Segurança na nuvem com a ISO 27001:2022

CONTEÚDO

• Porque é que a segurança na nuvem é importante?
• Melhoria da segurança da informação
• Segurança da nuvem através do Controlo 5.23
• Implementação do Controlo 5.23
• Importância dos aspectos de segurança contratuais
• Segurança da nuvem - Conclusão
• DQS: Simplesmente alavancar a Qualidade

Porque é que a segurança na nuvem é importante?

Da nuvem privada à nuvem pública, quer se trate de IaaS, PaaS ou SaaS: as estruturas e os serviços de nuvem determinam grande parte do atual panorama das TIC das empresas, organizações ou autoridades. A computação em nuvem há muito que se tornou uma realidade e está a mudar fundamentalmente a forma como os serviços de TI são fornecidos e utilizados.

No entanto, os riscos de segurança associados à sua crescente utilização são complexos e não se limitam à criminalidade organizada. A gestão inadequada da identidade e do acesso, as configurações incorrectas e a divulgação inadvertida de dados na nuvem por parte dos funcionários estão também entre as maiores ameaças.

Este facto é confirmado pelo relatório anual de 2022 da Cloud Security Alliance (CSA). Além disso, a falta de segurança pode afetar a disponibilidade dos serviços e comprometer o cumprimento de vários regulamentos e normas que exigem a proteção dos dados pessoais e dos clientes.

Todas essas ameaças levaram a ISO (Organização Internacional de Normalização) e a IEC (Comissão Eletrotécnica Internacional) a listar a segurança da informação para o uso de serviços em nuvem como um item separado na nova ISO/IEC 27001:2022.

Melhoria da segurança da informação e da conformidade

A nova medida preventiva serve para garantir a segurança da informação aquando da utilização de serviços em nuvem. Apoia - de acordo com os respectivos requisitos de segurança de uma organização - a definição sistemática de processos de aquisição, utilização, gestão e saída.

Dada a variedade de serviços oferecidos, o novo Controlo 5.23 do Anexo A exige o cumprimento de uma "abordagem específica".

O objetivo é incentivar as empresas a criarem políticas de serviços em nuvem adaptadas às funções empresariais individuais. Em comparação com uma política geral que se aplica de forma generalizada à utilização segura dos serviços de computação em nuvem, os requisitos de conformidade podem ser abordados de uma forma muito mais granular.

Segurança na nuvem através do novo Controlo 5.23

A segurança da informação para a utilização de serviços de computação em nuvem nesta forma específica de nuvem é uma medida recentemente introduzida no Anexo A da nova ISO 27001:2022. Na versão anterior, os serviços de nuvem estavam geralmente localizados na área de relações com fornecedores.

Devido à utilização crescente e aos enormes desenvolvimentos no sector da computação em nuvem, faz sentido proteger sistematicamente os serviços de computação em nuvem com uma medida de segurança da informação independente. No entanto, o controlo A.5.23 deve ser estreitamente coordenado com as medidas A.5.21 e A.5.22, que tratam da segurança da informação na cadeia de abastecimento das TIC e da gestão dos serviços dos fornecedores.

Aplicação do controlo 5.23

No que diz respeito à segurança da informação, as empresas devem definir uma série de aspectos para a implementação do Controlo 5.23 . Estes incluem todos os requisitos relevantes, critérios de seleção e áreas de aplicação associadas à utilização de um serviço de nuvem. Uma descrição detalhada das funções e responsabilidades relevantes determina como esses serviços são usados e gerenciados dentro de uma organização.

No lado externo, isto deve ser acordado com o fornecedor de serviços:

• Que medidas de segurança da informação são geridas pelo fornecedor de serviços?
• Quais as que são da responsabilidade da própria empresa?

Também é importante esclarecer como as medidas de segurança fornecidas pelo fornecedor podem ser disponibilizadas, utilizadas de forma ideal e verificadas de forma fiável. Especialmente quando se utilizam vários serviços de nuvem de diferentes fornecedores, processos claramente definidos apoiam o tratamento de controlos, interfaces e alterações aos serviços.

No entanto, devido aos múltiplos riscos de segurança a que as empresas estão expostas atualmente, os incidentes de segurança nunca podem ser completamente excluídos. Nesses casos, os procedimentos de gestão de incidentes específicos do serviço ajudam a lidar com o desafio da melhor forma possível.

Para gerir esses riscos, os serviços de nuvem devem ser monitorizados, revistos e avaliados através de uma abordagem sistematicamente definida, em conformidade com a norma ISO 27001 revista. Além disso, a norma exige a definição de processos para alterar ou interromper a utilização de um serviço. Estes processos devem também incluir estratégias de saída explícitas para os serviços de computação em nuvem.

Importância dos aspectos de segurança contractual

A conceção contratual dos serviços em nuvem é essencial para a empresa cliente, a fim de estabelecer parâmetros de enquadramento importantes e proporcionar proteção jurídica. No entanto, os contratos de serviços em nuvem são frequentemente predefinidos e não negociáveis. Neste sentido, as empresas devem prestar especial atenção a estes acordos e analisá-los de perto. Desta forma, asseguram que os requisitos operacionais essenciais para os objectivos de proteção da segurança da informação "confidencialidade, integridade, disponibilidade" e processamento da informação são cumpridos.

Para tal, um serviço de computação em nuvem deve fornecer soluções baseadas em normas de arquitetura e infraestrutura reconhecidas pela indústria. Deve ter controlos de acesso que cumpram os requisitos de segurança e incluir soluções de monitorização e proteção contra malware. Deve ser estipulado contratualmente que o processamento e o armazenamento de informações confidenciais só são permitidos em locais autorizados ou dentro de uma jurisdição específica. Isto é importante, por exemplo, para infra-estruturas críticas.

O prestador de serviços deve prestar apoio direcionado no caso de um incidente de segurança no ambiente do serviço de nuvem e oferecer apoio geral na recolha de provas digitais. Os requisitos de segurança também devem ser cumpridos quando um serviço é transmitido a prestadores de serviços externos.

Se uma empresa quiser abandonar um serviço, o fornecedor deve manter-se empenhado no apoio e na disponibilidade do serviço durante um período de tempo razoável. Por conseguinte, deve também fornecer cópias de segurança dos dados e das informações de configuração e geri-las de forma segura, se necessário. Informações como ficheiros de configuração, código fonte e dados sensíveis pertencentes à organização devem ser fornecidos mediante pedido ou devolvidos após a cessação do serviço.

O cliente de um serviço de computação em nuvem deve considerar, de acordo com os seus próprios requisitos de segurança, se o contrato deve incluir um dever de informação se um fornecedor de computação em nuvem efetuar alterações significativas. Estas incluem:

• Alterações na infraestrutura técnica que afectem a oferta de serviços
• Processamento ou armazenamento de informações numa nova jurisdição geográfica ou jurídica

Utilização ou alteração de fornecedores de serviços de computação em nuvem pares ou outros subcontratantes

Segurança da nuvem através do novo Controlo 5.23 - Conclusão

De acordo com um estudo realizado pela Statista em 2022, 84% de todas as empresas alemãs utilizam serviços em nuvem. Além disso, 13% estão na fase de decisão ou planeamento da sua utilização. Isto significa que a proteção das informações pessoais e dos dados confidenciais está a tornar-se cada vez mais importante.

Com a nova medida de segurança, a ISO e a IEC estão a colmatar uma lacuna importante na proteção das modernas arquitecturas de TIC e dos dados sensíveis de empresas, organizações e autoridades. Isto significa que a norma de segurança da informação ISO 27001, enquanto norma global, contribui agora também para uma segurança consistente e sistemática da nuvem.

Independentemente de a sua empresa operar num ambiente de nuvem pública, nuvem privada ou nuvem híbrida, as soluções de segurança da informação e as melhores práticas são essenciais. Esta é a única forma de garantir a continuidade e a conformidade do negócio. Especialmente em tempos de escassez de competências e redes corporativas descentralizadas, a segurança de dados na nuvem continuará a crescer em importância nos próximos anos.

O novo Controlo 5.23 do Apêndice A fornece aos utilizadores de serviços em nuvem uma estrutura. Estes podem utilizá-lo para testar as suas medidas de segurança da informação existentes e ajustá-las, se necessário.

Para além de um grande número de requisitos organizacionais básicos, o novo controlo também sublinha a importância de uma cooperação estreita com o fornecedor de serviços de computação em nuvem, de modo a manter a troca mútua de informações em todos os momentos. Isto promove mecanismos recíprocos para monitorizar as características de serviço definidas e para identificar e comunicar violações das obrigações acordadas.

O que significa a atualização para a sua certificação?

A nova ISO/IEC 27001:2022 foi publicada em inglês a 25 de outubro de 2022. Isto resulta nos seguintes prazos e períodos de transição para os utilizadores

Conversão de todos os certificados existentes para a nova versão:

• Aplica-se um período de transição de 3 anos a partir de 31 de outubro de 2022.
• Os certificados emitidos em conformidade com a norma ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 só são válidos até 31 de outubro de 2025, após o que as normas antigas são consideradas retiradas.

Última data para certificações iniciais e recertificações de acordo com a "antiga" ISO 27001:

• 30 de abril de 2024 - a partir de 1 de maio de 2024, a DQS só realizará auditorias iniciais e de recertificação de acordo com a nova versão 2022.

Grupo DQS: Conhecimento concentrado em auditoria

Como mostram os prazos, as empresas dispõem apenas de um período de tempo limitado para adaptar o seu sistema de gestão da segurança da informação aos novos requisitos e para o certificar. A duração e o esforço de todo o processo de mudança não devem ser subestimados.

Como especialistas em auditoria e certificação com quase 40 anos de experiência, temos todo o prazer em ajudá-lo a avaliar o seu estado atual, por exemplo, como parte de uma auditoria delta. Pergunte aos nossos auditores experientes sobre as principais alterações e a sua relevância para a sua organização. Em conjunto, discutiremos o seu potencial de melhoria e apoiá-lo-emos até receber o novo certificado.

Confiança e experiência

Os nossos textos e brochuras são redigidos exclusivamente pelos nossos especialistas em normas ou auditores de longa data. Se tiver alguma questão sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, aguardamos o seu contacto.