Temos o orgulho de anunciar que a Aikido Security obteve recentemente a certificação ISO 27001:2022. Este é um grande marco para nós e demonstra o nosso compromisso com a segurança da informação.
O que é a norma ISO 27001:2022?
A ISO 27001 é uma norma reconhecida mundialmente para o estabelecimento e certificação de um Sistema de Gestão de Segurança da Informação (ISMS). A versão 2022 desta certificação garante que a Aikido Security está alinhada com as melhores práticas actuais na gestão da segurança da informação. Escolhemos especificamente a versão 2022 (em vez das versões 2013 e 2017), uma vez que esta nova versão se centra mais na codificação segura, na deteção de ameaças, etc. Estes são itens que consideramos importantes e relevantes para uma empresa de software.
A obtenção da conformidade com a norma ISO 27001:2022 é um feito significativo para a Aikido Security. Sublinha a nossa dedicação em fornecer soluções seguras e fiáveis aos nossos clientes.
Willem Delbare, CEO da Aikido Security
O que motivou o Aikido a procurar a certificação ISO 27001?
Somos uma empresa desafiante no sector da segurança e uma das primeiras coisas que pedimos aos novos clientes é que nos dêem acesso de leitura à sua base de código. Isso é muito importante. E nós compreendemos - e concordamos - que é uma grande coisa.
Para que os clientes nos confiem confortavelmente a sua base de código, têm de confiar em nós como empresa e no nosso produto. A conformidade com a norma ISO27001 é um enorme passo em frente na construção e comprovação dessa confiança.
O que aprendemos no caminho para a conformidade com a ISO 27001
Numa futura publicação no blogue, apresentarei as minhas principais aprendizagens, mas quero aproveitar esta oportunidade para partilhar algumas ideias breves sobre a nossa viagem.
O nosso percurso ISO 27001:2022
Concluímos todo o processo em cerca de seis meses. Tínhamos implementado anteriormente o SOC 2, pelo que já dispúnhamos de muitas políticas, documentos e melhores práticas. Isto permitiu-nos reutilizar e aplicar muito disso à nossa ISO.
Porque acreditamos firmemente na utilização da ferramenta certa para o trabalho, aproveitámos a oportunidade para adotar uma abordagem moderna e utilizámos o Vanta, que automatiza muito do trabalho necessário para obter a ISO 27001.
A obtenção da ISO 27001:2022 exige paciência e empenho. É essencial rodear-se de parceiros fiáveis e reunir conhecimentos antecipadamente.
Roeland Delrue, COO & CRO da Aikido Security
O processo de alto nível
1. Auditoria interna (pré-auditoria)
Pode pensar na auditoria interna como um "ensaio geral" ou "auditoria simulada", para se certificar de que está pronto para efetuar as auditorias "reais". A auditoria interna certifica-se de que não lhe escapou nada de óbvio que não possa corrigir nas fases posteriores.
Dica rápida: Utilize um bom pré-auditor interno ou externo. Isto ajuda-o realmente a preparar-se corretamente. A menos que tenha experiência relevante e comprovada em ISO, é provavelmente melhor contratar um pré-auditor externo. Tirar partido da sua experiência revelar-se-á muito valioso.
2. Auditoria da fase 1
A fase 1 é, em grande medida, uma "auditoria de mesa" ou uma análise da documentação
Esta auditoria consiste numa análise exaustiva da documentação. Um auditor externo da ISO 27001 analisa as políticas e os procedimentos para garantir que cumprem os requisitos da norma ISO e do Sistema de Gestão da Segurança da Informação (SGSI) da própria organização.
3. Auditoria da fase 2
A fase 2 é uma auditoria completa do sistema com muitos testes de controlo
O auditor efectua testes para verificar se o Sistema de Gestão da Segurança da Informação (SGSI) foi corretamente concebido e implementado e se está a funcionar corretamente. O auditor também avalia a justiça e a adequação dos controlos da organização para determinar se os controlos foram implementados e estão a funcionar eficazmente para cumprir os requisitos da norma ISO 27001.
4. Certificação
Depois de ter remediado ou elaborado um plano de ação para as suas não-conformidades, está pronto para a validação. As não-conformidades da ISO 27001 são categorizadas como menores, maiores ou oportunidades de melhoria (OFIs). É claro que é fundamental mostrar que você corrigiu ou pode mostrar claramente que está no caminho certo para corrigir todas as não-conformidades maiores.
E depois... está na hora de receber o vosso certificado 🎉🥳
Quanto tempo é necessário para estar em conformidade com a norma ISO 27001?
Não é possível fazê-lo em menos de dois meses. E isso pressupõe que tem tudo pronto para o fazer, incluindo um pentest e um auditor.
Mesmo assim, poderá necessitar de alguns meses para se certificar de que se depara com eventos de segurança da informação suficientes, uma vez que alguns processos só podem ter lugar quando ocorre um determinado evento (por exemplo, a integração ou a saída de um empregado).
Também tem de mostrar que pode remediar as não-conformidades e demonstrar que é capaz de recolher provas. Este processo envolve a identificação do evento, o registo e a classificação do mesmo e a documentação exaustiva do evento de segurança da informação.
Quanto custa tornar-se compatível com a norma ISO 27001?
Dependendo da profundidade da pré-auditoria e do pentest, todo o processo custará normalmente entre 20 000 e 50 000 USD.
Terá de pagar o seguinte:
- Pré-auditor
- Pentest (pode ser aproveitado de outras acções de conformidade, por exemplo, se já estiver a fazer um para o SOC 2)
- Licença da plataforma de conformidade (recomendamos vivamente a sua utilização)
- Auditor
- Licenças de scanner de vulnerabilidades e/ou malware (por exemplo, Aikido Security)
O custo depende muito de vários factores, sendo os principais os seguintes:
- A dimensão da sua empresa (se tiver muitos empregados, processos, escritórios, programadores,... os custos de auditoria aumentam drasticamente)
- Custo do pentest (3 a 30 mil dólares, dependendo do tipo de pentest efectuado e de quem o realiza)
- Profundidade das auditorias
- Plataforma de conformidade (por exemplo, Vanta)
Gestão da vulnerabilidade técnica ISO 27001:2022
No seu próprio caminho para a certificação ISO27001:2022? A Aikido Security preenche todas as necessidades de gestão de vulnerabilidades técnicas para aplicações ISO 27001:2022. Também sincronizamos com Plataformas de Monitorização de Conformidade (como o Vanta) para garantir que a sua informação de vulnerabilidade está sempre actualizada. Isto significa que pode confiar numa avaliação de risco precisa e numa correção eficiente.
Solicitar o nosso relatório
Não hesite em solicitar o nosso próprio relatório ISO 27001:2022 diretamente no nosso centro de confiança.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)