📚
Esta seção é material de estudo e pesquisa. Documento o que aprendo no estudo desses frameworks para aplicar no dia a dia de IAM.
ISO 27001 — Sistema de Gestão de Segurança (SGSI)
A ISO/IEC 27001 define os requisitos para estabelecer, implementar, manter e melhorar um SGSI. É uma norma certificável e o padrão global para segurança da informação.
Estrutura da norma
- Cláusulas 4-10: Requisitos do sistema de gestão (contexto, liderança, planejamento, suporte, operação, avaliação, melhoria)
- Anexo A: Catálogo de controles de referência (detalhados na 27002)
Ciclo PDCA no SGSI
- Plan: Definir escopo, política, avaliar riscos, selecionar controles
- Do: Implementar controles e processos
- Check: Monitorar, medir, auditar
- Act: Ações corretivas e melhoria contínua
ISO 27002:2022 — Controles de Segurança
A ISO/IEC 27002:2022 organiza os controles em 4 temas:
| Tema | Qtd | Exemplos |
|---|---|---|
| 🏢 Organizacionais | 37 | Políticas, papéis, gestão de ativos, controle de acesso |
| 👤 Pessoais | 8 | Seleção, conscientização, responsabilidades |
| 🏗️ Físicos | 14 | Perímetros, controle de entrada, proteção de equipamentos |
| 💻 Tecnológicos | 34 | Autenticação, criptografia, log, proteção contra malware |
Controles relacionados a IAM
| Controle | Nome | Aplicação em IAM |
|---|---|---|
| A.5.15 | Controle de Acesso | Regras para acesso lógico e físico baseadas em necessidade de negócio |
| A.5.16 | Gestão de Identidades | Gerenciar ciclo de vida completo: criar, manter, revogar identidades |
| A.5.17 | Informações de Autenticação | MFA, senhas fortes, métodos seguros de autenticação |
| A.5.18 | Direitos de Acesso | Provisionar, revisar e revogar direitos. Recertificação periódica |
| A.8.2 | Acessos Privilegiados | PAM, JIT access, monitoramento de contas admin |
| A.8.5 | Autenticação Segura | Procedimentos de login seguro, bloqueio por tentativas |
Como documentar e regularizar
Documentação obrigatória
- Política de Segurança da Informação: Documento de alto nível com diretrizes gerais
- Declaração de Aplicabilidade (SoA): Lista todos os controles do Anexo A e justifica quais são aplicáveis ou não
- Avaliação de Riscos: Identificar, analisar e avaliar riscos de segurança
- Plano de Tratamento de Riscos: Como cada risco será tratado (mitigar, aceitar, transferir, evitar)
- Política de Controle de Acesso: Regras de acesso, menor privilégio, RBAC, revisão
Registros para auditoria
- Logs de criação/remoção de acessos com data, responsável e justificativa
- Evidências de campanhas de recertificação com aprovação dos gestores
- Registros de incidentes de acesso e ações corretivas
- Atas de reunião de análise crítica pela direção
Referências e manuais
📖ISO/IEC 27001:2022Página oficial da norma na ISO
📖ISO/IEC 27002:2022Catálogo de controles de segurança
📖Conformidade ISO 27001 na MicrosoftComo os serviços Microsoft atendem à norma