A Aikido acabou de passar pelo processo de se tornar compatível com a norma ISO 27001:2022 e SOC 2 Tipo 2. E uma das coisas que gostaríamos de ter tido foram alguns conselhos práticos e sem sentido sobre como começar. Melhores práticas, coisas a ter em atenção - basicamente dicas de alguém que já passou pelo processo de certificação ISO 27001.
Leia mais sobre o caminho do Aikido para tornar-se compatível com a ISO 27001:2022 e os requisitos da ISO 27001.
É por isso que escrevemos esta publicação no blogue: para ajudar qualquer empresa de SaaS que esteja a tentar tornar-se compatível com a ISO:27001.
8 coisas que aprendemos durante o processo de certificação ISO 27001
1. Saiba no que se está a meter
Se nunca fez isto antes, a primeira coisa a fazer é perguntar aos seus amigos e conhecidos profissionais. É provável que encontre alguém que já tenha passado por este processo, por isso, contacte-o e peça-lhe conselhos.
Se não conseguir encontrar ninguém, pode entrar em contacto com um pré-auditor. Mas tenha em atenção que, compreensivelmente, tentarão vender-lhe serviços.
De qualquer forma, é realmente útil ter uma boa noção de como tudo funciona. Isto poupar-lhe-á tempo no final e ajudá-lo-á a obter o seu certificado ISO 27001 mais rapidamente.
2. Comunicar que está a trabalhar na implementação da norma ISO 27001
As pessoas apreciam quando menciona que está no processo de implementação da ISO 27001. Elas ficarão ansiosas em saber que haverá menos preocupações para elas num futuro próximo. E isso, por sua vez, ajudará as suas vendas e conversões. Portanto, mencione isso em seu site, em conversas de vendas, no LinkedIn e muito mais. Informe os seus utilizadores de que está a tornar o seu produto mais compatível.
3. Decidir qual a norma ISO 27001 a implementar (2013, 2017 ou 2022)
2022 tem muito mais controlos relativos à codificação segura e à segurança do software. (por exemplo, a deteção de malware é um novo controlo). Isto significa que a sua implementação implica mais trabalho do que uma versão mais antiga. Se optar por uma das normas mais recentes, serão necessários mais controlos, mas já estará preparado para o futuro. Por isso, é provavelmente melhor optar pela versão 2022.
Dica rápida: A certificação ISO 27001 necessita de uma auditoria completa de três em três anos. Isto significa que é melhor não optar pela ISO 27001:2013, uma vez que é apenas é válida por mais dois anos.
Cada versão da norma ISO 27001 também enquadra o processo de gestão de riscos de forma diferente. A versão 2022 inclui requisitos de certificação actualizados que reflectem a evolução dos riscos de cibersegurança. Isso faz com que seja importante que as empresas tenham um processo de gestão de riscos robusto para identificar, avaliar e mitigar esses riscos.
Note-se que, se for uma empresa grande e madura, pode preferir optar pela versão 2017, uma vez que está mais estabelecida e pode levar a menos perturbações nos seus processos existentes.
4. Não subcontratar tudo
É arriscado externalizar todo o processo... Embora seja possível subcontratar todo o processo a uma empresa de consultoria, aconselho-o a não o fazer. Claro que um consultor pode ajudar, fornecer modelos e esse tipo de coisas. Mas se subcontratar tudo e se deparar com um problema, precisa de saber como lidar com ele. O meu conselho é que haja pelo menos duas, e até quatro, pessoas da empresa envolvidas.
Dica rápida: Não esquecer que a auditoria final deve ser efectuada por um organismo de certificação acreditado!
5. Obter um pentest que faça sentido para a sua empresa
Se é uma empresa de software, deve escolher um pentester para se concentrar em coisas que não são abrangidas por ferramentas automatizadas como o OWASP ZAP. Opte por pentesters com experiência em caça aos bugs, em vez de pentesters da "velha guarda".
6. Tirar partido das normas de conformidade e acelerar
O facto de já estar em conformidade com o SOC2 torna mais rápida a conformidade com a norma ISO. E é bom saber que, se estiver em conformidade com a ISO, o NIS2 (um novo regulamento aplicável na UE) será mais fácil.
Dica rápida: Verifique novamente se o seu auditor foi auditado (é um requisito). Não se contente com alguém sem as credenciais corretas ou poderá ser enganado.
7. Perceber que ninguém é perfeito
A eventual auditoria irá sempre encontrar não-conformidades e não há problema em ser imperfeito. Mas tem de conhecer essas imperfeições e certificar-se de que tem um plano de ação formal para resolver os problemas. Trata-se de um processo de melhoria contínua que, em última análise, conduzirá a uma melhor segurança em toda a empresa. É claro que pode nunca atingir a "perfeição", mas deve fazer o seu melhor para lá chegar!
8. Começar cedo a implementar ferramentas que abranjam os controlos ISO
Se está a pensar em obter conformidade com a ISO, é sempre uma boa ideia fazer um teste das ferramentas que o ajudarão a cobrir determinados controlos (e também a produzir as provas de que necessita).
Por exemplo, a ISO exige que implemente alguns processos relacionados com as pessoas. Por exemplo, a integração, o desligamento, a verificação de antecedentes, a atribuição e a recuperação de activos da empresa. Ter estes processos implementados num sistema de informação de recursos humanos (HRIS), como o Officient, Personio ou Workday, ajudá-lo-á a começar a trabalhar no momento em que precisar de produzir as suas provas para a ISO.
É a mesma coisa com o Aikido, que já realiza verificações em 22 controlos e gera um relatório ISO 27001 abrangente. É outro excelente exemplo de como começar a preparar a sua ISO.
Gestão da vulnerabilidade técnica ISO 27001:2022
No seu próprio caminho para a certificação ISO 27001:2022? A nossa plataforma, Aikido Security, preenche todas as necessidades de gestão de vulnerabilidades técnicas para aplicações ISO 27001:2022. Decidimos também estabelecer uma parceria com plataformas de monitorização da conformidade (como a Vanta ou a Drata) para sincronizar facilmente os dados e garantir que as suas informações de vulnerabilidade estão sempre actualizadas. Isto ajuda-o a manter-se facilmente no topo da sua postura de segurança.
Solicitar o nosso relatório
Não hesite em solicitar o nosso próprio certificado ISO 27001:2022 diretamente na nossa página de resumo de segurança. Teremos todo o gosto em partilhar os frutos do nosso trabalho árduo! 😉
Espero que esta publicação do blogue seja útil para si. Gostaria certamente de ter conhecido todas estas dicas quando iniciámos o processo. Se estiver a explorar a certificação ISO, contacte-me no LinkedIn e terei todo o gosto em partilhar as minhas ideias!
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)