Pentest para ISO 27001 – guia completo

Descubra todos os aspectos essenciais de pentest para ISO 27001 para fins de compliance lendo nosso guia e faça escolhas inteligentes para sua próxima análise de segurança.

Conformidade com a ISO 27001 envolve demonstrar que o sistema de gestão de segurança da informação (Information Security Management System – ISMS) de uma organização atende às exigências da norma. Para atingir a conformidade, deve-se passar por um processo de auditoria no qual um auditor independente de terceiros avalia os processos definidos no ISMS em relação à norma.

O auditor revisará as políticas, procedimentos e controles da organização, bem como seus processos de avaliação e correção de riscos, para assegurar que eles estejam de acordo com as exigências estabelecidas pelo padrão. Se o auditor determinar que o ISMS da organização atende aos requisitos definidos pela norma, a organização receberá um certificado declarando que ela está em conformidade. Este certificado serve como um reconhecimento formal de que a organização possui um ISMS robusto e eficaz para proteger suas informações sensíveis.

Segundo a Afnor, o número de certificados ISO 27001 válidos saltou de 36.000 em 2019 para 58.000 em 2021, destacando a crescente importância dos controles de segurança da informação que estão se tornando necessidade para empresas em todo o mundo.

Em 2022, houve uma atualização da ISO/IEC 27000, a primeira desde 2013, porém ainda existem dúvidas sobre as avaliações e exigências de segurança cibernética da ISO.

Neste artigo, exploraremos todos os aspectos dos testes de penetração no contexto de compliance com a ISO 27001 para ajudar sua empresa a tomar decisões claras e informadas ao contratar serviços de pentesting para sua auditoria.

Quem se beneficiará com este guia de pentest ISO 27001?

Elaboramos este guia com a intenção de ser uma fonte de informação útil oferecendo insights relevantes sobre testes de penetração para auditorias ISO 27001 para os seguintes grupos de indivíduos que podem precisar adquirir serviços de testes de penetração:

• Pessoal executivo encarregado da segurança de TI em uma empresa (CISO, VP de segurança, CIO);
• Alta administração, como executivos de nível C (CEO, CTO, COO, CFO, membros do conselho);
• Indivíduos-chave de uma equipe e comitês de auditoria;
• Auditores e oficiais de compliance;
• Profissionais da cybersecurity, incluindo engenheiros e analistas (AppSec, SecOps, InfraSec, etc.);
• Gerentes de engenharia e product owners que estiveram envolvidos no projeto de conformidade ISO 27001 da organização.

O que é a ISO 27001, e por que é importante?

A ISO/IEC 27001 é talvez a mais reconhecida de todas as normas de segurança da informação existentes. A ISO 27001 define uma estrutura para um sistema de gerenciamento de segurança da informação (ISMS) de uma empresa, fornecendo um conjunto de diretrizes e requisitos para estabelecer, implementar, manter e melhorar continuamente a segurança da informação.

A norma é baseada em uma abordagem de gerenciamento de riscos, o que significa que ela ajuda as organizações a identificar, avaliar e priorizar os riscos para suas informações sensíveis e implementar controles para reduzir esses riscos a um nível aceitável. A ISO 27001 especifica os requisitos para um ISMS, incluindo as políticas, procedimentos e controles que uma organização deve ter para proteger suas informações sensíveis.

A conformidade com a ISO 27001 é um passo importante para uma empresa do ponto de vista da segurança dos dados e das suas políticas de segurança da informação. Uma organização certificada está em uma posição muito melhor para não apenas proteger os dados dos clientes e evitar intrusões e violações de dados, mas também é capaz de demonstrar aos clientes e parceiros comerciais que eles têm processos de segurança sólidos e auditáveis em vigor, ajudando-os a ganhar a confiança dessas partes interessadas e a fechar negócios onde as avaliações de risco e conformidade desempenham um papel definitivo.

O que é pentest para ISO 27001?

O teste de intrusão para ISO 27001 é uma forma de avaliação que visa avaliar a segurança de um sistema, aplicação, rede, cloud ou de toda uma organização e é frequentemente utilizado para satisfazer certos controles estabelecidos pela norma ISO.

Existem vários tipos de testes de penetração e tais avaliações podem ser conduzidas através de inúmeras abordagens, cada uma das quais considera um ponto de vista diferente:

A maioria das empresas profissionais de cibersegurança desencorajam os pentests com base em uma abordagem puramente de black box, a menos que seja realmente o modelo de ameaça e o nível de adversário que sua empresa deseja emular. Nossa experiência diz que o teste da grey box é o método preferido para a maioria dos testes de penetração ISO 27001.

Os testes de intrsão podem ser apoiados por ferramentas automatizadas, mas os pentesters qualificados e profissionais irão além da automação e conduzirão testes manuais. Embora mais demorados, os testes manuais são mais profundos e frequentemente descobrem vulnerabilidades de segurança ocultas que as ferramentas de varredura falham. Ferramentas automatizadas são úteis para tarefas rotineiras, como varredura de portas abertas ou verificação de vulnerabilidades conhecidas, mas não podem substituir a experiência de um hacker ético experiente treinado para identificar vulnerabilidades e riscos.

O teste de penetração é um requisito para a ISO 27001 em 2023?

O teste de penetração não é uma exigência obrigatória para a conformidade com a ISO 27001, nem mesmo com a atualização da ISO/IEC 27001:2002. Entretanto, ainda é fortemente recomendado que os testes de penetração sejam realizados como parte da avaliação contínua de risco, auditoria interna e processo de gerenciamento de risco de uma organização.

O Anexo A da norma ISO 27001 refere-se a A.12.6.1 Gerenciamento de vulnerabilidades técnicas e A.14.2.8 Testes de segurança do sistema, que declaram o seguinte (tradução livre):

• A.12.6.1 Gerenciamento de vulnerabilidades técnicas:

Informações sobre as vulnerabilidades técnicas dos sistemas de informação que estão sendo usados devem ser obtidas em tempo hábil, a exposição da organização a tais vulnerabilidades deve ser avaliada e medidas apropriadas devem ser tomadas para lidar com o risco associado.

• A.14.2.8 Teste de segurança do sistema:

Os testes de funcionalidade de segurança devem ser realizados durante o desenvolvimento.

É importante observar que a ISO 27001:2022 fundiu A.14.2.8 e A.14.2.9 em um novo controle tecnológico, ou seja, A.8.29 Testes de segurança em desenvolvimento e aceitação.

Um teste de penetração ISO 27001 sob medida satisfaz tanto A.12.6.1 quanto A.8.29, proporcionando uma forma de demonstrar a aderência à conformidade com a gestão de vulnerabilidades técnicas, conforme descrito no Anexo A.

O pentest ISO 27001 é usado para identificar vulnerabilidades técnicas de segurança e demonstrar o impacto e a probabilidade de vários cenários de ataque. Como tal, os testes de segurança trazem à organização uma camada extra de garantia de que ela está implementado corretamente os controles de segurança da informação dentro de seu ambiente, bem como fornecendo provas de conformidade quando necessário.

A ISO 27001 exige varredura de vulnerabilidades?

A ISO 27001 não exige especificamente a varredura de vulnerabilidade como um requisito para conformidade. Assim como os testes de penetração, esta forma de avaliação automatizada de segurança não é uma exigência difícil.

No entanto, assim como os testes de penetração, ela pode ser usada para aprimorar os resultados da sua auditoria e satisfazer os requisitos descritos no item A.12.6.1.

Qual é a duração média dos testes de penetração ISO 27001?

A duração média de um pentest ISO 27001 é entre 5 a 30 dias, mas depende do tamanho e do escopo da avaliação. Os testes de segurança de grandes e complexos escopos podem durar várias semanas. Isto é o que temos observado para a maioria dos pentests que têm a conformidade ISO 27001 como o principal objetivo.

Recomendamos aos compradores cautela com empresas de cibersegurança que oferecem pentests “rápidos e baratos” que duram apenas um, dois, ou três dias. Estas avaliações são geralmente realizadas quase inteiramente usando scanners automatizados, ou na melhor das hipóteses, eles seguem uma lista de verificação padrão de testes de penetração sem qualquer “mentalidade de hacker” ou criatividade. Em tais casos, há uma probabilidade muito alta de que a vulnerabilidades importantes não sejam identificadas, e sua organização ficará com uma falsa sensação de segurança.

Uma diretriz geral é que qualquer teste de penetração para ISO 27001 realizado em menos de 40 horas para um escopo pequeno a médio (por exemplo, uma aplicação web ou uma pequena rede) indica que não houve tempo suficiente para examinar manualmente seus sistemas e explorar minuciosamente cada vetor de ataque.

Como definir o escopo de um pentest ISO 27001?

O escopo de um teste de intrusão é determinado pela equipe do cliente (por exemplo, responsável pela conformidade, auditoria interna, TI) ao trabalhar em conjunto com o auditor externo, que definirá quais sistemas, redes, bancos de dados ou aplicações serão avaliados e os tipos de testes de segurança a serem realizados.

Quais são as metodologias de pentesting recomendadas para a ISO 27001?

Como a ISO 27001 não estabelece diretrizes claras para os testes de penetração e os processos que devem ser empregados, ela frequentemente permite discrição.

No entanto, em nossa experiência, algumas metodologias reconhecidas são frequentemente utilizadas em testes de penetração para cumprimento. Uma das mais prevalentes é a OWASP Top 10, que cobre as ameaças de segurança mais comuns para Web, API, mobile app e IoT, tornando-a uma escolha adequada para muitas organizações.

Outras comumente utilizadas incluem OSSTMM, e PTES, que vão além da segurança da aplicação e abrangem também a segurança da rede. Além disso, SANS 25 (menos popular) e NIST 800-115 também podem ser aplicadas em testes de conformidade.

Devo realizar testes de penetração e varredura de vulnerabilidade como parte de minha auditoria ISO 27001?

Embora os testes de penetração e as avaliações de vulnerabilidade não sejam obrigatórios para atingir a conformidade com a ISO 27001, há vários benefícios em realizar tais atividades para atingir suas metas de auditoria de conformidade com a indústria e regulamentação e melhorar suas defesas cibernéticas:

• Identificação de vulnerabilidades: Os testes de penetração são uma atividade chave para que as organizações identifiquem problemas de segurança em seus sistemas e redes que os hackers maliciosos possam explorar.

• Redução de riscos e priorização de esforços: Os resultados dos testes de penetração destacam as lacunas de segurança, expõem os riscos e permitem que as organizações priorizem seus esforços para remediar essas vulnerabilidades e melhorar suas defesas gerais de segurança, reduzindo os riscos cibernéticos.

• Avaliar a eficácia dos controles de segurança: A realização de avaliações técnicas de segurança permite que as organizações avaliem a eficiência de seus controles de segurança na detecção e prevenção de ataques. Em última análise, isto pode ajudar as organizações a identificar brechas em suas medidas de segurança e detectar pontos fracos em suas defesas.

• Demonstrando compliance: Ao realizar testes regulares de penetração e varredura de vulnerabilidade, as organizações estão um passo mais perto de cumprir os requisitos da norma ISO 27001, mas também o SOC 2 da AICPA, bem como a conformidade da indústria, como PCI DSS e HIPAA.

• Proteção contra ciberataques e violações de dados: Um teste de penetração profissional pode ajudar as organizações a antecipar os adversários da vida real, identificando e lidando com as vulnerabilidades antes que elas sejam exploradas pelos atores da ameaça, indo além de uma caixa de verificação em conformidade.

• Maior conscientização de segurança: O teste de penetração pode também servir como uma oportunidade de aprendizado prático para as organizações, ajudando a melhorar a conscientização e a compreensão da segurança entre os funcionários e a gerência e fazendo um argumento comercial para o aumento dos investimentos na defesa cibernética.

Qual é a frequência sugerida para um pentest ISO 27001?

Geralmente, é recomendado realizá-lo anualmente, pois é comum as empresas passarem por auditorias ISO 27001 nesta frequência.

Independentemente da validade do certificado e dos controles que foram auditados, a fim de manter uma melhoria contínua das defesas cibernéticas da organização, é aconselhável realizar testes de penetração regularmente.

Considerações finais

A certificação ISO 27001 é muito útil para as empresas que procuram melhorar seus processos de segurança da informação, guardar os dados dos clientes e mostrar que possuem um sistema de gerenciamento de segurança da informação com fortes controles em vigor.

Embora testes de penetração e varreduras automatizadas sejam úteis para descobrir vulnerabilidades de segurança e descobrir os riscos associados aos sistemas de informação, eles não são necessários para fins de conformidade com a ISO 27001. A realização ou não de um teste de penetração ou de uma avaliação de vulnerabilidade como parte de sua auditoria ISO 27001 deve ser baseada no perfil de risco específico de sua organização e nos objetivos de segurança.

Entretanto, fornecer a um auditor um relatório completo de teste de penetração (contendo detalhes sobre vulnerabilidades técnicas, suas respectivas atenuações e controles compensatórios), juntamente com provas de varreduras trimestrais de vulnerabilidade, pode certamente inspirar confiança nas práticas de cibersegurança e controles de segurança de sua organização. Nós temos parceria com as plataformas líderes mundiais de automação de conformidade para fornecer aos nossos clientes suporte total em sua jornada ISO 27001.

Se sua organização está procurando um parceiro confiável para os serviços de auditoria e testes de penetração ISO 27001 ou outras atividades de consultoria em segurança cibernética, contate nossos especialistas hoje mesmo.

FAQ