ISO 27001: Quais são os requisitos de pentest para a norma em 2024?

ISO 27001 pentest req cover

SHARE

Share on facebook
Share on twitter
Share on linkedin

Tudo o que você precisa saber sobre os requisitos da ISO 27001 para pentest e ficar em conformidade com a norma ISO/IEC 27000:2022 mais recente.

Este artigo irá continuar a ser atualizado com os novos requisitos para 2024, conforme eles forem entrando em vigor.

Estar em conformidade com a ISO 27001 é um marco extremamente importante para empresas, uma vez que isso valida que seus sistemas de gestão de segurança da informação (do inglês ISMS) estão de acordo com as atualizações mais recentes da norma. Como parte do processo de compliance, essas empresas devem passar por uma auditoria rigorosa, onde um auditor analisa o ISMS de acordo com os critérios que foram estabelecidos.

Durante a avaliação, o auditor examina as políticas, procedimentos e controles da organização, assim como analisa os riscos e suas estratégias de mitigação, assegurando que a empresa esteja alinhada com os requisitos exigidos pela norma.

Caso o auditor verifique que o ISMS da organização cumpre os requisitos especificados na norma, ela recebe um certificado validando que está em conformidade. Essa certificação reconhece formalmente que a empresa possui um sistema de segurança da informação robusto e eficiente.

Em 2022, a ISO/IEC 27000 sofreu uma atualização, a primeira desde 2013, no entanto, questões relacionadas a avaliações técnicas de segurança da informação ainda persistem.

Neste post, iremos explorar o que as normas da ISO dizem a respeito dos requerimentos para testes de intrusão e varredura de vulnerabilidades no contexto da ISO/IEC 27001:2022. Este artigo tem como objetivo ajudar a sua empresa a decidir se pentests e outras análises de segurança são necessárias para atingir os seus objetivos de compliance relativos à norma ISO 27001 e se podem ajudar a fortalecer as suas defesas cibernéticas. 

O que é a norma ISO 27001 e porque ela é importante?

A ISO/IEC 27001 está entre uma das normas de segurança da informação mais amplamente reconhecidas e aplicadas. Ela apresenta um framework robusto para a gestão do sistema de segurança da informação de uma empresa, oferecendo guias e requisições que estabelecem, implementam, mantêm e melhoram continuamente a segurança da informação.

A base da ISO 27001 está em uma metodologia de gerenciamento de riscos, que ajuda as organizações a identificar, avaliar e priorizar os riscos para seus dados confidenciais e a implementar controles para minimizar esses riscos a um nível aceitável. A norma determina os requisitos para um ISMS, abrangendo as políticas, os procedimentos e os controles que uma organização deve estabelecer para proteger suas informações confidenciais.

Pentests são requisitos para a ISO 27001?

Não, os pentests (testes de intrusão) não são explicitamente exigidos para a conformidade com a ISO 27001, mesmo após a atualização da ISO/IEC 27001:2002. No entanto, recomenda-se que as organizações incorporem testes de intrusão em seus procedimentos contínuos de avaliação de riscos, auditoria interna e gerenciamento de riscos.

O Anexo A da ISO 27001 refere-se a A.12.6.1 Management of technical vulnerabilities e A.14.2.8 System security testing, que descreve o seguinte (em tradução livre):

  • A.12.6.1 Management of technical vulnerabilities:

As informações sobre as vulnerabilidades técnicas dos sistemas de informação que estão sendo usados devem ser obtidas prontamente, a exposição da organização a essas vulnerabilidades deve ser avaliada e medidas apropriadas devem ser tomadas para lidar com o risco residual associado.

  • A.14.2.8 System security testing:

Os testes de segurança devem ser realizados durante o desenvolvimento. A ISO 27001:2022 fundiu A.14.2.8 e A.14.2.9 em um novo controle, A.8.29 – Testes de segurança no desenvolvimento e aceitação (tradução livre). Ainda assim, não há nenhuma menção explícita ao teste de segurança ser um pentest em si ou outra forma de fazê-lo.

Uma avaliação de segurança que contenha um pentest adaptado para a ISO 27001 abrange tanto os requisitos A.12.6.1 quanto o A.8.29. Uma análise de pentest é adequada para identificar vulnerabilidades, ajudando a demonstrar a conformidade com o gerenciamento de vulnerabilidades técnicas, conforme detalhado no Anexo A.

Os testes de intrusão para ISO 27001 detectam vulnerabilidades de segurança e demonstram a possibilidade real de diferentes cenários de ataque. Consequentemente, o teste de intrusão concede às organizações uma camada adicional de confiabilidade na implementação apropriada dos controles de segurança da informação em sua infraestrutura, além de ajudar a comprovar a conformidade quando necessário e fortalecer os padrões e as práticas de segurança da informação existentes.

A ISO 27001 requer varredura de vulnerabilidades?

A ISO 27001 não exige expressamente a varredura de vulnerabilidades para fins de conformidade. Assim como o pentest, esse tipo de avaliação de segurança não é um requisito obrigatório.

No entanto, assim como os pentests, uma varredura de segurança e avaliações de vulnerabilidade podem ser usadas para aprimorar sua auditoria e servir como evidência para o cumprimento do parâmetro A.12.6.1.

Devo realizar um pentest e varredura de vulnerabilidades como parte da minha auditoria para a ISO 27001?

Talvez. Há várias vantagens que surgem relacionada aos pentests e varredura de vulnerabilidades para complementar a conformidade com a auditoria da ISO 27001 e aumentar sua segurança cibernética:

  • Descoberta de vulnerabilidades de segurança e riscos cibernéticos: O pentest é fundamental para ajudar as organizações a identificarem os pontos fracos de segurança em seus sistemas e redes, que podem ser explorados por hackers mal-intencionados. Isso permite que as organizações priorizem a correção dessas vulnerabilidades, melhorando sua postura de segurança e minimizando as ameaças cibernéticas.
  • Proteção contra ataques cibernéticos e violações de dados: Um teste de intrusão profissional capacita as empresas a se anteciparem aos invasores, identificando vulnerabilidades e abordando os riscos antes que os agentes de ameaças os explorem.
  • Demonstração de conformidade: A realização regular de pentests e varreduras de vulnerabilidades permite que as instituições estejam mais próximas de cumprir os requisitos da norma ISO 27001 e atender aos critérios do SOC 2, da AICPA, e a outros requisitos de conformidade, como PCI DSS e HIPAA.
  • Avaliar a eficácia dos controles de segurança: A realização de avaliações técnicas de segurança permite que as empresas mensurem a eficácia de seus controles de segurança para detectar e impedir ataques. Esse processo as ajuda a identificar brechas em suas medidas de segurança e pontos fracos em suas defesas.
  • Melhorar a conscientização sobre a segurança: Os testes de intrusão também podem servir como uma oportunidade de aprendizado para as empresas, ajudando a melhorar a conscientização e a compreensão da segurança entre os funcionários e outras partes interessadas.

Com qual frequência deve ser realizado um pentest de acordo com a ISO 27001?

Em geral, recomenda-se a realização de testes de intrusão na ISO 27001 pelo menos uma vez por ano ou após mudanças significativas na infraestrutura ou outros sistemas da sua organização, se você quiser ir além das necessidades de compliance.

A frequência dos pentests para ISO 27001 depende de vários fatores, incluindo o tamanho da organização, o setor, o perfil de risco e os requisitos regulamentares.

Testes de intrusão regulares são essenciais para manter uma segurança robusta, pois ajudam as organizações a identificarem novas vulnerabilidades, avaliarem a eficácia de seus controles de segurança e acompanharem o cenário de ameaças em evolução, no qual um simples pentest para fins de compliance pode não ser suficiente para descobrir todos os riscos para a sua empresa.

Além disso, manter-se atualizado com as práticas mais recentes de segurança cibernética e adaptar o cronograma de pentesting de acordo com elas pode garantir que sua organização esteja em conformidade com a ISO 27001 e outras normas relevantes.

Infográfico – Requerimento de testes de intrusão para a ISO 27001

ISO 27001 - Requisitos de pentest para 2024

 

Como nós podemos ajudar a sua empresa a entrar em conformidade com a ISO 27001?

A Blaze tem o compromisso de ajudar os clientes a cumprirem a regulamentação por meio de serviços completos de testes de intrusão para a ISO 27001. Nossa experiência se alinha perfeitamente com os requisitos técnicos de segurança da norma ISO 27001, fornecendo uma camada adicional de proteção para o programa de segurança da informação da sua organização.

Embora não sejamos uma empresa de conformidade ou auditoria, colaboramos com as principais plataformas de compliance automatizadas do mundo para dar suporte aos nossos clientes em toda a jornada da ISO 27001.

Ao escolher a Blaze como seu parceiro, você pode seguir com confiança pelo complexo cenário da segurança da informação e da ISO 27001, garantindo que sua empresa atenda aos mais altos padrões de proteção de dados e conformidade.

Considerações finais

A ISO 27001 é um ativo valioso para empresas que desejam aprimorar seus processos de segurança da informação, proteger os dados dos clientes e demonstrar um sistema robusto de gerenciamento de segurança da informação com controles sólidos.

Embora os testes de intrusão e a varredura de vulnerabilidades sejam úteis para detectar pontos de fragilidade na segurança e revelar riscos relacionados aos sistemas de informação, eles não são obrigatórios para fins de auditoria de conformidade com a ISO 27001. A decisão de realizar um teste de intrusão ou uma avaliação de vulnerabilidade durante a auditoria da ISO 27001 deve se basear no perfil de risco e nas metas de segurança exclusivas de sua empresa.

No entanto, fornecer ao auditor um relatório de pentest detalhado (detalhando as vulnerabilidades técnicas, as respectivas medidas de mitigação e os controles de compensação), juntamente com a comprovação de varreduras trimestrais de vulnerabilidades, pode, sem dúvida, aumentar a confiança nas práticas de segurança cibernética e na postura de segurança da sua organização, deixando-a mais próxima da conformidade com a ISO 27001.

Se a sua organização precisa de um parceiro confiável para atender aos requisitos de testes de intrusão da ISO 27001, análise de vulnerabilidades e outras avaliações de segurança, entre em contato com a nossa equipe hoje mesmo.

FAQ

Os pentests são exigidos pela ISO 27001?

Para atender aos critérios de compliance da ISO 27001, não é exigido um pentest, no entanto, ele é recomendado como boa prática.

A ISO 27001 requer varredura de vulnerabilidades?

Não há um requerimento explícito para realizar scan de vulnerabilidades a fim de atender às exigências da norma, porém é desejável realizar varreduras regulares para fortalecer a segurança digital dos seus sistemas.

Deveria realizar um pentest como parte da minha auditoria para o compliance da ISO 27001, mesmo não sendo obrigatório?

Sim. É uma boa prática realizar testes de intrusão regularmente.

Com qual frequência devo realizar um pentest para a ISO 27001?

Anualmente ou trimestralmente são os períodos mais recomendados, dependendo do perfil de risco da sua organização.

 

 

About the author

Luana Cruz

Luana Cruz

RELATED POSTS

Um novo patamar
em segurança digital.
Você está pronto?

Nós estamos! Fale com nossos especialistas e entenda como podemos auxiliar sua empresa a criar fortes defesas contra ameaças cibernéticas.

Esteja sempre informado

Assine nossa newsletter

Receba as últimas notícias de cibersegurança, artigos e insights dos nossos especialistas