Visão geral do Anexo A da ISO 27001:2013

O Anexo A da ISO 27001 é provavelmente o mais famoso anexo de todas as normas ISO – isto porque ele prove uma ferramenta essencial para gerir a segurança: uma lista de controles de segurança (ou salvaguardas) para serem utilizadas para melhorar a segurança da informação.

Quantos controles existem na ISO 27001?

Existem 114 controles listados na ISO 27001 – seria uma violação de direitos de propriedade intelectual se eu listasse todos os controles aqui, mas deixe-me apenas explicar como os controles estão estruturados e o propósito de cada uma das 14 seções do Anexo A:

  • A.5 Políticas de segurança da informação – controles sobre como as políticas são escritas e revisadas
  • A.6 Organização da segurança da informação – controles sobre como as responsabilidades são designadas; também inclui os controles para dispositivos móveis e trabalho remoto
  • A.7 Segurança em recursos humanos – controles para antes da contratação, durante e após a contratação
  • A.8 Gestão de ativos – controles relacionados ao inventário de ativos e uso aceitável, e também para a classificação de informação e manuseio de mídias
  • A.9 Controle de acesso – controles para a política de controle de acesso, gestão de acesso de usuários, controle de acesso a sistemas e aplicações, e responsabilidades dos usuários
  • A.10 Criptografia – controles relacionados a gestão de chaves criptográficas
  • A.11 Segurança física e do ambiente – controles definindo áreas seguras, controles de entrada, proteção contra ameaças, segurança de equipamentos, descarte seguro, política de mesa limpa e tela limpa, etc.
  • A.12 Segurança nas operações – vários controles relacionados a gestão da produção de TI: gestão de mudança, gestão de capacidade, software malicioso, cópia de segurança, registro de eventos, monitoramento, instalação, vulnerabilidades, etc.
  • A.13 Segurança nas comunicações – controles relacionados a segurança em rede, segregação, serviços de rede, transferência de informação, mensageiria, etc.
  • A.14 Aquisição, desenvolvimento e manutenção de sistemas – controles definindo requisitos de segurança e segurança em processos de desenvolvimento e suporte
  • A.15 Relacionamento na cadeia de suprimento – controles sobre o que incluir em acordos e como monitorar os fornecedores
  • A.16 Gestão de incidentes de segurança da informação – controles para reportar eventos e fraquezas, definindo responsabilidades, procedimentos de resposta e coleta de evidências
  • A.17 Aspectos da segurança da informação na gestão da continuidade do negócio – controles requisitando o planejamento da continuidade do negócio, procedimentos, verificação e revisão e redundância da TI
  • A.18 Conformidade – controles requisitando a identificação de leis e regulamentações aplicáveis, proteção da propriedade intelectual, proteção de dados pessoais e revisões da segurança da informação

Um dos grandes mitos sobre a ISO 27001 é de que ela é focada em TI – como você pôde observar nas seções anteriores, isto não é bem verdade: embora a TI seja certamente importante, a TI sozinha não pode proteger a informação, Segurança física, proteção legal, gestão de recursos humanos, assuntos organizacionais – todos estes aspectos são necessários para proteger a informação.

A melhor forma de entender o Anexo A é pensar nele como um catálogo de controles de segurança que você pode selecionar – dos 114 controles que estão listados no Anexo A, você pode escolher aqueles que são aplicáveis a sua organização.

Relação com a parte principal da ISO 27001

Bem, nem todos estes 114 controles são obrigatórios – uma organização pode escolher por si mesma quais controles ela identifica como aplicáveis e então deve implementá-los (em muitos casos, até 90% dos controles são aplicáveis); o demais são declarados não aplicáveis. Por exemplo, o controle A.14.2.7 Desenvolvimento terceirizado pode ser marcado como não aplicável caso uma organização não terceirize o desenvolvimento de software. O principal critério para a seleção de controles é o uso do levantamento de riscos, o qual é definido nas cláusulas 6 e 8 da parte principal da ISO 27001. Saiba mais aqui: Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.

Adicionalmente, a cláusula 5 da parte principal da ISO 27001 requer que você defina responsabilidades para a gestão destes controles, e a cláusula 9 requer que você meça se os controles estão cumprindo seu propósito. Finalmente, a cláusula 10 requer que você repare qualquer coisa que esteja errada com estes controles, e assegure que você tenha conseguido atingir os objetivos de segurança da informação com estes controles.

Relação com a ISO 27002

A verdade é que o Anexo A da ISO 27001 não fornece muitos detalhes sobre cada controle. Geralmente existe uma sentença para cada controle, o que dá a você uma ideia sobre o que você precisa atingir, mas não como fazê-lo. Este é o propósito da ISO 27002 – ela possui exatamente a mesma estrutura do Anexo A da ISO 27001: cada controle do Anexo A existe na ISO 27002, juntamente com uma explicação mais detalhada sobre como implementá-lo. Mas não caia na armadilha de utilizar apenas a ISO 27002 para gerenciar sua segurança da informação – ela não dá a você pistas sobre como selecionar quais controles implementar, como medi-los, como designar responsabilidades, etc. Saiba mais aqui: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.

Usabilidade do Anexo A

Existem algumas coisas que gosto sobre o Anexo A – ele dá uma visão geral perfeita de quais controles você pode aplicar, de forma que você não esqueça algum que poderia ser importante, e ela dá flexibilidade para você escolher apenas aqueles que identifica como aplicáveis a sua organização, de forma a não desperdiçar recursos em controles que não sejam relevantes a você.

É verdade que o Anexo A não lhe dá muito detalhe sobre implementação, mas é onde a ISO 27002 entra em cena; também é verdade que algumas organizações podem abusar da flexibilidade da ISO 27001 e mirar apenas para os controles mínimos com o objetivo de obter a certificação, mas este é um tópico para um outro post.

Para saber mais sobre os controles de segurança, participe deste treinamento on-line gratuito: ISO 27001 Foundations Online Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001, NIS 2, and DORA expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.