Atualizado em 25-09-2013: Este post foi atualizado de acordo com a versão final da ISO 27001:2013 que foi publicada em 25 de setembro de 2013.
Quando ouvi a notícia de que a a versão DIS (draft) da ISO 27001:2013 estava disponível, fiquei impaciente para lê-la. Quando comparada com a antiga ISO/IEC 27001 de 2005, as mudanças não são na verdade muito drásticas – aqui estão as principais diferenças que encontrei:
A estrutura
Como esperado, a nova ISO 27001 está em conformidade como Anexo SL da ISO/IEC Directives, de forma a estar alinhada com todas as outras normas de gestão – isto já é evidente na ISO 22301, a nova norma sobre gestão da continuidade de negócio. Assim, aqui estão a principais cláusulas que você verá em todas as normas de gestão:
0 Introdução
1 Escopo
2 Referências normativas
3 Termos e definições
4 Contexto da organização
5 Liderança
6 Planejamento
7 Suporte
8 Operação
9 Avaliação do desempenho
10 Melhoria
Naturalmente, o Anexo A ainda está aqui na nova ISO 27001 – onde estão listados todos os controles (clique aqui para ver os novos controles). O anexo B da norma antiga, praticamente sem utilidade, foi excluído, enquanto que não há mais necessidade para o Anexo C.
Partes interessadas
A enorme importância das partes interessadas, que podem incluir acionistas, autoridades (incluindo requisitos legais e regulatórios), clientes, parceiros, etc., é reconhecida na nova ISO 27001 – existe uma cláusula separada que especifica que todas as partes interessadas devem ser identificadas, juntamente com todos os seus requisitos.
Esta é definitivamente uma excelente forma de definir entradas chave para o SGSI.
Informação documentada
Os conceitos de “documentos” e “registros” estão unidos; assim, agora ele passa a ser “informação documentada.” Consequentemente, todas as regras que são requeridas para o controle da documentação são agora válidas tanto para documentos quanto para registros; as próprias regras não mudaram muito com relação a antiga ISO 27001.
O requisito na norma antiga para procedimentos documentados (Controle de documentos, Auditoria interna, Ação corretiva, Ação preventiva) se foi – contudo, o requisitos para documentação das saídas destes processos permanece na nova norma. Assim, você não precisa escrever estes procedimentos, mas você precisa manter todos os registros ao gerir documentos, realizar auditorias internas e executar ações corretivas.
Da mesma forma, a cláusula da norma antiga onde todos os documentos requeridos são listados (4.3.1) se foi – não há mais lista central de documentos requeridos.
Avaliação e tratamento de risco
Ativos, vulnerabilidades e ameaças não são mais a base para a avaliação de riscos! É requerido apenas que se identifique os riscos associados com a confidencialidade, integridade e disponibilidade – embora esta possa parecer uma mudança muito radical, os autores da nova norma quiseram permitir mais liberdade na forma como os riscos são identificados; contudo, eu assumo que a metodologia ativos-vulnerabilidades-ameaças permanecerá como uma melhor prática por um longo tempo.
O conceito de determinar o nível de risco baseado nas consequências e probabilidade permanece o mesmo.
O conceito de proprietário de ativo se foi – um novo termo é usado: “proprietário de risco” – assim a responsabilidade é direcionada para um nível mais alto.
Objetivos, monitoramento e medição
Uma grande mudança aqui: estes não são mencionados dentro de outros requisitos, mas agora são cláusulas separadas com regras bem concretas. As regras são que você precisa definir objetivos claros, precisa definir quem irá medi-los e quando e você precisa definir quem deveria analisar e avaliar estes resultados. Adicionalmente, planos abrangentes precisam ser desenvolvidos que descreverão como os objetivos serão atingidos.
Isto definitivamente é algo que trará o SGSI para mais perto de outros processos de gestão da organização. A esperança é que isso coloque a segurança da informação na agenda dos gestores, porque – uma vez que você tenha claramente figuras sobre como a sua segurança funciona – você não pode desviar-se do assunto.
Ações corretivas & preventivas
A maior mudança é que não existem mais ações preventivas, ao menos não a primeira vista – elas estão basicamente unidas na avaliação e tratamento de risco, onde elas pertencem por natureza.
Adicionalmente, um distinção é feita entre correções que são feitas como uma resposta direta a uma não conformidade, em oposição a ações corretivas que são feitas para eliminar a causa de uma não conformidade. Desta forma outra ambiguidade da norma antiga é resolvida.
Comunicação
Esta é também uma nova cláusula onde todos os requisitos são sumarizados – o que precisa ser comunicado, quando, por quem, , através de que meios, etc. Isto ajudará a superar o problema da segurança da informação ser apenas uma “coisa de TI”ou “coisa de segurança” – o sucesso da segurança da informação depende tanto da TI quando do lado de negócio, e o entendimento geral destes sobre o propósito da proteção da informação.
O que isto significa para a implementação?
Devo admitir que gostei de todas estas mudanças – não apenas a nova ISO 27001 será mais fácil de integrar com as outras normas de gestão como a ISO 9001, ISO 22301, ISO 20000 e outras, mas ela também dá mais liberdade para as organizações (especialmente as menores) de escalar o SGSI para suas reais necessidades e com isso evitar sobrecarga desnecessária. Mas isto também pode se tornar a grande fraqueza desta nova norma – por conta de suas definições menos rígidas, algumas organizações podem tentar se concentrar em satisfazer os requisitos mínimos ao invés de se concentrar no aumento da segurança.
Em outras palavras, organizações que desejam e realmente querem aumentar seus níveis de segurança perceberão que será mais fácil estar em conformidade com esta norma; contudo, as organizações que não são tão positivas e estão procurando brechas para implementar a norma apenas pelo certificado verão esta norma como uma oportunidade.
Para aprender como fazer a transição para a nova versão veja artigo gratuito Twelve-step transition process from ISO 27001 2005 revision to 2013 revision.
Nós agradecemos a Rhand Leal pela tradução para o português.