Temos orgulho em anunciar que a Aikido Security obteve recentemente a certificação ISO 27001:2022. Este é um grande marco para nós e demonstra nosso compromisso com a segurança da informação.
O que é ISO 27001:2022?
A ISO 27001 é um padrão globalmente reconhecido para o estabelecimento e certificação de um Sistema de Gestão de Segurança da Informação (SGSI). A versão 2022 desta certificação garante que a Aikido Security esteja alinhada com as melhores práticas atuais em gestão de segurança da informação. Escolhemos especificamente a versão 2022 (em vez das versões 2013 e 2017), pois esta nova versão foca mais em codificação segura, detecção de ameaças, etc. Estes são itens que consideramos importantes e relevantes para uma empresa de software.
Alcançar a conformidade com ISO 27001:2022 é uma conquista significativa para a Aikido Security. Isso ressalta nossa dedicação em fornecer soluções seguras e confiáveis aos nossos clientes.
Willem Delbare, CEO da Aikido Security
O que motivou a Aikido a buscar a certificação ISO 27001?
Somos um player desafiador no espaço de segurança e uma das primeiras coisas que pedimos aos novos clientes é que nos concedam acesso de leitura ao seu codebase. Isso é um grande passo. E entendemos – e concordamos – que é um grande passo.
Para que os clientes confiem confortavelmente em nós com sua base de código, eles precisam confiar em nós como empresa e confiar em nosso produto. Tornar-se compatível com a ISO27001 é um grande avanço na construção e comprovação dessa confiança.
O que aprendemos no caminho para a conformidade com ISO 27001
Em uma futura postagem de blog, apresentarei meus principais aprendizados, mas quero aproveitar esta oportunidade para compartilhar algumas breves percepções sobre nossa jornada.
Nossa jornada para a ISO 27001:2022
Concluímos todo o processo em cerca de seis meses. Já havíamos implementado o SOC 2, então já tínhamos muitas políticas, documentos e melhores práticas em vigor. Isso nos permitiu reutilizar e aplicar muito disso à nossa ISO.
Como acreditamos firmemente em usar a ferramenta certa para o trabalho, aproveitamos a oportunidade para adotar uma abordagem moderna e utilizamos a Vanta, que automatiza grande parte do trabalho necessário para obter a ISO 27001.
Alcançar a ISO 27001:2022 exige paciência e comprometimento. É essencial cercar-se de parceiros confiáveis e adquirir conhecimento previamente.
Roeland Delrue, COO & CRO da Aikido Security
O processo de alto nível
1. Auditoria interna (pré-auditoria)
Você pode pensar na auditoria interna como um 'ensaio geral' ou 'auditoria simulada', para ter certeza de que você está pronto para fazer as auditorias 'reais'. A auditoria interna garante que você não perdeu nada óbvio que você não seria capaz de remediar nas fases posteriores.
Dica rápida: Use um bom pré-auditor interno ou externo. Isso realmente ajuda a configurar tudo corretamente. A menos que você tenha experiência relevante e comprovada em ISO, provavelmente é melhor contratar um pré-auditor externo. Aproveitar a experiência deles será muito valioso.
2. Auditoria Fase 1
A Etapa 1 é em grande parte uma “auditoria de mesa” ou revisão de documentação
Esta auditoria consiste em uma extensa revisão da documentação. Um auditor externo ISO 27001 revisa políticas e procedimentos para garantir que atendam aos requisitos da norma ISO e do próprio Sistema de Gestão de Segurança da Informação (SGSI) da organização.
3. Auditoria da Fase 2
A Etapa 2 é uma auditoria completa do sistema com muitos testes de controle
O auditor realiza testes para verificar se o Sistema de Gestão de Segurança da Informação (SGSI) foi devidamente projetado e implementado e está funcionando corretamente. O auditor também avaliará a adequação e a pertinência dos controles da organização para determinar se os controles foram implementados e estão operando eficazmente para atender aos requisitos da norma ISO 27001.
4. Certificação
Depois de ter remediado ou elaborado um plano de ação para suas não conformidades, você está pronto para a validação. As não conformidades da ISO 27001 são categorizadas como menores, maiores ou oportunidades de melhoria (OFIs). É claro que é fundamental demonstrar que você remediou ou que pode mostrar claramente que está no caminho para remediar todas as não conformidades maiores.
E então... é hora de pegar seu certificado 🎉🥳
Quanto tempo leva para alcançar a conformidade ISO 27001?
Você não pode fazer isso em menos de dois meses. E isso assume que você tem tudo pronto, incluindo um pentest e um auditor.
Mesmo assim, você pode precisar de alguns meses para garantir que encontre eventos de segurança da informação suficientes, já que alguns processos só podem ocorrer quando um determinado evento acontece (por exemplo, integração ou desligamento de um funcionário).
Você também precisa demonstrar que pode remediar não-conformidades e que é capaz de coletar evidências. Esse processo envolve a identificação do evento, seu registro e classificação, e a documentação completa do evento de segurança da informação.
Quanto custa para alcançar a conformidade ISO 27001?
Dependendo da profundidade da pré-auditoria e do pentest, todo o processo custará tipicamente entre USD 20.000 e 50.000.
Você precisará pagar pelo seguinte:
- Pré-auditor
- Pentest (você pode aproveitar este de outras trilhas de conformidade, por exemplo, se você já estiver realizando um para SOC 2)
- Licença da plataforma de conformidade (recomendamos fortemente o uso desta)
- Auditor
- Licenças de scanner de vulnerabilidades e/ou malware (por exemplo, Aikido Security)
O custo depende muito de múltiplos fatores, sendo os principais:
- O tamanho da sua empresa (Se você tem muitos funcionários, processos, escritórios, desenvolvedores,... os custos de auditoria aumentam drasticamente)
- Custo do pentest (USD 3-30k, dependendo do tipo de pentest realizado e de quem o executa)
- Profundidade das auditorias
- Plataforma de conformidade (por exemplo, Vanta)
ISO 27001:2022 gerenciamento de vulnerabilidades técnica gerenciamento de vulnerabilidades
No seu próprio caminho para a certificação ISO 27001:2022? A Aikido Security atende a todas as necessidades técnicas de gerenciamento de vulnerabilidades para aplicações ISO 27001:2022. Também sincronizamos com Plataformas de Monitoramento de Conformidade (como Vanta) para garantir que suas informações de vulnerabilidade estejam sempre atualizadas. Isso significa que você pode contar com uma avaliação de risco precisa e uma remediação eficiente.
Solicite nosso relatório
Sinta-se à vontade para solicitar nosso próprio relatório ISO 27001:2022 diretamente em nosso centro de confiança.
Proteja seu software agora
.jpg)
.avif)
