ISO 27001:2022: quais são as principais mudanças na nova norma de segurança?

A tecnologia está avançando e inerentemente dando origem a novos riscos determinados por ameaças e vulnerabilidades. Novas ameaças digitais com características cada vez mais ofensivas estão sendo continuamente desenvolvidas, enquanto mais e mais vulnerabilidades estão sendo identificadas. Isto, por sua vez, determina as tendências, condições e necessidades no campo da segurança da informação.

Com tudo isso em conta, fatores externos como novos modelos de negócios, pandemias ou conflitos geopolíticos também tiveram um impacto direto, tornando necessária a renovação dos controles de segurança. Neste contexto, as normas de segurança são revistas e atualizadas regularmente. A nova versão da ISO 27001 (ISO/IEC 27001:2022), uma das principais referências internacionais em cibersegurança, foi apresentada recentemente.

Quais são as mudanças na versão 2022 da ISO 27001?

No final de 2022, foi publicada a ISO/IEC 27001:2022. Esta nova versão da ISO apresenta importantes mudanças no número e classificação dos controles de segurança, bem como pequenas modificações nas cláusulas que definem os requisitos para estabelecer, implementar, operar, monitorar, revisar, manter e melhorar um Sistema de Gerenciamento de Segurança da Informação (SGSI).

Detalhes da implementação de cada um dos controles considerados na ISO/IEC 27001 podem ser encontrados na versão mais recente da ISO/IEC 27002, um documento conhecido em versões anteriores como um "código de práticas", que continua sendo um guia de implementação. Este último documento também foi atualizado durante 2022, mudando seu título para "Information security, cybersecurity and privacy protection — Information security controls", juntamente com sua estrutura para usar uma taxonomia simples. Além disso, alguns controles foram fundidos, alguns foram removidos e novos foram acrescentados.

Vale lembrar que enquanto a ISO 27001 estabelece os objetivos que uma organização deve cumprir para ser certificada, a ISO 27002 estabelece os controles que são necessários para cumprir com os objetivos.

Após as mudanças na ISO/IEC 27002:2022, analisamos a seguir as mudanças no Anexo A da ISO/IEC 27001:2022.

Podemos observar que estas novas versões dos documentos consideram dois novos aspectos: temas e atributos. Os temas referem-se à forma de categorização dos controles de segurança, que pode ser equiparada aos domínios usados nas edições anteriores. Desta forma, é possível encontrar quatro temas ou formas de classificação: controles para pessoas, físicos, tecnológicos e organizacionais. Por outro lado, os atributos referem-se a outra forma de classificação baseada em outras perspectivas ou abordagens, de modo que os atributos podem ser usados para filtrar, classificar ou apresentar diferentes controles para diferentes tipos de público.

Existem cinco tipos de atributos: baseados no tipo de controle (preventivo, detetive ou corretivo), propriedades de segurança da informação (confidencialidade, integridade e disponibilidade), conceitos de cibersegurança (identificar, proteger, detectar, responder e recuperar), capacidades operacionais (capacidades de segurança sob a perspectiva de profissionais, como governança ou segurança física) e domínios de segurança (governança e ecossistema, proteção, defesa e resiliência).

Além disso, o novo padrão reduz o número de controles de segurança para 93. Deste modo, é possível identificar 8 controles para pessoas, 14 controles físicos, 34 controles tecnológicos e 37 controles organizacionais. Também podemos observar que os objetivos de controle, identificados como declarações descrevendo o que deve ser alcançado como resultado da implementação de controles, não são mais considerados na nova edição.

A redução do número de controles ocorre devida à reorganização e fusão de alguns dos controles. A ISO 27001:2022 introduz 11 novos controles de segurança que atendem às necessidades de proteção para novas tendências e abordagens de cibersegurança: inteligência de ameaças, segurança da informação para o uso de serviços em nuvem, preparação das TIC para a continuidade do negócio, monitoramento de segurança física, gerenciamento de configuração, descarte de informações, mascaramento de dados, prevenção de vazamento de dados, atividades de monitoramento, filtragem da web e criptografia segura.

Considerações na seleção e implementação de controles

É importante lembrar que os controles são definidos como medidas destinadas a manter e/ou modificar os riscos associados às informações e outros ativos. Entretanto, os controles podem nem sempre exercer o efeito modificador desejado, portanto devem ser constantemente revisados e atualizados para atender às expectativas de proteção baseadas em critérios de risco (aversão ou propensão).

Além disso, as organizações não estão sujeitas e nem são obrigadas a implementar todos os controles definidos na norma, mas a omissão de qualquer um deles deve ser documentada e justificada na Declaração de Aplicabilidade (SoA); geralmente, a seleção dos controles é determinada principalmente pelos resultados da avaliação de riscos.

Também é fundamental lembrar que as organizações podem selecionar e implementar controles ou contramedidas para proteger seus ativos com base em outras fontes de informações e outras estruturas de cibersegurança ou segurança da informação, e que as boas práticas recomendadas na norma devem ser adotadas, adaptadas e aplicadas com base nas características, necessidades e condições de cada organização.