Bem vindos ao segundo artigo desta newsletter semanal com temas e novidades em gestão de segurança cibernética e boas práticas em gestão de riscos e compliance. Em continuidade sobre como garantir a segurança e privacidade nas organizações falaremos hoje sobre a revisão da ISO/IEC 27001, a norma internacional que fornece requisitos de um Sistema de Gestão de Segurança da Informação (SGSI) para qualquer tipo e tamanho de organização.
Segundo a ISO, dentre os mais de 24 mil documentos e padrões atualmente publicados, a ISO 27001 continua sendo uma das normas mais populares, junto com a ISO 9000 para gestão da qualidade e a ISO 14000 para gestão ambiental. Embora a sua certificação não seja obrigatória, hoje cerca de 45 mil organizações foram certificadas no mundo, sendo mais de 150 no Brasil, como um diferencial competitivo e comprovação perante ao mercado de seu compromisso e conformidade com os requisitos para uma segurança eficaz.
O Brasil através da ABNT colaborou ativamente desde o início no desenvolvimento da série ISO 27000, tanto na elaboração como na pronta tradução e publicação da versão nacional como NBR - Norma Brasileira.
Temos a honra e orgulho de ter participado com outros especialistas internacionais desde o início de seu desenvolvimento, cuja história começa com a BS 7799, norma britânica de 1995 que após revisão deu origem em 2000 a ISO/IEC 17799. E no ano de 2005, inaugurou então a série de normas da família 27000, mudando a numeração para 27001, cuja última atualização havia sido em 2013 e reconfirmada em 2019.
Em 2009 publicamos o livro ISO 27001 e 27002 - Uma Visão Prática sobre os desafios do processo de implementação e a experiência de nossa certificação pioneira em 2005.
Atualmente, a ISO 27001 encontra-se em processo de revisão onde a principal alteração será o seu Anexo A ajustado conforme a nova ISO 27002 lançada em fevereiro deste ano, que atualizou a lista dos Controles de Segurança com base nas melhores práticas internacionais.
Em resumo, os 14 capítulos (A5 - A18) contendo 114 controles foram reduzidos para 4 capítulos (1. Controles Organizacionais, 2. Controles de Pessoal, 3. Controles Físicos e 4. Controles Tecnológicos) com agora 93 controles, sendo que alguns foram renomeados, mesclados ou reescritos, além de 11 novos adicionados.
Para as empresas que já adotam a 27001 como referência ou foram certificadas na norma, é comum um período de transição de 2 a 3 anos para se adaptarem à nova versão. Como primeiro passo sugerimos realizar uma avaliação de riscos e um "gap analysis" da lista de controles, definindo um plano de ação para ajustar aos poucos seu sistema de gestão, incluindo os documentos da política e procedimentos segundo a nova norma 27002.
Em próximos artigos iremos detalhar as principais diferenças da nova ISO/IEC 27002. Fica como sugestão assistirem a gravação da live que falamos sobre os Principais Frameworks que você precisa conhecer.
Até a próxima!
