O que é a ISO 27001?
Atualização: desde março de 2025, a Bitwarden é certificada pela ISO 27001 em conformidade com os conjuntos de controles da ISO 27001 relacionados à segurança de dados.
A ISO 27001, uma norma internacional, estabelece a base para criar, manter e desenvolver sistemas de gestão de segurança da informação (SGSI), incluindo o gerenciamento de dados. Empresas que buscam alcançar a conformidade ou a certificação ISO 27001 devem considerar adicionar gerenciamento de senhas ISO 27001 ao seu conjunto de ferramentas.
A International Organization for Standardization (ISO) é um grupo global que desenvolve e publica normas técnicas, industriais e comerciais em todo o mundo. Atualizada pela última vez em outubro de 2022, a norma ISO 27001 para SGSI oferece uma estrutura de segurança de dados composta por 93 conjuntos de controles. Para obter a certificação ISO 27001, as empresas precisam demonstrar conformidade com todos eles.
Para se certificar como uma empresa ISO 27001, é necessário cumprir 93 conjuntos de controles.
O processo de certificação ISO 27001 consiste em uma auditoria conduzida por organismos de certificação independentes que analisam as políticas e os procedimentos de segurança de dados da empresa, bem como a forma como são aplicados. O processo pode ser longo, mas ser aprovado em uma auditoria de certificação ISO 27001 demonstra que sua empresa realizou uma avaliação de riscos de segurança para identificar possíveis ameaças e implementou controles de segurança para se proteger contra violações de dados.
Os benefícios da certificação e da conformidade ISO 27001
A certificação ISO 27001 oferece às organizações uma vantagem competitiva para atrair e reter clientes, pois demonstra controles robustos de segurança da informação. A certificação também pode atrair e reter fornecedores e outras partes interessadas preocupadas com a forma como suas informações são gerenciadas e protegidas.
Até mesmo a preparação para o processo de auditoria pode fortalecer as políticas ISO 27001 existentes e melhorar sistemas internos, estruturas e processos de negócios do dia a dia. O processo de gerenciamento de riscos também pode ajudar as organizações a cumprir melhor leis de proteção de dados, como a CCPA e o GDPR, e evitar multas por não conformidade ou perda de reputação decorrente de uma violação de dados evitável.
Saiba mais sobre como sua empresa pode fortalecer suas práticas de cibersegurança para passar em auditorias de segurança.
Os conjuntos de controles da ISO 27001
Os 93 conjuntos de controles estão contidos no Anexo A e se enquadram em 4 temas maiores. Para obter a certificação ISO 27001, as empresas precisam demonstrar conformidade com esses controles. As categorias são:
Controles organizacionais (37 controles)
Controles de pessoas (8 controles)
Controles físicos (14 controles)
Controles tecnológicos (34 controles)
A versão anterior da ISO incluía 114 controles divididos em 14 categorias. Essa versão também incluía linguagem que regulamentava sistemas de logon seguro e de gerenciamento de senhas.
O controle de logon seguro especificava que “o acesso a sistemas e aplicativos deve ser controlado por um procedimento de logon seguro quando exigido pela Política de Controle de Acesso”. Com um gerenciador de senhas, os usuários se beneficiam ao adicionar outra camada de segurança aos logins e ter um único lugar para ajudar a gerenciar e integrar a autenticação de dois fatores em todos os sites que a suportam.
O controle de sistema de gerenciamento de senhas afirmava que “os sistemas de gerenciamento de senhas devem ser cooperativos para garantir a qualidade das senhas”. A ISO recomenda usar um gerenciador de senhas que permita aos usuários criar senhas fortes e únicas e ofereça recursos de compartilhamento seguro para colaboração.
Gerenciadores de senhas estabelecem a força das senhas, impõem a 2FA e usam logs de eventos para monitorar a atividade dos usuários — todas capacidades que as empresas precisam alcançar para atender aos requisitos da ISO de controle de acesso, proteção de PII e proteção de endpoints.
A versão mais recente da ISO 27001 aborda o gerenciamento de senhas no Anexo A 5.17. Há muitos requisitos adicionais do Anexo A que podem ser atendidos ou apoiados pela adoção de um gerenciador de senhas. Embora não seja uma lista exaustiva, alguns exemplos incluem:
Anexo A 5.3, Segregação de funções: Funções conflitantes e áreas de responsabilidade conflitantes devem ser segregadas.
Anexo A 5.14, Transferência de informações: Regras, procedimentos ou acordos de transferência de informações devem estar em vigor para todos os tipos de recursos de transferência dentro da organização e entre a organização e outras partes.
Anexo A 5.15, Controle de acesso: Regras para controlar o acesso físico e lógico às informações e a outros ativos associados devem ser estabelecidas e implementadas com base nos requisitos de negócios e de segurança da informação.
Anexo A 5.16, Gerenciamento de identidades: Todo o ciclo de vida das identidades deve ser gerenciado.
Anexo A 5.17, Informações de autenticação: A alocação e o gerenciamento de informações de autenticação devem ser controlados por um processo de gerenciamento, incluindo orientar o pessoal sobre as melhores práticas de manuseio de informações de autenticação.
Um guia detalhado sobre este critério apresenta recomendações de senhas com orientações sobre o gerenciamento de senhas, incluindo a capacidade de criar senhas seguras. Além disso, o objetivo recomenda que as organizações evitem credenciais fracas, amplamente usadas ou comprometidas.
Considerando esse critério, o ideal é que as organizações implementem um sistema de gerenciamento de senhas que permita gerar relatórios e obter insights acionáveis sobre senhas expostas, reutilizadas, fracas ou potencialmente comprometidas.
Anexo A 5.34, Privacidade e proteção de informações de identificação pessoal (PII): A organização deve identificar e atender aos requisitos relacionados à preservação da privacidade e à proteção de PII de acordo com as leis, os regulamentos e os requisitos contratuais aplicáveis.
Anexo A 8.1, Dispositivos de endpoint do usuário: As informações armazenadas, processadas ou acessíveis por meio de dispositivos de endpoint do usuário devem ser protegidas.
Anexo A 8.4, Acesso ao código-fonte: O acesso de leitura e gravação ao código-fonte, às ferramentas de desenvolvimento e às bibliotecas de software deve ser gerenciado adequadamente.
Anexo A 8.5, Autenticação segura: Tecnologias e procedimentos de autenticação segura devem ser implementados com base nas restrições de acesso às informações e na política específica sobre controle de acesso.
Este objetivo concentra-se no uso da autenticação multifator para fazer login com segurança nos sistemas. Com um gerenciador de senhas, os usuários se beneficiam ao adicionar outra camada de segurança aos logins e também ao contar com um único lugar para ajudar a gerenciar e integrar a autenticação de dois fatores (2FA) em todos os sites que oferecem suporte a ela. O objetivo também destaca que as senhas devem ser mantidas em sigilo o tempo todo, reforçando a importância de um cofre de senhas totalmente criptografado.
Os sistemas de gerenciamento de senhas permitem que as organizações identifiquem quaisquer itens em seus cofres com 2FA inativa.
Anexo A 8.11, Mascaramento de dados: O mascaramento de dados deve ser usado de acordo com a política específica da organização sobre controle de acesso e outras políticas específicas relacionadas, bem como os requisitos de negócio, levando em consideração a legislação aplicável.
Anexo A 8.12, Vazamento de dados: Medidas de prevenção contra vazamento de dados devem ser aplicadas a sistemas, redes e quaisquer outros dispositivos que processem, armazenem ou transmitam informações sensíveis.
Você sabia?
A Bitwarden oferece Relatórios de integridade do cofre que podem ajudar a promover práticas sólidas de cibersegurança e permitir que os funcionários identifiquem contas com proteção fraca.
Conquiste a certificação ISO 27001 com a ajuda de um gerenciador de senhas
Um sistema de gerenciamento de senhas dá suporte aos inúmeros requisitos do Anexo A listados acima, bem como a muitos dos requisitos incluídos nos conjuntos gerais de controles.
Os usuários podem manter informações de autenticação em segredo, aplicar práticas recomendadas de senhas como gerar senhas fortes e exclusivas, e compartilhar senhas com segurança com um gerenciador de senhas que protege informações sensíveis com criptografia de ponta a ponta. Ao limitar quem pode ver determinadas informações sensíveis ou críticas, os gerenciadores de senhas também ajudam a segregar funções e limitar ameaças internas.
Organizações que usam gerenciadores de senhas estabelecem requisitos de força de senha, aplicam autenticação de dois fatores (2FA), e usam logs de eventos para monitorar a atividade dos usuários — todos recursos que as empresas precisam implementar para atender aos requisitos da ISO de controle de acesso, proteção de PII e proteção de endpoints. A maioria dos gerenciadores de senhas confiáveis também facilita a integração com SSO, equipando os administradores com as ferramentas necessárias para gerenciar o acesso e o processo de autenticação. Essa capacidade ajuda a atender ao requisito da ISO de autenticação segura.
Ao avaliar gerenciadores de senhas para apoiar a certificação ISO 27001, as organizações devem verificar se o software segue padrões de segurança e conformidade de nível empresarial, como conformidade com SOC 2 Tipo 2, conformidade com o GDPR, o Data Privacy Framework e HIPAA. As empresas devem selecionar uma solução que ofereça criptografia de ponta a ponta com conhecimento zero.
Estudos de caso:
A Inventory Hive, uma plataforma de software líder em vistorias de imóveis e tours virtuais no Reino Unido, conquistou a certificação ISO 27001 com a Bitwarden.
Tanto o Bitwarden Secrets Manager quanto o Bitwarden Password Manager permitem que a Titanom Technologies demonstre resiliência em cibersegurança e seja considerada para a certificação ISO 27001.