ISO 27002: a norma que sela a confiança empresarial na era digital

A implementação de controlos de segurança da informação tem-se revelado um desafio crescente para as empresas, especialmente num momento em que as ciberameaças se tornam cada vez mais sofisticadas. Muitas organizações enfrentam dificuldades em definir e aplicar estratégias de segurança que sejam adaptáveis às suas necessidades específicas. A ISO/IEC 27002:2022 surge como uma certificação importante que oferece orientações claras e práticas para a execução dos controlos de segurança definidos na ISO 27001.

Com o objetivo de “apoiar as organizações a definir e executar estratégias de segurança adequadas às suas necessidades e ameaças específicas”, “a ISO 27002 fornece um guia estruturado para desenvolver políticas de segurança alinhadas com as necessidades específicas de cada organização”, explica Mafalda de Brito Fernandes, advogada na Cuatrecasas. É especialmente relevante para empresas que, sem uma referência clara, podem ter dificuldades em implementar medidas de segurança eficazes. A ISO 27002 não só ajuda a estruturar estas estratégias, como também “promove um alinhamento consistente com as melhores práticas globais, contribuindo para uma abordagem sistemática e eficaz à gestão da segurança da informação”, acrescenta.

O papel da ISO 27002 na segurança da informação

	Mafalda de Brito Fernandes, advogada na Cuatrecasas

“De forma simplificada, a ISO 27001 define os requisitos para implementar um Sistema de Gestão da Segurança da Informação (SGSI) e a ISO 27002 detalha como executar esses controlos nas organizações de forma completa e eficiente”, esclarece a advogada da Cuatrecasas. Esta complementaridade é fundamental, tendo em conta que a ISO 27001 estabelece a estrutura geral de um sistema de gestão de segurança, enquanto a ISO 27002 especifica as práticas para a sua implementação eficaz.

Com a atualização de 2022, a ISO 27002 tornou- -se ainda mais relevante. Segundo Mafalda de Brito Fernandes, a norma “estabeleceu-se com uma estrutura mais simplificada, disponibilizando novos controlos de segurança”, adaptando-se às novas ameaças que surgem no mundo digital. A sua flexibilidade permite ajustar os controlos a diferentes realidades, tornando-se “fundamental para organizações de todas as dimensões e setores”.

Ataques sofisticados como ransomware e ataques a cadeias de fornecimento têm-se tornado prevalentes, e é neste caso que a ISO 27002 é mais do que uma recomendação: é uma necessidade. Como enfatiza Mafalda de Brito Fernandes, “com base nos controlos apresentados pela norma, as empresas podem criar políticas que abordem áreas críticas, desde a gestão de acessos até à resposta a incidentes, garantindo dessa forma que cobrem os principais riscos de forma eficiente”.

Dessa forma, a adoção de soluções práticas, “alinhadas com as necessidades específicas de cada organização”, não só protege os ativos de informação, como também garante estratégias de segurança resilientes e em conformidade com as melhores práticas globais.

Uma abordagem holística e abrangente para a gestão de riscos

A ISO 27002 adota uma metodologia cíclica composta por quatro etapas essenciais: planeamento (Plan), execução (Do), verificação de desempenho (Check) e melhoria (Act). Esta metodologia, de acordo com a especialista, exigirá que as organizações mantenham uma “postura crítica” e se dediquem à “melhoria contínua do seu Sistema de Gestão da Segurança da Informação (SGSI)”.

A norma permite às pequenas e médias empresas (PME) “priorizar controlos essenciais e ajustar a implementação às suas capacidades e recursos disponíveis, de forma estratégica, sem comprometer a eficácia na proteção dos ativos de informação”, segundo Mafalda de Brito Fernandes. Nas grandes organizações, “pode ser utilizada como base de atuação, sem prejuízo de serem implementados controlos mais rigorosos de acordo com a dimensão e exposição ao risco das mesmas”, e, por sua vez, também pode “cobrir múltiplos departamentos, sistemas e processos dentro da organização”.

O “aumento da confiança de clientes, parceiros e stakeholders” é outro benefício que a advogada destaca – resultado direto de uma organização que “demonstra um compromisso sólido com a segurança da informação e com práticas alinhadas aos padrões internacionais”.

Paulo Alexandre, Information Technology Manager na SGS Portugal

Em termos de gestão de riscos e ciber-resiliência, Paulo Alexandre, Information Technology Manager na SGS Portugal, realça que a ISO 27002 permite “identificar e mitigar vulnerabilidades”, diminuindo a probabilidade de incidentes como violações de dados. Além disso, facilita a conformidade com exigências legais e regulamentares, enquanto melhora a eficiência operacional, fortalecendo a reputação da empresa no mercado. Nesse sentido, Ofélia Malheiros, Risk Manager na Accenture, observa que a implementação de controlos organizacionais, físicos, tecnológicos e relativos às pessoas “robustece a segurança em profundidade e amplitude” e cria uma abordagem mais “holística e abrangente” para a gestão de riscos.

A ISO 27002 oferece benefícios claros para as organizações ao implementar controlos que “minimizem os riscos associados à segurança de informação”, como destaca Sérgio Martins, Partner de Advisory da KPMG Portugal. Alinhadas com a norma, as empresas terão “políticas, processos e responsáveis claramente definidos”, o que permite maior visibilidade sobre os riscos e melhora a capacidade de resposta a incidentes. Além disso, a norma eleva o nível de maturidade das organizações, tornando- -as mais robustas, tanto de forma preventiva como reativa, e inclui um processo de gestão de risco para “identificar, tratar e monitorizar os riscos”, diminuindo a probabilidade de ataques.

A segurança como desafio estratégico do negócio

	Ofélia Malheiros, Risk Manager na Accenture

Um dos fatores críticos para o sucesso é o envolvimento da gestão de topo. Como destaca Ofélia Malheiros, “a implementação dos controlos da ISO 27002, dado o nível de abrangência associado, exige que a segurança seja um objetivo estratégico do negócio”. Sem esse compromisso, torna-se difícil garantir investimentos e integrar a segurança na estratégia global da organização.

A maturidade dos processos também desempenha um papel essencial. Empresas com estruturas mais consolidadas conseguem adotar os controlos com maior agilidade, reduzindo dificuldades operacionais. Mas o desafio não é apenas técnico – é também cultural, já que “a aplicação dos controlos implica alterações nos processos, modificações na forma de trabalhar dos colaboradores”, tal como reforça a Risk Manager na Accenture.

Tratando-se de uma norma, um dos principais desafios na implementação da ISO 27002, conforme refere Mafalda de Brito Fernandes, é o “conhecimento pleno de toda a legislação a aplicar por cada setor”, uma vez que a cibersegurança e a segurança da informação são áreas “cada vez mais multidisciplinares” e exigem a colaboração de várias áreas dentro das organizações. A advogada explica que, muitas vezes, as empresas falham na implementação de obrigações regulatórias, seja na proteção de dados ou na segurança da informação, ou ainda no que diz respeito à documentação necessária para provar que os requisitos estão a ser cumpridos. Além disso, Mafalda de Brito Fernandes ressalta que a “segurança e monitorização da cadeia de abastecimento” têm sido uma “verdadeira dor de cabeça” para as organizações, dado que “estende a capacidade humana e/ ou tecnológica do serviço por elas prestado a entidades externas”.

A especialista aponta ainda que a falta de avaliações de risco adequadas e de cláusulas contratuais específicas para proteger dados e sistemas cria vulnerabilidades nas relações contratuais. Esta fragilidade é ainda mais acentuada pela “crescente complexidade das cadeias de abastecimento globais, onde a transparência e o controlo são limitados”. Neste contexto, a ISO 27002 pode ser um aliado importante, já que “auxilia as empresas a perceber qual o nível de maturidade que os seus fornecedores têm, utilizando os controlos desta norma para efetuar estas avaliações prévias e chegar a um nível de exposição ao risco na contratação de determinados fornecedores”.

A perspetiva da certificação

A SGS Portugal desempenha um papel fundamental na certificação de normas ISO, especialmente na ISO 27001, que está intimamente ligada à ISO 27002, e que, por sua vez, envolve uma avaliação rigorosa dos controlos de segurança implementados pela organização. Paulo Alexandre, Information Technology Manager da empresa, explica que a SGS realiza auditorias de conformidade para verificar se as organizações cumprem os requisitos estabelecidos pela ISO 27001. Além disso, a empresa oferece formações para capacitar as equipas na implementação e manutenção desses requisitos, contribuindo para a adoção das melhores práticas em segurança da informação.

Segundo Paulo Alexandre, a atualização da ISO 27002 em 2022 teve um impacto direto no processo de certificação da ISO 27001. A nova versão da ISO 27002 reorganizou os controlos de segurança, reduzindo o número de controlos de 114 para 93, e introduziu 11 novos controlos. Paulo Alexandre destaca que “essas mudanças exigem que as organizações revejam e atualizem os seus SGSI para garantir a conformidade contínua com a ISO 27001”. A atualização do Anexo A da ISO 27001, que agora se alinha com as revisões na ISO 27002, implica que as auditorias de certificação também considerem os novos controlos e a estrutura revista.

A “adoção da ISO 27002 em Portugal tem crescido de forma constante nos últimos anos”, sendo que a SGS observa um crescente interesse por parte de indústrias que lidam com “grandes volumes de dados sensíveis e que têm uma necessidade crítica de garantir a segurança da informação”. Setores como o de tecnologia da informação, financeiro, saúde, telecomunicações e o setor público são os que mais adotam esta norma.

Apesar de ser mais comum em grandes organizações, as PME também têm mostrado um interesse crescente na implementação da ISO 27002. Paulo Alexandre constata que esta procura surge com a “crescente consciencialização sobre a importância da segurança da informação”, bem como “a necessidade de cumprir regulamentações de proteção de dados”. Tendo em conta os recursos limitados que as PME podem sentir, a implementação desta norma pode ser desafiadora e, como resposta, o especialista refere que “existem programas de apoio e consultorias especializadas que as ajudam a implementar estas normas de forma mais acessível”.

Tendências futuras: convergência com regulamentações e IA

“As exigências regulatórias e as ciberameaças tornam-se mais complexas”, observa Paulo Alexandre, apontando para a necessidade de normas que garantam segurança e conformidade. Assim, normas como a ISO 27002, serão cada vez mais relevantes para as empresas portuguesas.

Alinhada com as exigências de regulamentos como o RGPD e a NIS2, esta norma “ajuda as organizações a identificar, avaliar e tratar riscos à segurança da informação, o que é um requisito fundamental, tanto do RGPD quanto da NIS2”, diz o especialista. Além disso, facilita auditorias e inspeções regulatórias ao proporcionar uma estrutura organizada para a implementação de medidas de proteção de dados.

Sérgio Martins, Partner de Advisory da KPMG Portugal

Podendo servir como uma estrutura comum para a conformidade com diversas normas, Sérgio Martins afirma que “quem já tenha uma implementação alinhada com a ISO 27002 está mais bem preparado para lidar com o RGPD ou a NIS2”. No entanto, alerta que a adoção da norma não é suficiente por si só, uma vez que “o RGPD e a NIS2 têm requisitos específicos que devem ser alvo de análise própria”, conclui.

O especialista acrescenta que, no futuro, será inevitável dar “mais ênfase a temas de inteligência artificial, tanto na vertente ofensiva como defensiva”, antecipando um impacto significativo na forma como as organizações protegem a sua informação. À medida que as ciberameaças evoluem, a inteligência artificial poderá ser utilizada tanto para reforçar mecanismos de defesa como para sofisticar ataques, tornando essencial a adoção de estratégias proativas. É neste contexto que a ISO 27002 poderá desempenhar um papel fundamental ao proporcionar um enquadramento para a integração de novas tecnologias na gestão de riscos e na implementação de controlos de segurança eficazes.

Deste modo, a ISO 27002 assume-se como uma ferramenta essencial para as organizações que pretendem reforçar a segurança da informação e assegurar a conformidade com as novas exigências regulatórias. O seu contributo para a gestão de riscos e a implementação de controlos de segurança consolida-a como um pilar fundamental para o futuro da cibersegurança empresarial.