A ISO 27001 concentra-se nas informações sensíveis e valiosas de uma organização: A sua protecção, a sua confidencialidade, a sua integridade e a sua disponibilidade. A ISO 27001 é uma norma internacional de segurança da informação em organizações privadas, públicas ou sem fins lucrativos. A norma descreve os requisitos para o estabelecimento, implementação, operação e optimização de um sistema de gestão de segurança da informação (SGSI) documentado. O principal foco do sistema de gestão é a identificação, manuseio e tratamento de riscos.

Loading...

Quais são as ameaças e os riscos para a segurança da informação?

A gestão de vulnerabilidades no contexto da ISO 27001 refere-se a vulnerabilidades técnicas. Estas podem levar a ameaças à segurança de TI de empresas e organizações. Estas incluem:

  • Ransomware, um software de extorsão que pode levar à criptografia de mídia de dados e à obtenção de informações comprometedoras.
  • Trojan de Acesso Remoto (RAT), que pode permitir o acesso remoto à rede
  • Phishing e SPAM, o que pode levar à perda de controle via e-mail. Aqui, um gateway particularmente popular é o Regulamento Geral de Proteção de Dados (GDPR) e o pedido em um e-mail para verificar os dados do cliente, clicando em um link. Muitas vezes, os remetentes parecem ser bancos ou mesmo PayPal.
  • DDoS/botnets, o que pode levar ao comprometimento da disponibilidade e integridade dos sistemas devido aos enormes pacotes de dados
  • Ciberterroristas, activistas, criminosos, bem como perpetradores internos patrocinados pelo Estado que trazem uma grande variedade de ameaças
  • Processos inadequados ou inexistentes

A identificação de vulnerabilidades e lacunas de segurança que surgem dessas ameaças requer uma avaliação das necessidades de proteção com a ISO 27001, pois isso resulta em uma gestão sistemática das vulnerabilidades para proteger a infraestrutura de IT com uma avaliação contínua das vulnerabilidades.

ISO/IEC 27001:2022-10 – Segurança de informação, cibersegurança  e protecção de privacidade  – Sistemas de gestão de segurança de informação  – Requisitos.

A norma ISO foi revista e republicada a 25 de Outubro de 2022.

Processos defeituosos - Uma ameaça à segurança da informação?

Sem um processo de análise de logs e dados de logs, conhecimento de vulnerabilidades técnicas e uma revisão mais profunda dos sistemas de IT, não é possível uma avaliação realista dos riscos. Nem a falta ou falha de um processo permite o estabelecimento de critérios de aceitação de riscos ou a determinação de níveis de risco - conforme exigido pela ISO 27001.

Daí resulta que o risco para a segurança de IT e, portanto, para a segurança da informação de uma empresa, não pode ser determinado e deve ser assumido como sendo o risco mais elevado possível para essa empresa.

Gestão das vulnerabilidades no contexto da ISO 27001: segurança óptima das infra-estruturas

Uma possível medida adequada para proteger a infra-estrutura de IT é a gestão de potenciais vulnerabilidades e falhas de segurança. Isto envolve rastreamento regular, sistemático e controlado pela rede e testes de penetração de todos os sistemas para vulnerabilidades técnicas. Quaisquer vulnerabilidades identificadas são registadas no sistema de gestão de segurança da informação (ISMS), de acordo com a ISO 27001.

É igualmente importante definir as ameaças à segurança de IT- bem como a segurança abrangente da informação. Neste contexto, as vulnerabilidades técnicas devem ser priorizadas de acordo com a severidade (CVSS) e, em última instância, corrigidas. Uma avaliação do risco residual das vulnerabilidades técnicas restantes e, em última análise, a aceitação do risco também fazem parte da gestão de vulnerabilidades de acordo com a ISO 27001.

Para avaliar a gravidade de uma vulnerabilidade, a norma da indústria"CVSS - Common Vulnerability Scoring System" pode ser usada. Uma pontuação geral de 0 a 10 é determinada a partir do Sistema de Pontuação Base, que aborda estas questões, entre outras: O quão "próximo" o atacante precisa chegar ao sistema vulnerável (Vector de Ataque)? Com que facilidade o atacante atinge o alvo (Complexidade de Ataque)? Que direitos de acesso são necessários para explorar a vulnerabilidade (Privilégios Requeridos)? Você precisa de ajudantes, por exemplo, um usuário que deve primeiro seguir um link (User Interaction)? A confidencialidade está comprometida (Impacto da Confidencialidade)?


Uma calculadora CVSS pode ser encontrada nas páginas do U.S. National Institute of Standards and Technology (NIST).

 

Como uma empresa se pode proteger de vulnerabilidades técnicas?

Por exemplo, uma empresa pode-se proteger preventivamente contra malware introduzindo e implementando medidas de detecção, prevenção e segurança de dados em conjunto com a conscientização apropriada do usuário. Em detalhe, isto significa: Para prevenir a exploração de uma vulnerabilidade técnica no contexto da gestão de vulnerabilidades da ISO 27001, é necessário fazê-lo:

  • Obter atempadamente informações sobre as vulnerabilidades técnicas dos sistemas de informação utilizados
  • Avaliar a sua vulnerabilidade, e
  • Tomar as medidas apropriadas

Isto pode ser feito através da instalação de patches de segurança (gestão de patches), isolando sistemas de IT vulneráveis ou finalmente através do desligamento do sistema. Além disso, as regras para instalação de software pelos usuários devem ser definidas e implementadas.

Questões importantes sobre gestão de vulnerabilidades e o conceito de segurança ISO 20071

As seguintes perguntas poderiam ser feitas durante uma auditoria, por isso faz sentido abordá-las com antecedência:

  • Você definiu papéis e responsabilidades para lidar com e minitorizar vulnerabilidades técnicas?
  • Já tomou conhecimento das fontes de informação que podem ser utilizadas para identificar as vulnerabilidades técnicas?
  • Há um prazo para responder com acção quando uma vulnerabilidade é notificada e descoberta?
  • Você realizou uma avaliação de risco das vulnerabilidades em relação aos activos da empresa, entre outras coisas?
  • Você conhece as suas vulnerabilidades técnicas?

Se você gostaria de ter uma visão abrangente e bem fundamentada das ameaças da Alemanha no espaço cibernético, você pode encontrar o "Situation Report on IT Security 2019" em inglês do Escritório Federal Alemão para Segurança da Informação (BSI) em https://www.bsi.bund.de.

Gestão de Vulnerabilidades ISO 27001: Conclusão

A gestão das vulnerabilidades no contexto da ISO 27001 é um processo contínuo que deve ser realizado regularmente. De acordo com a norma ISO 27001, os resultados devem ser "válidos". Isso significa que um exame de vulnerabilidade e uma avaliação única dos riscos para implementação ou certificação deixa de ser válido num momento posterior, por exemplo, durante a recertificação.

Um rastreio de vulnerabilidade só é válido no momento exacto em que é realizado. Mas se as actualizações de software forem feitas mais tarde ou se forem feitas alterações na topologia, elas podem levar a novas vulnerabilidades.

Portanto, é importante para qualquer organização rastrear, verificar e repetir continuamente os processos de gestão de vulnerabilidades e levar as informações relevantes para o sistema de gestão de segurança da informação.

fragen-antwort-dqs-fragezeichen auf wuerfeln aus holz auf tisch
Loading...

Certificação ISO 27001

Com que esforço você tem que contar para ter seu ISMS certificado de acordo com a ISO 27001? Obter informações de forma gratuita e sem compromisso.

Estamos ansiosos para falar consigo.

DQS. Simplesmente a alavancar a Qualidade.

Consideramo-nos parceiros importantes dos nossos clientes, com os quais trabalhamos ao nível dos olhos para alcançar um valor acrescentado sustentável. O nosso objectivo é dar às organizações importantes impulsos de valor acrescentado para o seu sucesso empresarial através dos processos mais simples, bem como o máximo respeito pelos prazos e fiabilidade.

As nossas principais competências residem na realização de auditorias e avaliações de certificação. Isso torna-nos um dos principais fornecedores do mundo com a pretensão de estabelecer novos padrões de referência em confiabilidade, qualidade e orientação para o cliente em todos os momentos.

Autor
André Saeckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista em normas para a área de segurança da informação e catálogo de segurança de IT (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicos da indústria, entre outros: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automóvel). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...