A ISO/IEC 27001 concentra-se nas informações sensíveis e valiosas de uma organização: A sua proteção, sua confidencialidade, sua integridade e a sua disponibilidade. A ISO/IEC 27001 é uma norma internacional de segurança da informação que pode ser aplicada em todos os tipos de organizações privadas, públicas ou sem fins lucrativos, de qualquer tamanho ou segmento. A norma descreve os requisitos para o estabelecimento, implementação, operação e otimização de um sistema de gestão de segurança da informação (SGSI/ISMS) documentado. O foco principal do sistema de gestão é a identificação, manuseio e tratamento dos riscos.
Loading...
CONTEÚDO
- Quais são as ameaças e os riscos para a segurança da informação?
- Processos com falhas - uma ameaça para a segurança da informação?
- Gestão de vulnerabilidades no contexto da ISO/IEC 27001: Proteção ideal da infraestrutura
- Como uma empresa pode proteger-se de vulnerabilidades técnicas?
- Perguntas importantes sobre o gerenciamento de vulnerabilidades e o conceito de segurança ISO/IEC 27001
- Conclusão
- DQS: simplesmente alavancando a qualidade
Quais são as ameaças e os riscos para a segurança da informação?
A gestão de vulnerabilidades no contexto da ISO/IEC 27001 refere-se a vulnerabilidades técnicas. Estas podem levar a ameaças à segurança de TI de empresas e organizações. Estas incluem:
- Ransomware, é um "malware "software de extorsão digital que geralmente criptografa as mídia de dados e arquivos dos clientes, obtenção de informações comprometedoras.
- Trojan de Acesso Remoto (RAT), que pode permitir o acesso e controle remoto à rede e seus computadores.
- Phishing, é um tipo de ciberataque, com objetivo de enganar usuários. Geralmente ocorre via e-mail, mas também pode aparecer em forma de ligações, mensagens em redes sociais e SMS. Frequentemente os autores se disfarçam de uma instituição conhecida, como um banco ou uma marca famosa. O objetivo é conseguir o fornecimento de dados confidenciais, dados bancários e senhas.
- SPAM, é o termo usado para referir-se aos e-mails não solicitados, que geralmente são enviados para um grande número de pessoas.
- DDoS/botnets, o que pode levar ao comprometimento da disponibilidade e integridade dos sistemas devido aos enormes pacotes de dados (ataques de negação de serviços)
- Ciberterroristas, ativistas, criminosos, bem como perpetradores internos patrocinados pelo Estado que trazem uma grande variedade de ameaças
- Processos inadequados ou inexistentes
A identificação de vulnerabilidades e lacunas de segurança que surgem dessas ameaças requer uma avaliação das necessidades de proteção com a ISO/IEC 27001, pois isso resulta em uma gestão sistemática das vulnerabilidades para proteger a infraestrutura de TI com uma avaliação contínua das vulnerabilidades.
ISO/IEC 27001:2022 - Tecnologia da Informação, segurança cibernéticas e proteção da privacidade — Sistemas de Gestão de Segurança da Informação — Requisitos.
A norma ISO foi revisada e republicado em 25 de outubro 2022.
Processos com falhas - Uma ameaça à segurança da informação?
Sem um processo de análise e dados de logs, conhecimento de vulnerabilidades técnicas e uma revisão mais profunda dos sistemas de TI, não é possível uma avaliação realista dos riscos. Nem a falta ou falha de um processo permite o estabelecimento de critérios de aceitação de riscos ou a determinação de níveis de risco - conforme exigido pela ISO/IEC 27001.
Daí resulta que o risco para a segurança das TI e, portanto, para a segurança da informação de uma empresa, não pode ser determinado e deve ser assumido como sendo o risco mais elevado possível para essa empresa.
Loading...
Assista agora: O que está mudando com a nova ISO/IEC 27001:2022
A nova versão da ISO/IEC 27001, adaptada aos riscos de informação contemporâneos, foi publicada em 25 de outubro de 2022. O que isso significa para os usuários da norma? Em nossa gravação gratuita de webinar , você aprenderá sobre
- Novos recursos da ISO/IEC 27001:2022 - Estrutura e Anexo A
- ISO/IEC 27002:2022-02 - estrutura, conteúdo, atributos e hashtags
- Linha do tempo para a transição e seus próximos passos
Gestão das vulnerabilidades no contexto da ISO/IEC 27001: Ótima segurança das infraestruturas
Uma possível medida adequada para proteger a infraestrutura de TI é a gestão de potenciais vulnerabilidades e falhas de segurança. Isto envolve varredura regular, sistemática e controlada pela rede, testes de invasão de todos os sistemas para vulnerabilidades técnicas. Quaisquer vulnerabilidades identificadas são registradas no sistema de gestão de segurança da informação (ISMS), de acordo com a ISO/IEC 27001.
É igualmente importante definir as ameaças à segurança de TI - bem como a segurança abrangente da informação. Neste contexto, as vulnerabilidades técnicas devem ser priorizadas de acordo com a severidade (CVSS) e, em última instância, corrigidas. Uma avaliação do risco residual das vulnerabilidades técnicas restantes e, em última análise, a aceitação do risco também fazem parte da gestão de vulnerabilidades de acordo com a ISO/IEC 27001.
Para avaliar a gravidade de uma vulnerabilidade, um padrão que é utilizado globalmente é o "CVSS - Common Vulnerability Scoring System" / Sistema de pontuação de vulnerabilidade comum pode ser usado. Uma pontuação geral de 0 a 10 é determinada a partir do Sistema de Pontuação Base, que aborda estas questões, entre outras: O quão "próximo" o atacante precisa chegar ao sistema vulnerável (Vetor de Ataque)? Com que facilidade o atacante atinge o alvo (Complexidade de Ataque)? Que direitos de acesso são necessários para explorar a vulnerabilidade (Privilégios Requeridos)? Você precisa de ajudantes, por exemplo, um usuário que deve primeiro seguir um link (Interação de usuário)? A confidencialidade está comprometida (Impacto da Confidencialidade)?
Uma calculadora CVSS pode ser encontrada nas páginas do U.S. National Institute of Standards and Technology (NIST).
Como uma empresa pode se proteger de vulnerabilidades técnicas?
Por exemplo, uma empresa pode se proteger preventivamente contra malwares, introduzindo e implementando medidas de detecção, prevenção e segurança de dados em conjunto com a conscientização apropriada dos usuários. Em detalhe, isto significa: Para prevenir a exploração de uma vulnerabilidade técnica no contexto da gestão de vulnerabilidades da ISO/IEC 27001, é necessário fazer:
- Obter rapidamente informações sobre as vulnerabilidades técnicas dos sistemas de informação utilizados;
- Avaliar a sua vulnerabilidade, e;
- Tomar as medidas apropriadas
Isto pode ser feito através da instalação de patches de segurança (gerenciamento de patches), manter os sistemas atualizados, isolando sistemas de TI vulneráveis ou finalmente através de desligamentos do sistema. Além disso, as regras e permissões para instalação de software pelos usuários devem ser definidas e implementadas de forma adequada.
Perguntas importantes sobre gestão de vulnerabilidades e o conceito de segurança ISO/IEC 27001
As seguintes perguntas poderiam ser feitas durante uma auditoria, por isso faz sentido abordá-las com antecedência:
- Você definiu papéis e responsabilidades para lidar e monitorar vulnerabilidades técnicas?
- Já tomou conhecimento das fontes de informação que podem ser utilizadas para identificar as vulnerabilidades técnicas?
- Há um prazo para responder com ação quando uma vulnerabilidade é notificada e descoberta?
- Você realizou uma avaliação de risco das vulnerabilidades em relação aos ativos da empresa, entre outras coisas?
- Você conhece as suas vulnerabilidades técnicas?
Precisa ter uma visão abrangente e bem fundamentada das ameaças da Alemanha no espaço cibernético?
Você pode encontrar o "Situation Report on IT Security 2019" em inglês do Escritório Federal Alemão para Segurança da Informação (BSI) em https://www.bsi.bund.de.
Gestão de vulnerabilidade ISO/IEC 27001 conclusão
A gestão das vulnerabilidades no contexto da ISO/IEC 27001 é um processo contínuo que deve ser realizado regularmente. De acordo com a norma ISO/IEC 27001, os resultados devem ser "válidos". Isso significa que um exame de vulnerabilidades e dos riscos feita uma única vez quando o sistema de gestão foi implementado ou quando foi realizada a certificação não é mais válido para um segundo momento ou necessidade, como por exemplo, durante as auditorias de manutenção ou recertificação.
Uma varredura de vulnerabilidade só é válida no momento exato em que é realizada. Mas se as atualizações de software forem feitas mais tarde ou se forem feitas alterações na topologia, elas podem levar a novas vulnerabilidades.
Portanto, é importante para qualquer organização rastrear, verificar e repetir continuamente os processos de gerenciamento de vulnerabilidades e levar as informações relevantes para o sistema de gestão de segurança da informação.
Loading...
Conhecimento valioso: o Guia de Auditoria DQS ISO 27001
Nosso guia de auditoria ISO 27001 - Anexo A foi criado por especialistas renomados como um auxílio prático à implementação e é ideal para compreender melhor os requisitos da norma selecionada. A diretriz refere-se à versão ISO 27001:2013. Uma atualização da versão revisada publicada em 25.10.2022 será fornecida em tempo hábil.
DQS: Simply leveraging Quality
Nós da DQS somos parceiros importantes dos nossos clientes, com os quais trabalhamos de forma muito próxima para alcançar um valor agregado e sustentável. O nosso objetivo é fornecer às empresas uma parceria que gere valor e a direcione para o sucesso empresarial através dos processos mais diretos, simples, zelando pelos objetivos e prazos e gerando confiabilidade.
Nossas principais competências estão na realização de auditorias e avaliações de certificação. Isso nos torna um dos principais fornecedores do mundo com a pretensão de estabelecer novos padrões de referência em confiabilidade, qualidade e orientação ao cliente em todos os momentos.
Boletim Informativo DQS
Inscreva-se na nossa newsletter e mantenha-se informado!
Autor
André Säckel
Gestor de produto na DQS para gestão da segurança da informação. Como especialista nas normas para a área de segurança da informação e catálogo de segurança de TI (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicas da indústria, entre outras: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automotiva). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.
Loading...