Sobreviver à análise de segurança do fornecedor
Em matéria de segurança, tudo está sempre a evoluir e as normas não são exceção. A ISO 27001:2022 substituirá em breve a ISO 27001:2013. Nenhum requisito significativo de 2013 foi eliminado para a versão 2022. Mas há muitas mudanças, principalmente em duas categorias:
- uma série de novos controlos de segurança
- fusão de muitos dos antigos controlos de 2013.
Para esta publicação do blogue, vamos concentrar-nos apenas nos novos que se centram na segurança.
A revisão da ISO 27001:2022 introduz 11 novos controlos
A.5.7 Informações sobre ameaças
Este controlo chave da ISO 27001:2022 tem tudo a ver com a recolha de informação sobre ameaças e a sua análise para tomar as acções certas para proteção. Isto significa obter informações sobre ataques específicos e os métodos e tecnologias furtivos que os atacantes estão a utilizar. Além disso, é necessário monitorizar as últimas tendências de ataque. O truque é o seguinte: deve reunir estas informações tanto dentro da sua própria organização como de fontes externas, como anúncios de agências governamentais e relatórios de fornecedores. Ao manter-se a par do que está a acontecer, conseguirá cumprir o ponto A.5.7.
Óptimas notícias - é como se o Aikido tivesse sido concebido para isto. É literalmente o que o Aikido faz.
A.5.23 Segurança da informação para a utilização de serviços em nuvem
Para cumprir este requisito da ISO 27001:2022, terá de definir requisitos de segurança para os serviços na nuvem, de modo a proteger melhor as suas informações na nuvem. Isto inclui a aquisição, utilização, gestão e cessação da utilização de serviços na nuvem.
O Aikido tem uma ferramenta integrada de gestão da postura de segurança na nuvem (CSPM) para o ajudar.
A.5.30 Preparação das TIC para a continuidade das actividades
Este controlo exige que a sua tecnologia de informação e comunicação esteja preparada para potenciais perturbações. Porquê? Para que a informação e os activos necessários estejam disponíveis quando necessário. Isto inclui o planeamento, a implementação, a manutenção e os testes de prontidão.
Para permitir que cumpra este requisito da ISO 27001:2022, o Aikido verifica a sua preparação para grandes interrupções na nuvem, incluindo a sua capacidade de fazer cópias de segurança entre regiões. Esta funcionalidade não é uma definição predefinida, mesmo para a AWS.
A.7.4 Controlo da segurança física
Este controlo ISO 27001:2022 é um pouco diferente dos outros - centra-se no espaço de trabalho físico. Ele requer que você monitore áreas sensíveis para permitir que apenas pessoas autorizadas tenham acesso a elas. Os espaços que isto pode afetar podem incluir qualquer local onde opere: os seus escritórios, instalações de produção, armazéns e qualquer outro espaço físico que utilize.
Dica de topo: está na altura de ir ao dojo local! Para este, vais precisar de Aikido a sério! (a arte marcial) 😂
A.8.9 Gestão da configuração
Este controlo exige a gestão de todo o ciclo de configuração da segurança da sua tecnologia. O objetivo é garantir um nível adequado de segurança e evitar quaisquer alterações não autorizadas. Isto inclui a definição, implementação, monitorização e revisão da configuração.
Uma das coisas aqui é certificar-se de que a segurança correta está configurada no seu git (GitHub) para cada ramo, para que nem todos possam fazer a fusão sem as devidas aprovações.
O Aikido irá verificar muitos dos problemas de configuração na sua nuvem. Ele também verificará se você usa o IAC para definir sua nuvem, para evitar desvios na configuração da sua nuvem.
A.8.10 Supressão de informações
Os dados devem ser apagados quando deixarem de ser necessários para cumprir este controlo. Porquê? Para evitar a fuga de informações sensíveis e para permitir o cumprimento de requisitos de privacidade e outros. Isto pode incluir a eliminação nos seus sistemas informáticos, suportes amovíveis e serviços de nuvem.
⚠️ Este tipo de controlo não é algo que o Aikido cubra.
A.8.11 Mascaramento de dados
A ISO 27001:2022 exige que utilize o mascaramento de dados (também conhecido como ofuscação de dados) juntamente com o controlo de acesso, de modo a limitar a exposição de informações sensíveis. Isto significa principalmente informações pessoalmente identificáveis (PII), porque já existem regulamentos de privacidade robustos. Além disso, pode também incluir outras categorias de dados sensíveis.
⚠️ Este controlo destina-se a garantir que não são registadas as PII erradas nos sistemas de registo, etc. Felizmente, a maioria dos sistemas modernos (por exemplo, o Sentry) tem algum tipo de filtro incorporado para este requisito. No entanto, o Aikido não foi concebido para verificar este controlo.
A.8.12 Prevenção de fugas de dados
Para este controlo, é necessário aplicar várias medidas de fuga de dados para evitar a divulgação não autorizada de informações sensíveis. E se tais incidentes ocorrerem, terá de os detetar atempadamente. Isto inclui informações em sistemas de TI, redes e quaisquer dispositivos.
O Aikido verifica se a sua nuvem não tem nenhuma configuração incorrecta de segurança que possa resultar numa fuga de dados indesejada.
A.8.16 Actividades de monitorização
Este controlo exige que monitorize os seus sistemas de modo a reconhecer actividades invulgares e, se necessário, ativar a resposta adequada a incidentes. Isto inclui a monitorização dos seus sistemas informáticos, redes e aplicações.
Depois de configurar as suas aplicações, não basta deixar que os e-mails se acumulem no arquivo da sua caixa de entrada. O melhor é deixar que eles enviem alertas para o Slack. E, adivinha só? O Aikido faz isso.
A.8.23 Filtragem Web
A fim de proteger os seus sistemas informáticos, o controlo de filtragem da Web exige que faça a gestão dos sítios Web a que os seus utilizadores acedem. Desta forma, pode evitar que os seus sistemas sejam comprometidos por código malicioso. Também evitará que os utilizadores utilizem materiais ilegais da Internet.
Na prática, isto significa utilizar qualquer tipo de WAF, como o AWS WAF ou o Cloudflare. O Aikido tem tudo controlado - nós monitorizamos a sua presença.
A.8.28 Codificação segura
A ISO 27001:2022 também diz respeito à codificação segura. Este controlo exige que estabeleça princípios de codificação segura e os aplique ao seu desenvolvimento de software. Porquê? Para reduzir as vulnerabilidades de segurança no software. Quando? Isto pode incluir actividades antes, durante e depois da codificação.
Este é o teste estático de segurança de aplicações (SAST) do Aikido, que criámos com base no melhor software de código aberto da sua classe. Além disso, pode utilizar a nossa análise da composição do software (SCA), baseada no Trivy.
Conformidade com a norma ISO 27001:2022 com a ajuda do Aikido
Se ainda estiver na ISO 27001:2013, terá algum trabalho a fazer. Mas não se preocupe. É possível atualizar-se para a ISO 27001:2022 em um curto período de tempo.
Assim, se quiser proteger rapidamente a sua aplicação, o Aikido dá-lhe uma visão geral completa do seu desempenho em termos de código e controlos na nuvem.
Quer saber como se está a sair? Verifique agora a sua conformidade com o Aikido! Demora apenas alguns minutos: https://app.aikido.dev/reports/iso
Interessado em conversar com alguém que já passou pelo processo de certificação ISO? Preencha o formulário abaixo e marcaremos uma chamada.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)