Aprenda as etapas para alinhar seu programa de segurança na nuvem com a ISO 27001, o padrão para sistemas de gerenciamento de segurança da informação, e melhore sua postura, conformidade e resiliência de segurança na nuvem.

To align your cloud security program with ISO 27001, you need to do a gap analysis to find areas that need improvement. Then, you create a set of rules and controls called an ISMS that follows ISO 27001 standards. Implement the necessary safeguards and train your employees on cloud security. Regularly check your security measures through audits and aim to get ISO 27001 certification. This makes sure that your sensitive data is well-protected and risks are reduced in your cloud system.

ISO 27001 focuses on establishing, implementing, maintaining, and improving an information security management system (ISMS), conducing a risk assessment to identify the threats and vulnerabilities that could compromise your information assets in the cloud is a vital step and it covers three main pillars. Confidentiality: Organizations need to define who can access cloud data. Also, only authorized persons should be able to access information. Integrity: Changes in the cloud infrastructure, applications and data can be made by an authorized person only. Availability: Cloud services and data should be available to the authorized person whenever requested.

Great advise, while conducting this assessment be sure to look at your SaaS ecosystem as well. Understanding the shared responsibility model for IaaS, PaaS and SaaS are essential to ensure who’s responsible for securing what.

Como alinhar seu programa de segurança na nuvem com a ISO 27001

1 Entenda o escopo

O primeiro passo é definir o escopo do seu programa de segurança na nuvem e o SGSI. Isso significa identificar os limites e o contexto de seus ativos de informações, como os serviços de nuvem, dados, processos e partes interessadas envolvidas. Você também precisa determinar os requisitos legais, regulamentares e contratuais aplicáveis que afetam seu programa de segurança na nuvem. O âmbito de aplicação deve ser claramente documentado e comunicado a todas as partes interessadas.

Adicione sua opinião

Rufaro Richard Tyoka CISSP, CISA, ITIL

Cyber Security Practitioner | IT Risk Advisor
Denunciar contribuição
To align your cloud security program with ISO 27001, you need to do a gap analysis to find areas that need improvement. Then, you create a set of rules and controls called an ISMS that follows ISO 27001 standards. Implement the necessary safeguards and train your employees on cloud security. Regularly check your security measures through audits and aim to get ISO 27001 certification. This makes sure that your sensitive data is well-protected and risks are reduced in your cloud system.

Traduzido

Gostei
Jeiziel S.

LinkedIn Top Voice | Especialista em Segurança da Informação e Cybersecurity | Consultor | GRC | CSIRT/CTI | SOC-MSS | EDR/XDR & SOAR/SIEM (SENTINEL/QRADAR/SPLUNK/ELASTIC/CORTEX/STELLAR ) | IA (DARKTRACE/CROWDSTRIKE)
Denunciar contribuição
Para alinhar seu programa de segurança na nuvem com a ISO 27001, é essencial primeiro compreender a norma e definir o escopo do Sistema de Gestão de Segurança da Informação (SGSI), incluindo serviços e dados na nuvem. Prossiga com uma avaliação de riscos detalhada para identificar e mitigar potenciais vulnerabilidades, seguida pela implementação de controles de segurança relevantes e a elaboração de uma Declaração de Aplicabilidade. É crucial também promover treinamento e conscientização entre os colaboradores, além de estabelecer processos de monitoramento e revisão contínua do SGSI.

Gostei
Bruno Barbalho

Gerente de Segurança da Informação | Cibersegurança | Governança | Riscos e Compliance | Infraestrutura | Defesa Cibernética | Liderança | Segurança Digital | CISM | MBA | Threat Intelligence |
Denunciar contribuição
é fundamental seguir algumas etapas importantes. Primeiramente, é necessário compreender os requisitos da ISO 27001 e identificar como eles se aplicam ao ambiente de nuvem da organização. Em seguida, é crucial realizar uma avaliação abrangente dos riscos de segurança da informação específicos da nuvem, levando em consideração os controles e salvaguardas necessários. Posteriormente, é importante desenvolver e implementar políticas, procedimentos e controles de segurança adequados, alinhados com os requisitos da ISO 27001 e adaptados ao ambiente de nuvem.

Gostei
Estefanía Paola C.

Security Architect @ Banco General | AWS Security, MBA, Information Security
Denunciar contribuição
It is imperative to determine the scope. I would recommend looking for specific critical path processes of the organization that you are interested for applying the whole ISMS. After you defined the business scope you can follow with the technical aspects that support said process(es)

Traduzido

Gostei
Umar Shadeed M K

Information Security Leader | GRC Expert | CISSP | ISO 27001 Lead Auditor | ISO 27001 Lead Implemeter | CEH | ADHICS | ISR
Denunciar contribuição
To align your cloud security program with ISO 27001, start by defining your program's scope and conducting a cloud-specific risk assessment. Implement controls from ISO 27001 Annex A, tailored to your cloud environment. Set clear security objectives and track them with relevant metrics. Train employees on cloud security, monitor your system, and have incident response and continuity plans in place. Continuously review and improve your security posture based on audit results and identified weaknesses.

Traduzido

Gostei

Carregar mais contribuições

2 Realizar uma avaliação de risco

A próxima etapa é realizar uma avaliação de risco para identificar as ameaças e vulnerabilidades que podem comprometer seus ativos de informações na nuvem. Você precisa analisar a probabilidade e o impacto de cada risco, e priorizá-los de acordo com seu apetite de risco e critérios. Você também precisa documentar o processo, os métodos e os resultados da avaliação de risco e atualizá-los regularmente.

Adicione sua opinião

ossama rashad

Director technology and cybersecurity expert - Internal Audit Head @ CIB Egypt | CISM, CISA, MBA
Denunciar contribuição
ISO 27001 focuses on establishing, implementing, maintaining, and improving an information security management system (ISMS), conducing a risk assessment to identify the threats and vulnerabilities that could compromise your information assets in the cloud is a vital step and it covers three main pillars. Confidentiality: Organizations need to define who can access cloud data. Also, only authorized persons should be able to access information. Integrity: Changes in the cloud infrastructure, applications and data can be made by an authorized person only. Availability: Cloud services and data should be available to the authorized person whenever requested.

Traduzido

Gostei
Viktor Churak

Senior Vice President Information Tecnology, Customer Data Governance Officer, ITIL3 Expert, ITIL4 Managing Professional
Denunciar contribuição
The risk management is a cornerstone of each management system, including ISMS, the way how you identify, classify risks and map them to controls might either simplify or complicate getting ISO27001. Use tailored approach that provides you just enough level of details to keep all the parts of the certification together. Having too complicated risk management might cause significant overheads for your program when having too simplified model might not provide you information for continuous improvement. Anyway, a good practice would be to map risks to Annex A statement to make them more tangible.

Traduzido

Gostei
Kalpa Kalhara Sampath

Cyber Security Researcher | Lecturer | Educator | Mentor | Ethical Hacking and Digital Forensic Trainer | Machine Learning Enthusiast | Lifelong Learner | MCT | CCAI
Denunciar contribuição
While conducting a risk assessment can be challenging, it is essential to a robust information security management system. It provides valuable insights to guide decision-making and resource allocation in the organization’s information security program.

Traduzido

Gostei
Bruno Barbalho

Gerente de Segurança da Informação | Cibersegurança | Governança | Riscos e Compliance | Infraestrutura | Defesa Cibernética | Liderança | Segurança Digital | CISM | MBA | Threat Intelligence |
Denunciar contribuição
Além disso, a realização de auditorias internas regulares e a busca de certificação ISO 27001 são passos essenciais para garantir a conformidade contínua e a eficácia do programa de segurança na nuvem.

Gostei
Felipe L. Monteiro

Especialista em Segurança da Informação e Cybersecurity | Protegendo o Setor de Energia
Denunciar contribuição
The next step is to conduct a risk assessment to identify threats and vulnerabilities that could compromise your cloud information assets. You need to analyze the likelihood and impact of each risk and prioritize them according to your risk appetite and criteria. Additionally, you need to document the process, methods, and results of the risk assessment and update them regularly.

Traduzido

Gostei

Carregar mais contribuições

3 Implementar controles

O terceiro passo é implementar controles para mitigar os riscos identificados na avaliação de riscos. Os controles são as medidas e ações que você toma para proteger seus ativos de informações, como políticas, procedimentos, ferramentas e tecnologias. A ISO 27001 fornece uma lista de 114 controles no Anexo A, abrangendo 14 domínios de segurança da informação. Você pode escolher os controles que são relevantes e aplicáveis ao seu programa de segurança na nuvem, com base em sua avaliação de risco e escopo. Você também precisa documentar como implementar, monitorar e revisar os controles.

Adicione sua opinião

Kashish Dewan

Senior@EY | Technology Risk | CISA | CISM
(editado)
Denunciar contribuição
It is very important to understand how the cloud environment is deployed and what type of service we are leveraging. If a public cloud environment is being utilized, we should note that to align our program with reference to ISO 27001, control implementation support would be required from the cloud provider for multiple control areas as their internal policies would be applicable to the environment. Hence, if mandatory, compliance to implement standards such as ISO 27k should be included as a part of the contract with the cloud provider. On the other hand, if an internal cloud environment is in use, the responsibility would fall on the sole organization to implement all 114 controls from ISO 27k as per their own policies and procedures.

Traduzido

Gostei
Joseph K.
Denunciar contribuição
Mapping the security controls from NIST Special Publication 800-53 to those in ISO/IEC 27001 enhances understanding of complex systems and provides insight to risk management."The file can be found here: https://csrc.nist.rip/csrc/media/publications/sp/800-53/rev-5/final/documents/sp800-53r5-to-iso-27001-mapping.docx

Traduzido

Gostei
Felipe L. Monteiro

Especialista em Segurança da Informação e Cybersecurity | Protegendo o Setor de Energia
Denunciar contribuição
The third step is to implement controls to mitigate the risks identified in the risk assessment. Controls are the measures and actions you take to protect your information assets, such as policies, procedures, tools, and technologies. ISO 27001 provides a list of 114 controls in Annex A, covering 14 information security domains. You can choose the controls that are relevant and applicable to your cloud security program, based on your risk assessment and scope. Additionally, you need to document how to implement, monitor, and review the controls.

Traduzido

Gostei

4 Estabeleça objetivos e métricas

O quarto passo é estabelecer objetivos e métricas para medir o desempenho e a eficácia do seu programa de segurança na nuvem e ISMS. Os objetivos são as metas específicas e mensuráveis que você deseja alcançar, como melhorar sua postura de segurança na nuvem, conformidade ou resiliência. As métricas são os indicadores e dados que você usa para acompanhar e avaliar seu progresso, como indicadores-chave de desempenho (KPIs), indicadores-chave de risco (Kris), ou auditorias. Você precisa alinhar seus objetivos e métricas com sua estratégia de negócios e expectativas das partes interessadas, e revisá-los regularmente.

Adicione sua opinião

Felipe L. Monteiro

Especialista em Segurança da Informação e Cybersecurity | Protegendo o Setor de Energia
Denunciar contribuição
The fourth step is to establish objectives and metrics to measure the performance and effectiveness of your cloud security program and ISMS. Objectives are specific and measurable goals you aim to achieve, such as improving your cloud security posture, compliance, or resilience. Metrics are the indicators and data you use to track and evaluate your progress, such as key performance indicators (KPIs), key risk indicators (KRIs), or audits. You need to align your objectives and metrics with your business strategy and stakeholder expectations, and review them regularly.

Traduzido

Gostei

5 Treinar e educar

O quinto passo é treinar e educar sua equipe e partes interessadas sobre seu programa de segurança na nuvem e ISMS. O treinamento e a educação são essenciais para aumentar a conscientização, aprimorar habilidades e promover uma cultura de segurança entre seus funcionários, parceiros, clientes e fornecedores. Você precisa projetar e fornecer programas de treinamento e educação adaptados às funções, responsabilidades e necessidades do seu público-alvo e que abranjam tópicos como políticas de segurança na nuvem, procedimentos, riscos, controles e práticas recomendadas. Você também precisa avaliar a eficácia e o feedback de seus programas de treinamento e educação e melhorá-los de acordo.

Adicione sua opinião

Felipe L. Monteiro

Especialista em Segurança da Informação e Cybersecurity | Protegendo o Setor de Energia
Denunciar contribuição
The fifth step is to train and educate your team and stakeholders about your cloud security program and ISMS. Training and education are essential for increasing awareness, enhancing skills, and fostering a culture of security among your employees, partners, customers, and suppliers. You need to design and provide training and education programs tailored to the roles, responsibilities, and needs of your target audience and covering topics such as cloud security policies, procedures, risks, controls, and best practices. You also need to assess the effectiveness and feedback of your training and education programs and improve them accordingly.

Traduzido

Gostei
Reza Ameri
Denunciar contribuição
Training is important and you need to help users to adapt the standard and put it into practice. You will need to give them time to learn and get adapt.

Traduzido

Gostei

6 Melhorar continuamente

A etapa final é melhorar continuamente seu programa de segurança na nuvem e ISMS. A melhoria contínua é o processo de monitoramento, medição, revisão e atualização de seu programa de segurança na nuvem e SGSI, com base nos resultados de seus objetivos, métricas, auditorias e feedback. Você precisa identificar as lacunas, fraquezas e oportunidades de melhoria e implementar ações corretivas e preventivas para resolvê-las. Você também precisa adaptar seu programa de segurança na nuvem e o SGSI às mudanças no ambiente interno e externo, como novas tecnologias, ameaças, regulamentações ou necessidades de negócios.

Adicione sua opinião

Daniel Stith
Denunciar contribuição
You also need a regulary scheduled 'true up' to make sure you've captured any regulatory or compliance requirements. Also a senior managememt 'boot camp' held quarterly or semi-annually to make sure you continue getting their buy-in and support for the necessary policies and systems.

Traduzido

Gostei

7 Veja o que mais considerar

Este é um espaço para compartilhar exemplos, histórias ou insights que não se encaixam em nenhuma das seções anteriores. O que mais gostaria de acrescentar?

Adicione sua opinião

Eric Egger

People Leader | Enterprise SaaS Security | Prevent data exposure and security gaps | ITDR | Zero Trust Posture Management
Denunciar contribuição
Great advise, while conducting this assessment be sure to look at your SaaS ecosystem as well. Understanding the shared responsibility model for IaaS, PaaS and SaaS are essential to ensure who’s responsible for securing what.

Traduzido

Gostei
Chamuditha Uduwella

CISA | CDPSE | ISO 27001 LA | CC | BIT | IABF | IT Audit | GRC
Denunciar contribuição
It is recommended to establish a cloud security procedure with detailed processes and controls in place to secure the cloud. Designate responsible personnel to manage security aspects. This procedure should be periodically reviewed and updated to align with evolving requirements and advancements in the cloud environment. (ISO 27001 states that all key IT functions should have documented procedures to increase operative effectiveness - clause 7.5).

Traduzido

Gostei
Diogo Bulhoes

Mentor e Coach de Carreira e Liderança | Especialista em Cybersecurity | Ajudo profissionais de Tecnologia a crescerem na carreira, assumirem cargos de liderança, vendas e se tornarem Trusted Advisors.
Denunciar contribuição
To align your cloud security program with ISO 27001, start by conducting a comprehensive risk assessment focusing on cloud-specific risks. Develop and implement cloud security policies that address identified risks and ISO 27001 controls. Ensure data encryption, access controls, and secure data transfer. Regularly audit cloud environments against ISO 27001 requirements, and train staff on cloud security best practices. Establish incident management and business continuity plans that comply with ISO 27001 standards. Continuously monitor, review, and update security measures to maintain alignment.

Traduzido

Gostei
Sumair Yousuf

Manager Cyber GRC and Awareness @ NSW Treasury | GRC, Security Architecture, Awareness
(editado)
Denunciar contribuição
Alignment requires ongoing commitment and auditing. You can always achieve alignment when security is shifted to the left and not an afterthought. Understanding the scope and business requirements are key to achieve alignment to any security standards. Lot of the blue prints provided by CSPs are already in alignment with industry standards which is pretty much work done. Alignment can only be achieved with continous monitoring and improvement, periodic auditing and conducting gap analysis to identify current state wrt target state.

Traduzido

Gostei
Bruno Barbalho

Gerente de Segurança da Informação | Cibersegurança | Governança | Riscos e Compliance | Infraestrutura | Defesa Cibernética | Liderança | Segurança Digital | CISM | MBA | Threat Intelligence |
Denunciar contribuição
É crucial estabelecer uma cultura organizacional de segurança da informação, promovendo a conscientização e o engajamento de todos os colaboradores em relação às práticas de segurança na nuvem. Isso pode incluir treinamentos regulares, comunicações claras sobre políticas e procedimentos de segurança, e incentivos para o cumprimento das diretrizes estabelecidas. Além disso, é importante monitorar continuamente o ambiente de nuvem, avaliar a eficácia dos controles implementados e realizar atualizações conforme necessário para garantir que o programa de segurança na nuvem permaneça resiliente e adaptado às mudanças nas ameaças e tecnologias.

Gostei

Quais são as etapas para alinhar seu programa de segurança na nuvem com a ISO 27001?

1

2

3

4

5

6

7

1 Entenda o escopo

2 Realizar uma avaliação de risco

3 Implementar controles

4 Estabeleça objetivos e métricas

5 Treinar e educar

6 Melhorar continuamente

7 Veja o que mais considerar

Segurança da informação

Classificar este artigo

Agradecemos seu feedback

Outros artigos sobre Segurança da informação

Leitura mais relevante

Quais são as etapas para alinhar seu programa de segurança na nuvem com a ISO 27001?

1

2

3

4

5

6

7

1 Entenda o escopo

2 Realizar uma avaliação de risco

3 Implementar controles

4 Estabeleça objetivos e métricas

5 Treinar e educar

6 Melhorar continuamente

7 Veja o que mais considerar

Segurança da informação

Classificar este artigo

Agradecemos seu feedback

Conhecer outras competências