a young woman sits at a desk in front of a screen with a reference to cloud storage

Segurança na nuvem com ISO 27001:2022

André Säckel

Especialista da DQS em Segurança da Informação
dez. 29 , 2023
# Segurança da Informação e Gestão de Riscos

De acordo com um estudo da Statista, 84% de todas as empresas alemãs já utilizavam serviços em nuvem em 2022. Outros 13% estão a planear ou discutir a sua utilização. A proporção global de empresas que utilizam a nuvem continuará, portanto, a aumentar. No entanto, a utilização ou operação destes serviços está associada a uma variedade de riscos.

Sem medidas adequadas para aumentar a segurança na nuvem, as empresas estão expostas a riscos de segurança consideráveis ao gerir os dados dos seus clientes, independentemente de onde estejam armazenados. O novo Controle 5.23 "Segurança da informação para o uso de serviços em nuvem" na norma ISO/IEC 27001:2022 atualizada descreve possíveis medidas de segurança. Na publicação do blog a seguir, mostramos o que a nova medida de segurança abrange e quais aspectos precisam ser considerados para uma (re)certificação bem-sucedida.

CONTEÚDO

Porque é que a segurança na nuvem é importante?

Da nuvem privada à nuvem pública, seja IaaS, PaaS ou SaaS: as estruturas e os serviços de nuvem determinam grande parte do atual panorama das TIC das empresas, organizações ou autoridades. A computação em nuvem já se tornou muito que se tornou uma realidade e está mudando fundamentalmente a forma como os serviços de TI são fornecidos e utilizados.

No entanto, os riscos de segurança associados à sua utilização crescente são complexos e não se limitam ao crime organizado. A gestão inadequada de identidade e do acesso, as configurações incorretas e a divulgação inadvertida de dados na nuvem pelos funcionários também estão entre as maiores ameaças.

Este fato é confirmado pelo relatório anual de 2022 da Cloud Security Alliance (CSA). Além disso, a falta de segurança pode afetar a disponibilidade dos serviços e comprometer o cumprimento de vários regulamentos e normas que exigem a proteção dos dados pessoais e dos clientes.

Todas essas ameaças levaram a ISO (Organização Internacional de Normalização) e a IEC (Comissão Eletrotécnica Internacional) a listar a segurança da informação para o uso de serviços em nuvem como um item separado na nova ISO/IEC 27001:2022.

whitepaper-ISO 27001-faq-dqs-cover picture

ISO/IEC 27001:2022

44 Perguntas e respostas

Detalhes interessantes sobre a norma revisada:

  • Quando devemos fazer a transição para a nova norma?
  • Quais são os novos controles?
  • Onde posso encontrar uma lista de correspondências antigas e novas?

...e mais 35.

Download

Maior segurança e conformidade da informação 

A nova medida preventiva serve para garantir a segurança da informação na utilização de serviços em nuvem. Suporta - de acordo com os respectivos requisitos de segurança de uma organização - a definição sistemática de processos de aquisição, utilização, gestão e saída.

Dada a variedade de serviços oferecidos, o novo Controle 5.23 do Anexo A exige o cumprimento de uma "abordagem específica". 

O objetivo é incentivar as empresas a criarem políticas de serviços em nuvem adaptadas às funções comerciais individuais. Em comparação com uma política geral que se aplica de forma generalizada à utilização segura dos serviços de computação em nuvem, os requisitos de conformidade podem ser abordados de uma forma muito mais granular.

Segurança na nuvem através do novo Controle 5.23

A segurança da informação para a utilização de serviços de computação em nuvem nesta forma específica de nuvem é uma medida recentemente introduzida no Anexo A da nova ISO 27001:2022. Na versão anterior, os serviços de nuvem estavam geralmente localizados na área de relações com fornecedores.

Devido ao uso crescente e aos enormes desenvolvimentos no setor da computação em nuvem, faz sentido proteger sistematicamente os serviços de computação em nuvem com uma medida de segurança da informação independente. No entanto, o controle A.5.23 deve ser estreitamente coordenado com as medidas A.5.21 e A.5.22, que tratam da segurança da informação na cadeia de abastecimento das TIC e da gestão dos serviços dos fornecedores.

ikt-security-for-business-continuity-dqs-in the system control centre a woman gives instructions via

TIC - Tecnologias de informação e comunicação

Beneficie do conhecimento de nossos especialistas

Na economia digital, as TIC isentas de erros são essenciais para a manutenção dos processos empresariais. As últimas atualizações das normas ISO 27001 e 27002 visam minimizar os riscos de segurança. O controle 5.30 "Preparação das TIC para a continuidade dos negócios" no Anexo A obriga as empresas a garantir a disponibilidade contínua das TIC, mesmo em caso de interrupções. Leia nossa postagem no blog para descobrir o que isso significa para o seu sistema de gestão da segurança da informação.

Acesse o artigo

Implementação do Controle 5.23

No que diz respeito à segurança da informação, as empresas devem definir uma série de aspectos para a implementação do Controle 5.23 . Estes incluem todos os requisitos relevantes, critérios de seleção e áreas de aplicação associadas à utilização de um serviço de nuvem. Uma descrição detalhada das funções e responsabilidades relevantes determina como esses serviços são usados e gerenciados dentro de uma organização.

No lado externo, isto deve ser acordado com o provedor de serviços:

  • Quais medidas de segurança da informação o provedor de serviços gerencia?
  • Quais são de responsabilidade da própria empresa?

Também é importante esclarecer como as medidas de segurança fornecidas pelo fornecedor podem ser disponibilizadas, idealmente utilizadas e verificadas de forma confiável. Especialmente ao utilizar vários serviços em nuvem de diferentes fornecedores, processos claramente definidos suportam o tratamento de controles, interfaces e alterações nos serviços.

No entanto, devido aos múltiplos riscos de segurança aos quais as empresas estão expostas atualmente, os incidentes de segurança nunca podem ser completamente descartados. Nesses casos, os procedimentos de gestão de incidentes específicos do serviço ajudam a lidar com o desafio da melhor forma possível.

Para gerir esses riscos, os serviços de nuvem devem ser monitorizados, revistos e avaliados através de uma abordagem sistematicamente definida, em conformidade com a norma ISO 27001 revista. Além disso, a norma exige a definição de processos para alterar ou interromper a utilização de um serviço. Estes processos devem também incluir estratégias de saída explícitas para os serviços em nuvem.

Segurança da informação certificada de acordo com a ISO 27001

Proteja as suas informações com um sistema de gestão de norma internacional ★ Implementação efetiva de um processo de gestão de riscos ★ Saiba mais. 

Saiba mais sobre o seu certificado ISO 27001

Importância dos aspetos de segurança contratual

A design contratual dos serviços em nuvem é essencial para a empresa cliente, a fim de estabelecer parâmetros de enquadramento importantes e proporcionar proteção jurídica. No entanto, os contratos de serviços em nuvem são frequentemente predefinidos e não negociáveis. Neste sentido, as empresas devem prestar especial atenção a estes acordos e analisá-los de perto. Desta forma, asseguram que os requisitos operacionais essenciais para os objetivos de proteção da segurança da informação "confidencialidade, integridade, disponibilidade" e tratamento da informação.

Para garantir isso, um serviço de nuvem deve fornecer soluções baseadas em normas de arquitetura e infraestrutura reconhecidos pelo setor. Deve possuir controles de acesso que atendam aos requisitos de segurança e incluir soluções de monitoramento e proteção contra malware. Deve ser estipulado contratualmente que o processamento e armazenamento de informações confidenciais só são permitidos em locais autorizados ou dentro de uma jurisdição específica. Isto é importante para infraestruturas críticas, por exemplo.

O provedor de serviços deve fornecer suporte direcionado no caso de um incidente de segurança no ambiente de serviços em nuvem e oferecer suporte geral na coleta de evidências digitais. Os requisitos de segurança também devem ser cumpridos quando um serviço é transferido para prestadores de serviços externos.

Se uma empresa quiser abandonar um serviço, o fornecedor deve permanecer comprometido com o suporte e a disponibilidade do serviço por um período de tempo razoável. Portanto, eles também devem fornecer cópias de backup de dados e informações de configuração e gerenciá-los com segurança, se necessário. Informações como arquivos de configuração, código-fonte e dados confidenciais de propriedade da organização devem ser fornecidas mediante solicitação ou devolvidas após o término do serviço.

Um cliente de serviços de nuvem deve considerar, de acordo com os seus próprios requisitos de segurança, se o acordo deve incluir o dever de informar se um fornecedor de serviços de nuvem fizer alterações significativas. Esses incluem:

  • Alterações na infraestrutura técnica que afetam a oferta de serviços
  • Processamento ou armazenamento de informações numa nova jurisdição geográfica ou jurídica

Utilização ou alteração de fornecedores de serviços de nuvem entre pares ou outros subcontratados.

Segurança da nuvem através do novo Controle 5.23 - Conclusão

De acordo com um estudo conduzido pela Statista em 2022, 84% de todas as empresas alemãs utilizam serviços em nuvem. Além disso, 13% estão na fase de tomada de decisão ou planejamento para sua utilização. Isso significa que a proteção de informações pessoais e dados confidenciais está se tornando cada vez mais importante.

Com a nova medida de segurança, a ISO e a IEC estão fechando uma lacuna importante na proteção de arquiteturas modernas de Tecnologia da Informação e Comunicação (TIC) e dados sensíveis de empresas, organizações e autoridades. Isso implica que o padrão de segurança da informação ISO 27001, como um padrão global, agora também contribui para a segurança em nuvem de maneira consistente e sistemática.

Independentemente de a sua empresa operar em um ambiente de nuvem pública, nuvem privada ou nuvem híbrida, soluções de segurança da informação e as melhores práticas são essenciais. Isso é fundamental para garantir a continuidade dos negócios e a conformidade. Especialmente em tempos de escassez de habilidades e redes corporativas descentralizadas, a segurança de dados na nuvem continuará a crescer em importância nos próximos anos.

O novo  Controle 5.23 do Apêndice A fornece aos usuários de serviços em nuvem um framework. Eles podem usá-lo para testar suas medidas existentes de segurança da informação e ajustá-las, se necessário.

Além de uma série de requisitos organizacionais básicos, o novo controle também destaca a importância da estreita colaboração com o provedor de serviços em nuvem para manter o intercâmbio mútuo de informações em todos os momentos. Isso promove mecanismos recíprocos para monitorar as características de serviço definidas e identificar e relatar violações das obrigações acordadas.

O que significa a atualização para a sua certificação?

A nova ISO/IEC 27001:2022 foi publicada em inglês a 25 de outubro de 2022. Isso resulta nos seguintes prazos e períodos de transição para os usuários

Conversão de todos os certificados existentes para a nova versão:

  • Aplica-se um período de transição de 3 anos a partir de 31 de outubro de 2022.
  • Os certificados emitidos em conformidade com a norma ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 só são válidos até 31 de outubro de 2025, após o que as normas antigas são consideradas retiradas.

Última data para certificações iniciais e recertificações de acordo com a "antiga" ISO 27001:

  • 30 de abril de 2024 - a partir de 1 de maio de 2024, a DQS só realizará auditorias iniciais e de recertificação de acordo com a nova versão 2022.

ISO/IEC 27001:2022 - Segurança da informação, cibersegurança e proteção da privacidade - Sistemas de gestão da segurança da informação - Requisitos está disponível em www.iso.org.

Grupo DQS: Conhecimento em auditoria

Como os prazos indicam, as empresas têm um tempo limitado para adaptar seu sistema de gestão de segurança da informação aos novos requisitos e obter a certificação. A duração e o esforço de todo o processo de mudança não devem ser subestimados.

Como especialistas em auditoria e certificação com quase 40 anos de experiência, ficaremos felizes em apoiá-lo na avaliação do seu estado atual, por exemplo, como parte de uma auditoria delta. Consulte nossos auditores experientes sobre as principais mudanças e sua relevância para a sua organização. Juntos, discutiremos seu potencial de melhoria e o apoiaremos até que você obtenha o novo certificado.

Confiança e experiência

Nossos textos são escritos exclusivamente por nossos especialistas em normas ou auditores de longa data. Se você tiver alguma dúvida sobre o conteúdo do texto ou sobre nossos serviços, ficaremos felizes em receber sua mensagem.

Autor
André Säckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista nas normas para a área de segurança da informação e catálogo de segurança de TI (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicas da indústria, entre outras: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automotiva). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Alguma pergunta?

Estamos aqui para você
Contate-nos