ISO 27001:2013 – O que muda com a sua atualização?

REGULAMENTOS TÉCNICOS

Os Regulamentos Técnicos, estabelecidos por órgãos oficiais nos níveis federal, estadual ou municipal, de acordo com as suas competências específicas, estabelecidas legalmente e que contém regras de observância obrigatórias às quais estabelecem requisitos técnicos, seja diretamente, seja pela referência a uma Norma Brasileira ou por incorporação do seu conteúdo, no todo ou em parte, também estão disponíveis aqui no Portal Target.

Estes regulamentos, em geral, visam assegurar aspectos relativos à saúde, à segurança, ao meio ambiente, ou à proteção do consumidor e da concorrência justa, além de, por vezes, estabelecer os requisitos técnicos para um produto, processo ou serviço, podendo assim também estabelecer procedimentos para a avaliação da conformidade ao regulamento, inclusive a certificação compulsória.

Você pode realizar pesquisas selecionando o produto “Regulamentos Técnicos” e informando a(s) palavra(s) desejada(s). Clique no link https://www.target.com.br/produtossolucoes/regulamentos/regulamentos.aspx

Claudio Dodt, especialista em segurança da informação e análise de risco da Daryus Strategic Risk Consulting

O ano de 2013 nos brindou com diversas noticias sobre ataques de hackers, vazamentos de informação, espionagem digital, invasão de privacidade (oi Obama!) e a consequência é que todos os holofotes estão mais que nunca apontados para o tema Segurança da Informação. É nesse contexto que nos últimos dias chegou a nova revisão da ISO 27001. Padrão internacional que – junto das demais publicações da família 27000 – há mais de uma década tem sido uma das principais referências sobre Segurança da Informação para empresas e profissionais em todo o mundo.

Uma série de perguntas fica no ar: o que realmente muda? A norma está mais efetiva? Claro, quem é responsável pela gestão de um Sistema de Gestão da Segurança da Informação (SGSI) está imaginando a quantidade de novos controles e documentos obrigatórios para obter ou manter a certificação da sua empresa. Sem mais delongas, vamos as mudanças!

27001:2013: Que venham as mudanças!

27001:2013: Que venham as mudanças

Maior alinhamento com outros sistemas de gestão

Uma das dificuldades de quem implementa mais de um sistema de gestão ISO (27001 x 9001) é saber que apesar das normas possuirem requisitos em comum, existem várias diferenças no que tange a definições. Uma das modificações da 27001:2013 é o alinhamento com as diretrizes do Annex SL (conhecido antigamente como ISO Guide 83), que padroniza definições e estruturas de diferentes padrões ISO. Com isso, a norma está completamente  alinhada com outros padrões ISO como ISO 9001, ISO 14000, ISO 20000, ISO 22000, ISO 22301. Empresas que possuem mais de um sistema de gestão poderão centralizar e integrar os mesmo de uma forma efetiva, reduzindo a sobrecarga administrativa.

Período de Transição

A ISO 27001:2013 já está valida e publicada no exterior. No Brasil a expectativa é que a ABNT publique a versão em português ainda este ano. Mas o que acontece com quem ainda está usando a versão 2005?

Quando vou adotar a 27001:2013?

Quando vou adotar a 27001:2013?

Se sua empresa está próxima de obter ou já possui certificação 27001:2005 não entre em pânico! Ainda é possível obter ou renovar a certificação na versão antiga até Setembro de 2014. O prazo limite para migrar para a versão de 2013 é de dois anos, apenas em Setembro de 2015.

Documentos obrigatórios

A lista de documentos obrigatórios não assusta, especialmente se você já está acostumado com os requisitos da versão anterior:

  • Documentos:
    • Scope of the ISMS (clause 4.3)
    • Information security policy and objectives (clauses 5.2 and 6.2)
    • Risk assessment and risk treatment methodology (clause 6.1.2)
    • Statement of Applicability (clause 6.1.3 d)
    • Risk treatment plan (clauses 6.1.3 e and 6.2)
    • Risk assessment report (clause 8.2)
    • Definition of security roles and responsibilities (clauses A.7.1.2 and A.13.2.4)
    • Inventory of assets (clause A.8.1.1)
    • Acceptable use of assets (clause A.8.1.3)
    • Access control policy (clause A.9.1.1)
    • Operating procedures for IT management (clause A.12.1.1)
    • Secure system engineering principles (clause A.14.2.5)
    • Supplier security policy (clause A.15.1.1)
    • Incident management procedure (clause A.16.1.5)
    • Business continuity procedures (clause A.17.1.2)
    • Statutory, regulatory, and contractual requirements (clause A.18.1.1)
  • Registros:
    • Records of training, skills, experience and qualifications (clause 7.2)
    • Monitoring and measurement results (clause 9.1)
    • Internal audit program (clause 9.2)
    • Results of internal audits (clause 9.2)
    • Results of the management review (clause 9.3)
    • Results of corrective actions (clause 10.1)
    • Logs of user activities, exceptions, and security events (clauses A.12.4.1 and A.12.4.3)

27001

Claro, se um documento referenciado acima faz parte do anexo A, este só obrigatório se existir um risco que exija sua implementação.  Mas falando no famoso Anexo A, vamos a ele!

Anexo A: Comparando as versões!

Ok, a norma está mais alinhada com outros sistemas de gestão e vou ter um bom tempo para me adaptar. Ótimo! Mas o que realmente muda? Bem, o objetivo da atualização foi tornar a 27001 mais eficiente e aderente ao contexto atual da Segurança da Informação nas organizações. A norma mudou bastante, mas isso não significa um trabalho enorme.

Vamos a um resumo das principais mudanças dos Controles e Objetivos de Controles no Anexo A:

Seções: o número de seções aumentou. Enquanto em sua versão anterior a norma era dívida em 11 itens, a 27001:2013 possui 14! Essa mudança ajuda principalmente a organização do framework, que em sua versão anterior tinha controles inseridos em locais que simplesmente não faziam sentido. Esse problema foi resolvido!

Um exemplo é criptografia, que agora ganhou uma seção própria (10) e não faz mais parte do item Aquisição, Desenvolvimento e Manutenção de sistemas de informação, o que faz bastante sentido. Outro item que ganhou uma seção própria foi Relacionamento com Fornecedor (15).

Veja como ficou a nova estrutura:

  • 5 Security Policies
  • 6 Organization of information security
  • 7 Human resource security
  • 8 Asset management
  • 9 Access control
  • 10 Cryptography
  • 11 Physical and environmental security
  • 12 Operations security
  • 13 Communications security
  • 14 System acquisition, development and maintenance
  • 15 Supplier relationships
  • 16 Information security incident management
  • 17 Information security aspects of business continuity
  • 18 Compliance

domino

Número de Controles: Se você achava que uma atualização na norma aumentaria automaticamente o número de controles… bem, você estava errado! Claro, existem novos controles, mas vários controles considerados muito específicos ou desatualizados foram excluídos. Veja:

  • Novos controles:
    • 14.2.1 Secure development policy – rules for development of software and information systems
    • 14.2.5 System development procedures – principles for system engineering
    • 14.2.6 Secure development environment – establishing and protecting development environment
    • 14.2.8 System security testing – tests of security functionality
    • 16.1.4 Assessment and decision of information security events – this is part of incident management
    • 17.2.1 Availability of information processing facilities – achieving redundancy
  • Controles Excluídos:
    • 6.2.2 Addressing security when dealing with customers
    • 10.4.2 Controls against mobile code
    • 10.7.3 Information handling procedures
    • 10.7.4 Security of system documentation
    • 10.8.5 Business information systems
    • 10.9.3 Publicly available information
    • 11.4.2 User authentication for external connections
    • 11.4.3 Equipment identification in networks
    • 11.4.4 Remote diagnostic and configuration port protection
    • 11.4.6 Network connection control
    • 11.4.7 Network routing control
    • 12.2.1 Input data validation
    • 12.2.2 Control of internal processing
    • 12.2.3 Message integrity
    • 12.2.4 Output data validation
    • 11.5.5 Session time out
    • 11.5.6 Limitation of connection time
    • 11.6.2 Sensitive system isolation
    • 12.5.4 Information leakage
    • 14.1.2 Business continuity and risk assessment
    • 14.1.3 Developing and implementing business continuity plans
    • 14.1.4 Business continuity planning framework
    • 15.1.5 Prevention of misuse of information processing facilities
    • 15.3.2 Protection of information systems audit tools

Obviamente você deve estar se perguntando: Qual versão da norma devo usar? 2005 ou 2013? Bem, a atualização da 27001 – que deve ser publicada em português pela ABNT ainda este ano – teve como principal objetivo algo que me atrai bastante: uma “gestão de riscos mais efetiva”, trazendo controles atualizados e organizados de forma mais intuitiva.

Além disso, a 27001:2013 é mais fácil de alinhar com outros sistemas de gestão, o que vai poupar bastante tempo em um novo projeto ou reduzir a carga administrativa em um ambiente existente. Com todos esses benefícios é óbvio que a recomendação para novos projetos é partir já com a norma atualizada. Mas se você já possui um projeto em andamento, que deve ser concluído nos próximos seis a oito meses, eu recomendaria manter a versão 2005, mas seja rápido.

Consulta nacional

No Brasil, a ABNT colocou em consulta nacional:

Projeto ABNT NBR ISO/IEC 27001
Tecnologia da Informação – Técnicas de Segurança – Sistemas de gestão da segurança da informação – Requisitos

Data Limite para Votação : 25/10/2013

Tipo: Atualização de norma

Projeto ABNT NBR ISO/IEC 27002
Tecnologia da Informação-Técnicas de Segurança – Código de Prática para controles de segurança da informação

Data Limite para Votação : 25/10/2013

Tipo: Atualização de norma

O avesso do sucesso

Sistemas de Informações Tecnológicas Target Gedweb

Segurança em Instalações e Serviços com Eletricidade de Acordo com a NR 10 – Básico – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 554,02 (56% de desconto)

NR 10 – Atendendo às exigências do Ministério do Trabalho – Reciclagem Obrigatória – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 264,00 (56% de desconto)

Aterramento e a Proteção de Instalações e Equipamentos Sensíveis contra Raios: Fatos e Mitos – Presencial ou Ao Vivo pela Internet – A partir de 3 x R$ 257,81 (56% de desconto)

Ruy Martins Altenfelder Silva

Entre 1991 e 2010, um salto de 47,8% elevou o Brasil da categoria “muito baixa” para “alta” no Índice de Desenvolvimento Humano Municipal (IDHM), divulgado pelo Programa das Nações Unidas para o Desenvolvimento (PNUD). Além disso, o Relatório de Desenvolvimento Global 2013 classifica o país como um dos responsáveis pela “ascensão do Sul” na nova geopolítica mundial, em razão dos programas de inclusão social, com transferência de renda e investimentos em saúde e educação. Esse tripé – que é a base do cálculo do IDHM – resultaria no aumento das capacidades e oportunidades das pessoas, com reflexos na qualidade e condições de vida de apreciável parcela da população.

Na perspectiva nacional, o cenário do desenvolvimento humano é promissor, com pontuação que passou de 0,492 para 0,727, numa escala que vai de zero a um. Mas o choque da realidade vem com um mergulho no microcosmo dos municípios, que revela a persistência de fortes desigualdades regionais. Segundo o Atlas do Desenvolvimento Humano no Brasil 2013,  a renda per capita oscila entre R$ 1,7 mil e R$ 210. No quesito adultos com ensino fundamental completo, a variação cai de 80% para 13%. A longevidade ou expectativa de vida de uma criança ao nascer, que no Sul bate em 78 anos, desaba para 66 anos no Nordeste.  Aliás, os 50 municípios pior classificados estão todos no Norte-Nordeste, com o último lugar ocupado por Melgaço, no Pará. Em contraposição, os 10 melhores, com São Caetano do Sul à frente, se dividem entre os estados de São Paulo (com 7), Santa Catarina (2) e Espírito Santo (1).

Dos três indicadores que compõem o IDHM, a longevidade foi a que mais contribuiu para o salto no ranking (crescimento de 23%), seguida por renda (14%). Sem surpresa para quem acompanha a questão jovem no Brasil a educação ficou na categoria “média”, com crescimento de 128%, devido principalmente à frequência escolar e não à qualidade do ensino. Tanto que, entre os 5.565 municípios, somente cinco atingiram o patamar muito alto de desenvolvimento.

Tais números ganham contornos mais preocupantes quando alinhados a outros indicadores. Em 2010, o Instituto Brasileiro de Economia da Fundação Getúlio Vargas (Ibre-FGV) detectou que cerca de 1,5 milhão de jovens, entre 19 e 24 anos – a maioria concentrada nas faixas mais pobres – nem trabalham, nem estudam e nem procuram emprego. Trata-se da face mais perversa de um problema detectado pelo Dieese no final de 2011: metade dos jovens de 18 a 20 anos estava sem emprego, provavelmente por falta de capacitação para aproveitar o momento aquecido do mercado de trabalho. 

Se o Brasil realmente pretende ascender a patamares compatíveis com outros  países que integram a faixa de alto desenvolvimento humano, não pode continuar descurando de políticas públicas que assegurem às novas gerações bem mais oportunidades de ingressar no mercado de trabalho. Entre outras razões, porque os jovens e suas famílias precisam ser motivados por perspectivas concretas de progresso pessoal, de renda e de condições de vida mais dignas. E também porque, no futuro, a sociedade como um todo terá de estar apta a dar sustentabilidade ao desenvolvimento de um País que já ultrapassou os 200 milhões de habitantes e continuará a crescer.

Caso contrário, a maioria deles poderá ser cooptada pelo crime organizado – tendência crescente nas estatísticas policiais – ou recair em ocupações informais, duas opções que aumentarão a vulnerabilidade dos milhões de brasileiros condenados à exclusão no estratégico momento em que chegam à  fase produtiva da vida.  O círculo vicioso somente será quebrado com a oferta de um projeto de vida a esses jovens, que passa não só pela inclusão escolar e assistência à família, mas também pela formação para o trabalho e a cidadania, dotando-os da autonomia indispensável para o resgate da autoestima e para a realização pessoal.

Aí está posto o grande desafio de reduzir a desigualdade na educação e na formação profissional, talvez as maiores e mais perniciosas disparidades sociais. Para vencê-la, ações sérias e responsáveis, destinadas a oferecer um futuro melhor aos jovens, devem ser estimuladas e multiplicadas. Principalmente aquelas que comprovaram seu potencial inclusivo, como é o caso do estágio e da aprendizagem. O balanço de meio século de atuação do Centro de Integração Empresa-Escola (CIEE), com 12 milhões de jovens encaminhados ao mercado de trabalho, certifica o impacto saudável das duas modalidades de formação na empregabilidade e na construção de um futuro promissor.

Ruy Martins Altenfelder Silva é presidente do CIEE e da Academia Paulista de Letras Jurídicas (APLJ).