A ISO 27001 oferece às organizações uma forma estruturada de gerenciar a segurança da informação: identificar o que está sendo protegido, avaliar o que pode dar errado e implementar controles para mitigar esses riscos. A certificação é o resultado, mas o valor real está no Sistema de Gestão de Segurança da Informação (SGSI) que se constrói para chegar lá. Este guia aborda as seis etapas, prazos realistas e os erros que costumam atrasar o processo.
A ISO 27001 é o padrão internacional para Sistemas de Gestão de Segurança da Informação (SGSI). Ela estabelece uma estrutura para como uma organização identifica, avalia e gerencia os riscos de segurança da informação. Obter a certificação significa que um auditor terceirizado e acreditado verificou que seu SGSI cumpre integralmente os requisitos da norma.
O padrão tem duas partes principais. As cláusulas principais (4 a 10) abrangem a governança: compromisso da liderança, metodologia de avaliação de riscos, objetivos, documentação e revisão de gestão. O Anexo A contém 93 controles em quatro temas: organizacional, pessoas, físico e tecnológico. Não é necessário implementar todos os controles. É necessário justificar quais os controles que se aplicam ao seu perfil de risco e documentar o motivo pelo qual excluiu os que não se aplicam.
A atualização de 2022 do padrão (ISO/IEC 27001:2022) substituiu o antigo Anexo A de 114 controles por 93 controles consolidados. Se estiver a iniciar a implementação agora, está trabalhando com a versão de 2022.
Não é necessário certificar toda a organização. Muitas organizações certificam uma linha de serviço ou produto específica, o que mantém o escopo gerível e reduz a complexidade da auditoria. Defina o escopo cuidadosamente desde o início: é difícil reduzi-lo uma vez que o projeto está em curso.
ISO 27001 não é legalmente obrigatório na maioria dos setores. As empresas perseguem-no por quatro razões principais:
Se nenhuma destas situações se aplica ao seu caso, a ISO 27001 pode não ser a prioridade certa. Uma avaliação de segurança direcionada ou um framework mais simples pode proporcionar mais valor com menos esforço no curto prazo.
O caminho desde a decisão até à certificação segue tipicamente seis etapas, independentemente do tamanho da organização.
A fase de avaliação de lacunas e de definição do escopo demora tipicamente duas a quatro semanas. A construção da documentação do SGSI leva quatro a oito semanas, dependendo do que já existe. O período de implementação e operação, onde se executa o SGSI e se geram evidências, deve ser de pelo menos três meses. A auditoria interna demora uma a duas semanas. As auditorias de certificação da Fase 1 e da Fase 2 são habitualmente agendadas com dois a quatro semanas de intervalo.
A causa mais comum de atrasos é o alargamento do escopo ou a sobreengenharia da documentação. As políticas escritas para uma empresa de 10 pessoas não precisam de ter 40 páginas. A proporcionalidade está incorporada no padrão.
Muitas organizações tentam implementar todos os 93 controles independentemente de se aplicarem ou não. A Declaração de Aplicabilidade existe precisamente para permitir excluir controles que não são relevantes para seu perfil de risco. Uma pequena empresa de software sem linha de produtos físicos não precisa de controles de segurança física e ambiental concebidos para um centro de dados.
A ISO 27001 tem três componentes de custo: consultoria externa (opcional), ferramentas de automação e taxas do organismo certificador. As faixas abaixo são indicativas e variam conforme o escopo e o tamanho da organização no mercado brasileiro.
As organizações que tratam mais do trabalho internamente reduzem significativamente a componente de consultoria. As que partem de uma base sólida (políticas de segurança existentes, inventário de ativos documentado, processos de controle de acesso estabelecidos) também avançam mais rapidamente e gastam menos.
As auditorias anuais de monitoramento do organismo certificador custam tipicamente entre R$ 9.000 e R$ 25.000, dependendo do tamanho e do escopo da organização. A auditoria completa de recertificação no terceiro ano tem um custo semelhante ao da Fase 2 original.
"O padrão é escalável. Uma empresa de serviços profissionais com 15 pessoas e uma empresa SaaS com 150 precisam de implementações de SGSI diferentes, e o padrão acomoda ambas. O erro é tratá-lo como um exercício empresarial de tamanho único."
A certificação não é um projeto único. O padrão exige melhoria contínua, e seu certificado depende de demonstrar que o SGSI permanece eficaz ao longo do tempo.
No primeiro ano após a certificação, foque-se em incorporar o SGSI nas operações normais: garanta que as revisões de gestão acontecem, os incidentes são registados e analisados, e o registo de riscos é atualizado quando sua empresa ou o panorama de ameaças muda. A rotatividade de pessoal é a causa mais comum de deriva do SGSI, por isso incorpore a formação de sensibilização no seu processo de integração.
As auditorias de monitoramento ocorrem aproximadamente a intervalos de 12 meses. Analisam um subconjunto dos controles e verificam se as não conformidades da auditoria anterior foram tratadas. São menos intensivas do que a Fase 2 original, mas requerem evidências atualizadas.
No terceiro ano, realiza uma auditoria completa de recertificação. As organizações que mantêm ativamente seu SGSI durante os três anos consideram a recertificação direta. As que deixam a documentação desatualizada e só atualizam os registos nas semanas antes da auditoria tendem a achá-la stressante e dispendiosa.
O primeiro passo mais valioso é uma avaliação de lacunas. Antes de se comprometer com um prazo ou orçamento de projeto, é necessário compreender a distância entre onde está agora e onde o ISO 27001 exige que esteja. Uma avaliação de lacunas demora tipicamente uma a duas semanas e fornece um plano de projeto claro com o esforço estimado por área de trabalho.
Se está considerando a ISO 27001 porque um cliente solicitou, comece por entender o prazo do cliente e quais requisitos mínimos podem ser atendidos no período intermediário enquanto trabalha para a certificação completa.
A equipe de auditorias e conformidade da Cyvra realiza análises de gaps ISO 27001 e apoia empresas brasileiras em todo o processo de certificação, desde a definição do escopo até a preparação para a auditoria de Fase 2. Se quiser entender como é seu caminho para a certificação, fale conosco para uma conversa inicial.
ISO/IEC 27001:2022 é publicado pela Organização Internacional de Normalização. Os recursos de boas práticas de cibersegurança da ENISA incluem orientações de implementação que complementam os objetivos de controle da norma para organizações no início da sua jornada SGSI.
A Cyvra trabalha com organizações de todas as dimensões que precisam da ISO 27001 para atender a um requisito de cliente, cumprir exigências regulamentares ou construir uma maturidade de segurança demonstrável. A maioria chega até nós com um motivo específico: uma equipe de compras que o exige, um novo contrato que o requer, ou uma decisão do conselho de obter a certificação este ano.
Um projeto cobre todo o ciclo, desde a definição do escopo até à preparação para a auditoria de Fase 2. A Cyvra realiza a análise de lacunas, desenvolve a documentação do SGSI, apoia a implementação de controles, conduz a auditoria interna e prepara-o perante o organismo de certificação. Permanecemos envolvidos até obter seu certificado.
O que recebe durante o projeto:
Após a certificação, a Cyvra presta apoio contínuo para as auditorias de monitoramento anuais e manutenção do registo de riscos. As organizações que passam pela recertificação sem dificuldades no terceiro ano são aquelas que mantiveram o SGSI atualizado ao longo do tempo.
Se um cliente solicitou a ISO 27001 ou se tem um prazo de certificação em mente, entre em contacto. O primeiro passo é uma breve chamada para compreender sua situação antes de recomendarmos uma abordagem.
O prazo varia de 6 a 9 meses para empresas que já possuem uma base de segurança razoável, e de 9 a 12 meses para organizações que estão começando do zero com controles e documentação mínimos.
Os custos variam conforme o escopo e tamanho da empresa. Investimentos típicos incluem: análise de gaps (R$ 30.000 a R$ 90.000), documentação e implementação (R$ 30.000 a R$ 100.000) e taxas do organismo certificador para Fase 1 e Fase 2 (R$ 18.000 a R$ 50.000). As organizações que conduzem mais trabalho internamente reduzem significativamente a componente de consultoria.
A Declaração de Aplicabilidade (SoA) é o documento obrigatório que lista quais dos 93 controles do Anexo A se aplicam ao perfil de risco da sua empresa e justifica a exclusão dos que não se aplicam. É um dos documentos mais analisados pelos auditores e deve refletir decisões reais de avaliação de riscos, não um modelo genérico.
Não é obrigatório, mas contar com apoio especializado acelera o processo, evita a criação de um SGSI superdimensionado e garante maior índice de aprovação nas auditorias de Fase 1 e Fase 2. A maioria das pequenas e médias empresas no Brasil não possui equipe de segurança dedicada internamente.
Uma avaliação de lacunas fornece um plano de projeto, prazo e estimativa de custos antes de assumir qualquer compromisso.
Aviso legal: Este artigo destina-se apenas a fins informativos gerais e não constitui aconselhamento jurídico, regulatório ou profissional. A Cyvra não oferece garantias quanto à exatidão ou integralidade deste conteúdo, que pode não refletir os desenvolvimentos regulatórios mais recentes. Os leitores devem procurar aconselhamento jurídico e regulatório independente adequado às suas circunstâncias específicas. A Cyvra não aceita qualquer responsabilidade por perdas decorrentes da dependência deste conteúdo.