Aikido pelo processo de certificação ISO 27001:2022 e SOC 2 Tipo 2. E uma das coisas que gostaríamos de ter tido era alguns conselhos práticos e sensatos sobre como começar. Melhores práticas, coisas a ter em atenção — basicamente dicas de alguém que já tivesse passado pelo processo de certificação ISO 27001.
Leia mais sobre o caminho Aikidopara se tornar compatível com a ISO 27001:2022 e os requisitos da ISO 27001.
É por isso que escrevemos esta postagem de blog: para ajudar qualquer pessoa em uma empresa SaaS que busca a conformidade com a ISO:27001.
8 coisas que aprendemos durante o processo de certificação ISO 27001
1. Entenda os riscos envolvidos
Se você nunca fez isso antes, a primeira coisa a fazer é perguntar aos seus amigos e contatos profissionais. Você provavelmente encontrará alguém que passou pelo processo, então entre em contato com eles e peça conselhos.
Se você realmente não conseguir encontrar ninguém, pode entrar em contato com um pré-auditor. Apenas esteja ciente de que eles, compreensivelmente, tentarão vender-lhe serviços.
De qualquer forma, ajuda muito a ter uma boa noção de como tudo funciona. Isso economizará seu tempo no final e o ajudará a obter seu certificado ISO 27001 mais rapidamente.
2. Comunique que você está trabalhando na implementação da ISO 27001
As pessoas apreciam quando você menciona que está em processo de implementação da ISO 27001. Elas ficarão ansiosas para saber que terão menos com o que se preocupar em um futuro próximo. E isso, por sua vez, ajudará suas vendas e conversões. Então, mencione isso em seu site, em conversas de vendas, no LinkedIn e em outros lugares. Deixe seus usuários saberem que você está tornando seu produto mais compatível.
3. Decida qual norma ISO 27001 implementar (2013, 2017 ou 2022)
2022 possui muito mais controles em relação à codificação segura e segurança de software. (por exemplo, a detecção de malware é um novo controle). Isso significa que envolve mais trabalho para implementar do que uma versão mais antiga. Se você optar por um dos padrões mais recentes, ele exigirá mais controles, mas você já estará preparado para o futuro. Portanto, provavelmente é melhor optar pela versão de 2022.
Dica rápida: A certificação ISO 27001 exige uma auditoria completa a cada três anos. Isso significa que é melhor não optar pela ISO 27001:2013, já que ela é válida por apenas mais dois anos.
Cada versão da norma ISO 27001 também aborda o processo de gerenciamento de riscos de forma diferente. A versão de 2022 inclui requisitos de certificação atualizados que refletem os riscos de cibersegurança em evolução. Isso torna importante para as empresas ter um processo robusto de gerenciamento de riscos em vigor para identificar, avaliar e mitigar esses riscos.
Note que, se você é uma empresa grande e madura, pode preferir optar pela versão de 2017, pois ela é mais estabelecida e pode causar menos interrupção em seus processos existentes.
4. Não terceirize tudo
É arriscado terceirizar todo o processo... Embora seja possível terceirizar todo o processo para uma consultoria, eu desaconselharia isso. Claro, um consultor pode definitivamente ajudar, fornecer modelos e coisas do tipo. Mas se você terceirizar tudo e encontrar um problema, precisa saber como lidar com ele. Meu conselho é ter pelo menos duas, e até quatro, pessoas da empresa envolvidas.
Dica rápida: Lembre-se que a auditoria final deve ser realizada por um organismo de certificação acreditado!
5. Obtenha um pentest que faça sentido para sua empresa
Se é uma empresa de software, deve escolher um pentester para se concentrar em aspetos que não são abrangidos por ferramentas automatizadas, como ZAP OWASP ZAP. Opte por pentesters com experiência em caça a bugs, em vez de pentesters «à moda antiga».
6. Utilize padrões de conformidade e acelere
Já estar em conformidade com SOC2 acelera o processo para se tornar compatível com ISO. E é bom saber que, se você for compatível com ISO, a NIS2 (uma nova regulamentação aplicável na UE) será mais fácil.
Dica rápida: Verifique novamente se seu auditor foi auditado (é um requisito). Não aceite alguém sem as credenciais certas ou você pode ser enganado.
7. Perceba que ninguém é perfeito
A auditoria eventual sempre encontrará não conformidades e não há problema em ser imperfeito. Mas você precisa estar ciente dessas imperfeições e garantir que possui um plano de ação formal para resolver os problemas. É um processo de melhoria contínua que, em última instância, levará a uma segurança melhor em toda a sua empresa. Claro, você pode nunca atingir a "perfeição", mas deve fazer o seu melhor para chegar lá!
8. Comece cedo com a implementação de ferramentas que cobrem os controles ISO
Se você está considerando buscar a conformidade ISO, é sempre uma boa ideia fazer um teste das ferramentas que o ajudarão a cobrir certos controles (e também a produzir as evidências de que precisa).
Por exemplo, a ISO exige que você implemente alguns processos relacionados a pessoas. Por exemplo, onboarding, offboarding, verificações de antecedentes, atribuição e recuperação de ativos da empresa. Ter esses processos implementados em um sistema de informação de recursos humanos (HRIS), como Officient, Personio ou Workday, o ajudará a começar imediatamente no momento em que precisar produzir suas evidências para a ISO.
O mesmo se aplica ao Aikido, que já realiza verificações em 22 controlos e gera um relatório ISO 27001 abrangente. É outro excelente exemplo de como começar a preparar-se para a ISO com antecedência.
ISO 27001:2022 gerenciamento de vulnerabilidades técnica gerenciamento de vulnerabilidades
Está no caminho para obter a certificação ISO 27001:2022? A nossa plataforma, Aikido , atende a todas gerenciamento de vulnerabilidades técnicas gerenciamento de vulnerabilidades para aplicações ISO 27001:2022. Também decidimos estabelecer parcerias com plataformas de monitorização de conformidade (como Vanta ou Drata) para sincronizar facilmente os dados e garantir que as suas informações de vulnerabilidade estejam sempre atualizadas. Isso ajuda-o a manter-se facilmente a par da sua postura de segurança.
Solicite nosso relatório
Sinta-se à vontade para solicitar nosso próprio certificado ISO 27001:2022 diretamente em nossa página de visão geral de segurança. Ficaremos mais do que felizes em compartilhar os frutos do nosso trabalho árduo! 😉
Espero que esta postagem de blog seja útil para você. Eu certamente gostaria de ter conhecido todas essas dicas quando iniciamos o processo. Se você está explorando a certificação ISO, conecte-se comigo no LinkedIn e terei prazer em compartilhar minhas percepções!
Proteja seu software agora
.jpg)
.avif)
