As alterações na versão 2022 das normas de orientação de segurança da informação estão relacionadas principalmente a controles que ajudam as empresas a lidar com cenários de segurança em constante mudança e riscos relacionados.
A última atualização da ISO/IEC 27002 foi em 2013 com pequenas edições em 2017. Assim, uma revisão estava muito atrasada. Os riscos atuais de segurança da informação, segurança cibernética e privacidade mudaram drasticamente. A ameaça a todas as empresas se intensificou e gerenciar a segurança da informação tornou-se uma questão de continuidade e resiliência dos negócios. Ataques ou violações podem, na melhor das hipóteses, ser um incômodo, mas há cada vez mais casos em que as empresas são severamente afetadas, a produção prejudicada ou completamente interrompida por dias e até semanas.
“O tema está no centro da maioria das agendas e conselhos corporativos. Parece que todos estão em risco, mas muitos não implementaram um sistema adequado e robusto para identificar, gerenciar e mitigar seus riscos de segurança da informação. A nova norma atualizada ajuda as empresas a lidar com os cenários de segurança da informação em constante mudança”, diz Nanda Kumar Shamanna, gerente de negócios de TIC de Business Assurance na DNV.
A nova versão aborda controles relacionados a tecnologias digitais e de nuvem para incorporar ameaças de segurança cibernética e privacidade (como ransomware e malware). A norma também foi revisada para abordar outras perspectivas de segurança, por meio da identificação de diversos atributos.
As alterações a esta norma de orientação terão impacto na norma certificável ISO/IEC 27001. A revisão da ISO/IEC 27001 deverá ser publicada ainda este ano, possivelmente em outubro. Espera-se que as mudanças sejam relacionadas exclusivamente aos controles (Anexo A). O cronograma de transição será decidido como parte do lançamento da ISO/IEC 27001:2022 ainda este ano; no entanto, com o lançamento da ISO/IEC 27002 é possível iniciar os preparativos.
Os principais benefícios da nova versão para empresas certificadas:
- Aborda novos cenários e riscos;
- Ajuda a entender outras perspectivas de segurança;
- Inclui aspectos de segurança cibernética e privacidade;
- Novos controles para garantir que novos cenários e riscos não sejam perdidos.