O Anexo A da ISO 27001 é provavelmente o mais famoso anexo de todas as normas ISO – isto porque ele prove uma ferramenta essencial para gerir a segurança: uma lista de controles de segurança (ou salvaguardas) para serem utilizadas para melhorar a segurança da informação.
Quantos controles existem na ISO 27001?
Existem 114 controles listados na ISO 27001 – seria uma violação de direitos de propriedade intelectual se eu listasse todos os controles aqui, mas deixe-me apenas explicar como os controles estão estruturados e o propósito de cada uma das 14 seções do Anexo A:
- A.5 Políticas de segurança da informação – controles sobre como as políticas são escritas e revisadas
- A.6 Organização da segurança da informação – controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto
- A.7 Segurança em recursos humanos – controles para antes da contratação, durante e após a contratação
- A.8 Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias
- A.9 Controle de acesso – controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários
- A.10 Criptografia – controles relacionados a gestão de chaves criptográficas
- A.11 Segurança física e do ambiente – controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc.
- A.12 Segurança nas operações – vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades, etc.
- A.13 Segurança nas comunicações – controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageiria, etc.
- A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte
- A.15 Relacionamento na cadeia de suprimento – controles sobre o que incluir em acordos e como monitorar os fornecedores
- A.16 Gestão de incidentes de segurança da informação – controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências
- A.17 Aspectos da segurança da informação na gestão da continuidade do negócio – controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e redundância da TI
- A.18 Conformidade – controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação
Um dos grandes mitos sobre a ISO 27001 é de que ela é focada em TI – como você pôde observar nas seções anteriores, isto não é bem verdade: embora a TI seja certamente importante, a TI sozinha não pode proteger a informação, Segurança física, proteção legal, gestão de recursos humanos, assuntos organizacionais – todos estes aspectos são necessários para proteger a informação.
A melhor forma de entender o Anexo A é pensar nele como um catálogo de controles de segurança que você pode selecionar – dos 114 controles que estão listados no Anexo A, você pode escolher aqueles que são aplicáveis a sua organização.
Relação com a parte principal da ISO 27001
Bem, nem todos estes 114 controles são obrigatórios – uma organização pode escolher por si mesma quais controles ela identifica como aplicáveis e então deve implementá-los (em muitos casos, até 90% dos controles são aplicáveis); o demais são declarados não aplicáveis. Por exemplo, o controle A.14.2.7 Desenvolvimento terceirizado pode ser marcado como não aplicável caso uma organização não terceirize o desenvolvimento de software. O principal critério para a seleção de controles é o uso do levantamento de riscos, o qual é definido nas cláusulas 6 e 8 da parte principal da ISO 27001. Saiba mais aqui: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
Adicionalmente, a cláusula 5 da parte principal da ISO 27001 requer que você defina responsabilidades para a gestão destes controles, e a cláusula 9 requer que você meça se os controles estão cumprindo seu propósito. Finalmente, a cláusula 10 requer que você repare qualquer coisa que esteja errada com estes controles, e assegure que você tenha conseguido atingir os objetivos de segurança da informação com estes controles.
Relação com a ISO 27002
A verdade é que o Anexo A da ISO 27001 não fornece muitos detalhes sobre cada controle. Geralmente existe uma sentença para cada controle, o que dá a você uma ideia sobre o que você precisa atingir, mas não como fazê-lo. Este é o propósito da ISO 27002 – ela possui exatamente a mesma estrutura do Anexo A da ISO 27001: cada controle do Anexo A existe na ISO 27002, juntamente com uma explicação mais detalhada sobre como implementá-lo. Mas não caia na armadilha de utilizar apenas a ISO 27002 para gerenciar sua segurança da informação – ela não dá a você pistas sobre como selecionar quais controles implementar, como medi-los, como designar responsabilidades, etc. Saiba mais aqui: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.
Usabilidade do Anexo A
Existem algumas coisas que gosto sobre o Anexo A – ele dá uma visão geral perfeita de quais controles você pode aplicar, de forma que você não esqueça algum que poderia ser importante, e ela dá flexibilidade para você escolher apenas aqueles que identifica como aplicáveis a sua organização, de forma a não desperdiçar recursos em controles que não sejam relevantes a você.
É verdade que o Anexo A não lhe dá muito detalhe sobre implementação, mas é onde a ISO 27002 entra em cena; também é verdade que algumas organizações podem abusar da flexibilidade da ISO 27001 e mirar apenas para os controles mínimos com o objetivo de obter a certificação, mas este é um tópico para um outro post.
Para saber mais sobre os controles de segurança, participe deste treinamento on-line gratuito: ISO 27001 Foundations Online Course.
Nós agradecemos a Rhand Leal pela tradução para o português.