Gestão da configuração na segurança da informação

CONTEÚDO

• Aumento da complexidade e das ameaças
• Gestão da configuração no contexto da norma ISO 27001:2022
• Controlo 8.9 "Gestão da configuração"
• Gestão da configuração na segurança da informação - Conclusão
• DQS: O seu contacto para a segurança da informação certificada

Complexidade e ameaças crescentes

Definições incorrectas e configurações de segurança comportam riscos incalculáveis para a segurança da informação. Tendo em conta a crescente complexidade dos ambientes de IT modernos, a gestão da configuração - ou seja, a definição, documentação, implementação, monitorização e revisão contínuas e sistemáticas das configurações de segurança - está a tornar-se uma tarefa difícil que se estende à gestão da conformidade de uma organização.

Para quem está de fora, a infraestrutura de IT é uma teia confusa de aplicações, dispositivos, componentes de rede e serviços, quer estejam alojados no local ou numa nuvem. Estes últimos, em particular, aumentaram drasticamente durante a pandemia do coronavírus. No entanto, para as equipas de IT, configurar o número crescente de componentes do sistema e monitorizar e adaptar continuamente as configurações dos sistemas significa uma quantidade considerável de trabalho, que muitas vezes sobrecarrega os funcionários. Sem uma gestão sistemática da configuração, esta situação pode conduzir a um risco de segurança considerável e à perda ou utilização indevida de dados (incluindo dados pessoais).

Afinal, 81% dos gestores de segurança num estudo alemão de 2022 afirmaram que as vulnerabilidades e as configurações incorrectas desconhecidas causam os maiores problemas de segurança nas suas infra-estruturas. E no Pandemic Eleven, um estudo da Cloud Security Alliance sobre as vulnerabilidades mais graves na computação em nuvem durante a pandemia, as configurações incorretas também ocupam um terceiro lugar proeminente.

Por conseguinte, é uma consequência lógica dos desenvolvimentos dos últimos anos prestar mais atenção à gestão da configuração nas tecnologias da informação, por exemplo, no contexto do acesso não autorizado. Por conseguinte, é correto que a nova norma ISO/IEC 27001:2022 tenha dedicado um controlo de segurança da informação separado a este tópico.

Gestão da configuração no contexto da norma ISO 27001:2022

O anexo A reestruturado da ISO 27001 de 2022 contém 93 medidas de segurança da informação (controlos), incluindo 11 novos. Com a atualização, os controlos estão agora organizados tematicamente em quatro secções

• Medidas organizacionais
• Medidas pessoais
• Medidas físicas
• Medidas tecnológicas

A gestão da configuração segura nas tecnologias da informação insere-se na área temática das medidas tecnológicas ou técnicas e é enumerada no Apêndice A, no ponto 8.9. Trata-se de uma das ferramentas preventivas que apoiam os três objectivos de proteção da segurança da informação (confidencialidade, integridade e disponibilidade).

Modelos normalizados

A definição de modelos normalizados ajuda as organizações a sistematizarem a sua gestão da configuração. Neste desenvolvimento, devem ser tidos em conta os seguintes aspectos básicos:

• Orientações publicamente disponíveis, por exemplo de fornecedores ou organismos de segurança independentes
• Níveis de proteção necessários para garantir uma segurança adequada
• Apoio à política interna de segurança da informação, orientações temáticas específicas, normas e outros requisitos de segurança
• Viabilidade e aplicabilidade das configurações no contexto da organização

Os modelos normalizados desenvolvidos devem ser revistos e actualizados regularmente, especialmente quando é necessário abordar novas ameaças ou vulnerabilidades, ou quando são introduzidas novas versões de software ou hardware na organização.

Há também uma série de outros pontos a considerar aquando da criação dos modelos. Todos eles ajudam a evitar alterações não autorizadas ou incorrectas nas configurações:

• Minimizar o número de identidades com direitos de acesso privilegiados ou administrativos
• Desativar identidades desnecessárias, não utilizadas ou inseguras
• Desativação ou restrição de funções e serviços que não são necessários
• Restringir o acesso a utilitários poderosos e definições de parâmetros do anfitrião
• Sincronização de relógios
• Alterar os dados de autenticação e as palavras-passe predefinidas do fabricante imediatamente após a instalação e verificar parâmetros importantes relevantes para a segurança
• Chamar os recursos de tempo limite que desligam automaticamente os dispositivos do computador após um determinado período de inatividade
• Verificar se os requisitos de licença são cumpridos

Gestão e monitorização das configurações

Todas as configurações devem ser registadas e as alterações devem ser registadas de forma fiável, de modo a excluir erros de configuração após um incidente. Esta informação deve ser armazenada de forma segura, por exemplo, em bases de dados ou modelos de configuração.

Todas as alterações são feitas de acordo com o controlo 8.32 "Controlo de alterações", que descreve uma diretriz para alterações às orientações de processamento de informação e aos sistemas de informação. Os registos de configuração devem conter todas as informações necessárias para acompanhar tanto o estado de um sistema ou bem informático como as alterações que lhe sejam introduzidas em qualquer momento. Trata-se, por exemplo, das seguintes informações

• Informações actuais sobre o ativo em questão - Quem é o proprietário ou o ponto de contacto?
• Data da última alteração de configuração
• Versão do modelo de configuração
• Ligações e relações com as configurações de outros activos

Um conjunto abrangente de ferramentas de gestão de sistemas - tais como programas de manutenção, suporte remoto, ferramentas de gestão empresarial e software de cópia de segurança e restauro - ajuda a monitorizar e verificar regularmente as configurações. Com a ajuda destas ferramentas, os gestores podem verificar as definições de configuração, avaliar a força das palavras-passe e avaliar as actividades realizadas.

Os estados reais também podem ser comparados com os modelos-alvo definidos e podem ser iniciadas respostas adequadas em caso de desvios - quer através da aplicação automática da configuração-alvo definida, quer através da análise manual do desvio e das medidas correctivas subsequentes. A automatização, por exemplo, através da infraestrutura como código (infraestrutura programável), permite que as configurações de segurança em ambientes virtualizados e a computação em nuvem sejam geridas de forma eficiente e segura.

Gestão da configuração na segurança da informação - um resumo

A gestão da configuração na segurança da informação é uma importante ferramenta de segurança e contribui de forma duradoura para reduzir significativamente as lacunas de segurança causadas por erros de configuração. A sua abordagem sistemática alivia a carga das equipas internas e contribui para a eficiência das operações de IT, bem como para o reforço dos sistemas e a disponibilidade de informações e dados confidenciais. Os efeitos positivos na proteção dos dados pessoais, por exemplo, também são óbvios.

A gestão da configuração também pode ser integrada nos processos de gestão de activos e nas ferramentas associadas. A gestão centralizada das configurações de segurança permite reagir rapidamente a novas ameaças e vulnerabilidades na disponibilidade dos sistemas e na proteção de dados, ajudando assim a minimizar as potenciais superfícies de ataque nos sistemas. O novo controlo de segurança da informação 8.9 da ISO 27001 fornece um importante contributo de segurança para as organizações e para a sua gestão.

Este valor acrescentado deve ser implementado pelas empresas e organizações. Os requisitos do controlo 8.9 devem ser comparados com o estado atual e optimizados através de um processo de alteração controlado. Com mais de 35 anos de experiência em auditoria e certificação, somos o seu parceiro ideal e podemos fornecer-lhe aconselhamento e apoio em matéria de segurança da informação.

O que significa a actualização para a sua certificação?

A norma ISO/IEC 27001:2022 foi publicada em 25 de outubro de 2022.

Isto resulta nos seguintes prazos e períodos de transição para os utilizadores

Última data para auditorias iniciais/recertificação ao abrigo da "antiga" ISO 27001

• Após 30 de abril de 2024, a DQS apenas realizará auditorias iniciais e de recertificação de acordo com a nova norma ISO/IEC 27001:2022

Conversão de todos os certificados existentes de acordo com a "antiga" ISO/IEC 27001:2013 para a nova versão 2022

• Aplica-se um período de transição de 3 anos a partir de 31 de outubro de 2022
• os certificados emitidos em conformidade com a norma ISO/IEC 27001:2013 ou DIN EN ISO/IEC 27001:2017 são válidos até 31 de outubro de 2025, o mais tardar, ou devem ser retirados nesta data

ISO/IEC 27001:2022 - Segurança da informação, cibersegurança e proteção da privacidade - Sistemas de gestão da segurança da informação - Requisitos

DQS: Simplesmente alavancar a segurança

As organizações ainda têm algum tempo para efetuar a transição para a nova versão da ISO/IEC 27001. Os actuais certificados baseados na antiga norma perderão a sua validade em 31 de outubro de 2025. No entanto, é aconselhável que as organizações lidem com os requisitos alterados para um sistema de gestão da segurança da informação (ISMS) numa fase inicial, iniciem processos de mudança adequados e os implementem em conformidade.

Como especialistas em auditorias e certificações com mais de três décadas de experiência, podemos ajudá-lo a implementar a nova ISO 27001:2022. Informe-se junto dos nossos muitos auditores experientes sobre as alterações mais importantes e a sua relevância para a sua empresa - e confie na nossa experiência. Aguardamos o seu contacto.

Confiança e competência

Os nossos artigos e documentos técnicos são escritos exclusivamente pelos nossos especialistas em normas ou por auditores de longa data. Se tiver alguma dúvida sobre o conteúdo do texto ou sobre os nossos serviços ao nosso autor, contacte-nos.