Supere sua revisão de segurança de fornecedores
Em segurança, tudo está sempre evoluindo e os padrões não são exceção. A ISO 27001:2022 em breve substituirá a ISO 27001:2013. Nenhum requisito significativo de 2013 foi excluído para a versão de 2022. No entanto, há muitas mudanças, principalmente em duas categorias:
- uma série de novos controles de segurança
- mesclando muitas das antigas verificações de 2013.
Para esta postagem de blog, vamos nos concentrar apenas nos novos que abordam a segurança.
A revisão da ISO 27001:2022 introduz 11 novos controles
A.5.7 Threat Intelligence
Este controle chave da ISO 27001:2022 trata da coleta e análise de informações sobre ameaças para tomar as ações corretas de proteção. Isso significa obter informações detalhadas sobre ataques específicos e os métodos e tecnologias sorrateiras que os invasores estão usando. Além disso, exige o monitoramento das últimas tendências de ataque. O segredo é: você deve coletar essas informações tanto de dentro de sua própria organização quanto de fontes externas, como comunicados de agências governamentais e relatórios de fornecedores. Ao se manter atualizado sobre o que está acontecendo, você poderá cumprir a A.5.7.
🎯 Ótimas notícias – é como se o Aikido tivesse sido projetado para isso. É literalmente o que o Aikido faz.
A.5.23 Segurança da informação para o uso de serviços de Cloud
Para cumprir este requisito da ISO 27001:2022, você precisará definir requisitos de segurança para serviços de Cloud a fim de proteger melhor suas informações na Cloud. Isso inclui a compra, uso, gerenciamento e encerramento do uso de serviços de Cloud.
🎯 O Aikido possui uma ferramenta integrada de gerenciamento de postura de segurança na Cloud (CSPM) para te ajudar.
A.5.30 Prontidão de TIC para continuidade de negócios
Este controle exige que sua tecnologia da informação e comunicação esteja pronta para possíveis interrupções. Por quê? Para que as informações e ativos necessários estejam disponíveis quando precisarem. Isso inclui planejamento de prontidão, implementação, manutenção e testes.
🎯 Para te permitir cumprir este requisito da ISO 27001:2022, o Aikido verifica sua prontidão para grandes interrupções na Cloud, incluindo sua capacidade de fazer backup entre regiões. Este recurso não é uma configuração padrão nem mesmo para a AWS.
A.7.4 Monitoramento de segurança física
Este controle da ISO 27001:2022 é um pouco diferente dos outros – ele se concentra no espaço de trabalho físico. Ele exige que você monitore áreas sensíveis para permitir que apenas pessoas autorizadas as acessem. Os espaços que isso pode afetar incluem qualquer lugar onde você opera: seus escritórios, instalações de produção, armazéns e qualquer outro espaço físico que você utilize.
🥋 Dica principal: é hora de ir ao dojo local! Para esta, você precisará do Aikido de verdade! (a arte marcial) 😂
A.8.9 Gerenciamento de configuração
Este controle exige que você gerencie todo o ciclo de configuração de segurança para sua tecnologia. O objetivo é garantir um nível adequado de segurança e evitar quaisquer alterações não autorizadas. Isso inclui definição, implementação, monitoramento e revisão da configuração.
🎯 Uma das coisas aqui é garantir que a segurança correta esteja configurada no seu git (GitHub) para cada branch, para que nem todos possam fazer merge sem as aprovações adequadas.
O Aikido verificará muitos dos problemas de configuração na sua Cloud. Ele também verificará se você usa IAC para definir sua Cloud, para evitar desvios de configuração na sua Cloud.
A.8.10 Exclusão de informações
Você deve excluir dados quando não forem mais necessários para cumprir este controle. Por quê? Para evitar vazamento de informações sensíveis e para permitir a conformidade com requisitos de privacidade e outros. Isso pode incluir a exclusão em seus sistemas de TI, mídias removíveis e serviços de Cloud.
⚠️ Este tipo de controle não é algo que o Aikido cobre.
A.8.11 Mascaramento de dados
A ISO 27001:2022 exige que você utilize mascaramento de dados (também conhecido como ofuscação de dados) juntamente com controle de acesso para limitar a exposição de informações sensíveis. Isso se refere principalmente a informações de identificação pessoal (PII), pois já existem regulamentações de privacidade robustas. Além disso, pode incluir outras categorias de dados sensíveis.
⚠️ Este controle trata de garantir que você não registre PII incorretas em sistemas de log, etc. Felizmente, a maioria dos sistemas modernos (por exemplo, Sentry) possui algum tipo de filtro integrado para este requisito. Mas, o Aikido não foi construído para verificar este controle.
A.8.12 Prevenção de vazamento de dados
Para este controle, você precisará aplicar várias medidas de prevenção de vazamento de dados para evitar a divulgação não autorizada de informações sensíveis. E se tais incidentes ocorrerem, você precisará detectá-los em tempo hábil. Isso inclui informações em sistemas de TI, redes e quaisquer dispositivos.
🎯 O Aikido verifica se sua Cloud não possui nenhuma configuração de segurança incorreta que possa resultar em um vazamento de dados indesejado.
A.8.16 Atividades de monitoramento
Este controle exige que você monitore seus sistemas para reconhecer atividades incomuns e, se necessário, ativar a resposta a incidentes apropriada. Isso inclui o monitoramento de seus sistemas de TI, redes e aplicações.
🎯 Depois que seus aplicativos estiverem configurados, não basta deixar os e-mails se acumularem no arquivo da sua caixa de entrada. É melhor deixá-los enviar alertas para o Slack. E adivinha? O Aikido faz isso.
A.8.23 Filtragem web
Para proteger seus sistemas de TI, o controle de filtragem web exige que você gerencie quais sites seus usuários estão acessando. Dessa forma, você pode evitar que seus sistemas sejam comprometidos por código malicioso. Você também impedirá que os usuários utilizem materiais ilegais da Internet.
🎯 Na prática, isso significa usar qualquer tipo de WAF, como AWS WAF ou Cloudflare. O Aikido te ajuda – monitoramos a presença deles.
A.8.28 Codificação segura
A ISO 27001:2022 também se preocupa com a codificação segura. Este controle exige que você estabeleça princípios de codificação segura e os aplique ao seu desenvolvimento de software. Por quê? Para reduzir vulnerabilidades de segurança no software. Quando? Isso pode incluir atividades antes, durante e depois da codificação.
🎯 Este é o teste de segurança de aplicações estáticas (SAST) do Aikido, que construímos com base em software open source de primeira linha. Além disso, você pode usar nossa análise de composição de software (SCA), construída sobre o Trivy.
Conformidade com a ISO 27001:2022 com a ajuda do Aikido
Se você ainda está na ISO 27001:2013, terá algum trabalho a fazer. Mas não se preocupe. É viável se atualizar na ISO 27001:2022 em pouco tempo.
Então, se você deseja proteger sua aplicação rapidamente, o Aikido oferece uma visão completa de como você está em relação aos controles de código e Cloud.
Quer saber como você está? Verifique sua conformidade agora com o Aikido! Leva apenas alguns minutos: https://app.aikido.dev/reports/iso
Interessado em conversar com alguém que já passou pelo processo de certificação ISO? Preencha o formulário abaixo e agendaremos uma ligação.
Proteja seu software agora
.jpg)
.avif)
