e disponibilidade).
 

Template de normas

A definição de Template de normas ajuda as organizações a sistematizarem a sua gestão da configuração. Os seguintes aspectos básicos devem ser levados em consideração nesse desenvolvimento:

• Orientações disponíveis publicamente, por exemplo, de fornecedores ou órgãos de segurança independentes.
• Níveis de proteção necessários para garantir uma segurança adequada
• Suporte à política interna de segurança da informação, orientações específicas, normas e outros requisitos de segurança
• Viabilidade e aplicabilidade das configurações no contexto da organização

Os templates de normas desenvolvidos devem ser revisados e atualizados regularmente, especialmente quando novas ameaças ou vulnerabilidades precisam ser abordadas, ou quando novas versões de software ou hardware são introduzidas na organização.

Há uma série de outros pontos a serem considerados ao criar os modelos. Todos eles ajudam a evitar alterações não autorizadas ou incorretas nas configurações:

• Minimizar o número de identidades com direitos de acesso privilegiados ou administrativos
• Desativar identidades desnecessárias, não utilizadas ou inseguras
• Desativação ou restrição de funções e serviços que não são necessários
• Restringir o acesso a utilitários poderosos e definições de parâmetros do host
• Sincronização de relógios
• Alteração dos dados de autenticação padrão do fabricante e senhas padrão imediatamente após a instalação e verificação de parâmetros importantes de segurança
• Ativar facilidades de tempo limite que automaticamente desconectam dispositivos de computador após um certo período de inatividade
• Verificar se os requisitos de licença estão sendo cumpridos

Gestão e monitoramento de configurações

Todas as configurações devem ser registadas e as alterações devem ser registadas de forma confiável, de modo a excluir erros de configuração após um incidente. Esta informação deve ser armazenada de forma segura, por exemplo, em bases de dados ou modelos de configuração.

Todas as mudanças são feitas de acordo com o controle 8.32 "Controle de Mudanças", que descreve uma diretriz para mudanças nas diretrizes de processamento de informações e sistemas de informações. Os registros de configuração devem conter todas as informações necessárias para rastrear tanto o status de um sistema de TI ou ativo quanto quaisquer mudanças feitas nele a qualquer momento. Isso inclui, por exemplo, as seguintes informações:

• Informações atuais sobre o ativo em questão - Quem é o proprietário ou o ponto de contato? 
• Data da última alteração de configuração
• Versão do modelo de configuração
• Conexões e relacionamentos com as configurações de outros ativos

Um conjunto abrangente de ferramentas de gestão de sistemas - como programas de manutenção, suporte remoto, ferramentas de gestão empresarial e software de backup e restauração - ajuda a monitorar e verificar regularmente as configurações. Com a ajuda dessas ferramentas, os gerentes podem verificar as definições de configuração, avaliar a força das senhas e avaliar as atividades realizadas.

Os estados atuais também podem ser comparados com os modelos-alvo definidos e podem ser iniciadas respostas adequadas em caso de desvios - quer através da aplicação automática da configuração-alvo definida, quer através da análise manual do desvio e das medidas corretivas subsequentes. A automatização, por exemplo, através da infraestrutura como código (infraestrutura programável), permite que as configurações de segurança em ambientes virtualizados e a computação em nuvem sejam gerenciadas de forma eficiente e segura

Gestão da configuração na segurança da informação - resumo 

A gestão da configuração na segurança da informação é uma importante ferramenta de segurança e contribui de forma duradoura para reduzir significativamente as lacunas de segurança causadas por erros de configuração. A sua abordagem sistemática alivia a carga das equipas internas e contribui para a eficiência das operações de TI, bem como para o reforço dos sistemas e a disponibilidade de informações e dados confidenciais. Os efeitos positivos na proteção dos dados pessoais, por exemplo, também são óbvios.

O gestão de configurações também pode ser integrado aos processos de gestão de ativos e às ferramentas associadas. A gestão central das configurações de segurança possibilita reagir rapidamente a novas ameaças e vulnerabilidades na disponibilidade de sistemas e proteção de dados, ajudando assim a minimizar superfícies de ataque potenciais nos sistemas. O novo controle de segurança da informação 8.9 da ISO 27001 fornece uma contribuição importante para a segurança das organizações e sua gestão.

Este valor agregado deve ser implementado por empresas e organizações. Os requisitos do controle 8.9 devem ser comparados com o status atual e posteriormente otimizados por meio de um processo de mudança controlado. Com mais de 35 anos de experiência em auditoria e certificação, somos seu parceiro ideal e podemos fornecer conselhos e suporte sobre o tema da segurança da informação.

O que a atualização significa para sua certificação? 

A norma ISO/IEC 27001:2022 foi publicada em 25 de outubro de 2022.

Isso resulta nos seguintes prazos e períodos para a transição dos usuários.

A última data para auditorias de inicialização/recertificação sob a "antiga" ISO 27001.

• Após 30 de abril de 2024, a DQS realizará apenas auditorias de inicialização e recertificação de acordo com a nova norma ISO/IEC 27001:2022.

Conversão de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova versão de 2022

• Um período de transição de 3 anos se aplica a partir de 31 de outubro de 2022
• Os certificados emitidos de acordo com a ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 são válidos até 31 de outubro de 2025 no máximo ou devem ser retirados nesta data.

ISO/IEC 27001:2022 - Segurança da informação, cibersegurança e proteção da privacidade - Sistemas de gestão da segurança da informação - Requisitos
 

DQS: Simplesmente alavancar a segurança

As organizações ainda têm algum tempo para fazer a transição para a nova versão da ISO/IEC 27001. Os certificados atuais baseados na antiga norma perderão sua validade em 31 de outubro de 2025. No entanto, é aconselhável lidar com os requisitos alterados para um sistema de gestão da segurança da informação (ISMS) desde cedo, iniciar processos de mudança adequados e implementá-los de acordo.

Com especialistas em auditorias e certificações com mais de três décadas de experiência, podemos ajudá-lo a implementar a nova ISO 27001:2022. Informe-se junto dos nossos muitos auditores experientes sobre as alterações mais importantes e a sua relevância para a sua empresa - e confie na nossa experiência. Aguardamos o seu contato.

Confiança e experiência

Nossos artigos e whitepapers são elaborados exclusivamente por nossos especialistas em normas ou auditores experientes de longa data. Se tiver alguma dúvida sobre o conteúdo do texto ou sobre nossos serviços, entre em contato conosco.