ISO 27001 — O que é e como implementar a gestão da segurança da informação

Lucas · · Atualizado em

Vazamento de dados, sequestro de sistemas por ransomware, multas da LGPD — os riscos relacionados à segurança da informação deixaram de ser um problema exclusivo de empresas de tecnologia. Qualquer organização que lida com dados de clientes, contratos ou informações internas precisa tratar a segurança da informação com seriedade. E é exatamente isso que a ISO 27001 propõe: um caminho estruturado para proteger as informações que importam para o seu negócio.

O que é a ISO 27001

A ISO/IEC 27001 é uma norma internacional que define os requisitos para estabelecer, implementar, manter e melhorar continuamente um Sistema de Gestão da Segurança da Informação (SGSI). Publicada pela ISO (International Organization for Standardization) em parceria com a IEC (International Electrotechnical Commission), a norma está na sua versão mais recente de 2022.

Na prática, a ISO 27001 não diz qual firewall usar ou qual antivírus instalar. Ela estabelece um modelo de gestão — processos, responsabilidades, análise de riscos e controles — para que a organização identifique suas vulnerabilidades e trate os riscos de forma sistemática. A tecnologia é uma parte da equação, mas a norma olha para a organização como um todo: pessoas, processos e infraestrutura.

É importante não confundir a ISO 27001 com a ISO 27002. Enquanto a 27001 define os requisitos do sistema de gestão (o que precisa ser feito), a 27002 é um guia de boas práticas com orientações detalhadas sobre os controles de segurança (como fazer). As duas são complementares.

Por que certificar na ISO 27001

A certificação na ISO 27001 não é obrigatória por lei, mas há razões concretas pelas quais cada vez mais organizações buscam essa certificação:

  • Confiança de clientes e parceiros — empresas certificadas demonstram que tratam a segurança da informação com processo e não com improviso. Em setores como financeiro, saúde e governo, isso é frequentemente um critério de seleção de fornecedores;
  • Exigência em licitações e contratos — órgãos públicos e grandes empresas têm incluído a certificação ISO 27001 como requisito ou diferencial em processos licitatórios. O Provimento Conjunto n.º 74/2018 do CNJ, por exemplo, traz exigências de segurança da informação para cartórios que se alinham diretamente com a norma;
  • Conformidade com a LGPD — a Lei Geral de Proteção de Dados exige que organizações adotem medidas técnicas e administrativas para proteger dados pessoais. Ter um SGSI implementado demonstra diligência e pode ser um atenuante em caso de incidentes;
  • Redução de incidentes — a análise de riscos e os controles implementados reduzem a probabilidade e o impacto de incidentes de segurança. Não elimina o risco (nada elimina), mas torna a organização mais preparada;
  • Organização interna — o processo de implementação força a organização a mapear seus ativos de informação, entender seus processos e definir responsabilidades. Muitas empresas relatam que o maior ganho da certificação foi colocar a casa em ordem.

Estrutura da norma

A ISO 27001 segue a estrutura de alto nível (HLS) comum a outras normas ISO de sistemas de gestão, como a ISO 9001 (qualidade) e a ISO 14001 (meio ambiente). Isso facilita a integração entre sistemas. Os requisitos estão organizados nas cláusulas 4 a 10:

Cláusula 4 — Contexto da organização

Entender o ambiente em que a organização opera, as necessidades das partes interessadas (clientes, reguladores, colaboradores) e definir o escopo do SGSI. Nem toda a organização precisa entrar no escopo de uma vez — é possível começar por uma área ou processo crítico.

Cláusula 5 — Liderança

A alta direção precisa estar comprometida. Isso significa definir uma política de segurança da informação, atribuir responsabilidades e garantir que o SGSI receba os recursos necessários. Sem o apoio da liderança, o sistema não funciona.

Cláusula 6 — Planejamento

Aqui entra a análise de riscos, que é o coração da norma. A organização deve identificar riscos e oportunidades relacionados à segurança da informação, avaliar a probabilidade e o impacto de cada risco, e definir um plano de tratamento. A Declaração de Aplicabilidade (SoA) lista quais controles do Anexo A serão aplicados e justifica eventuais exclusões.

Cláusula 7 — Apoio

Recursos, competências, conscientização e comunicação. A organização precisa garantir que as pessoas envolvidas no SGSI tenham a competência necessária e que haja um programa de conscientização sobre segurança da informação. A documentação do sistema também é definida aqui.

Cláusula 8 — Operação

Execução do plano de tratamento de riscos e dos controles definidos. É o “fazer acontecer” — implementar as ações planejadas e manter os controles operacionais.

Cláusula 9 — Avaliação de desempenho

Monitoramento, medição, auditoria interna e análise crítica pela direção. A organização precisa verificar se o SGSI está funcionando como esperado e se os objetivos de segurança estão sendo atingidos.

Cláusula 10 — Melhoria

Tratar não conformidades, implementar ações corretivas e buscar a melhoria contínua do sistema. Quando algo dá errado, a causa raiz precisa ser investigada e tratada — não basta apagar o incêndio.

Anexo A — Controles de segurança

A versão 2022 da norma traz 93 controles organizados em 4 categorias: organizacionais, pessoais, físicos e tecnológicos. Esses controles cobrem desde políticas de segurança e gestão de acessos até criptografia, backup e resposta a incidentes. A organização não precisa implementar todos — apenas os que forem relevantes de acordo com sua análise de riscos.

Como implementar na prática

A implementação de um SGSI pode parecer complexa à primeira vista, mas fica mais gerenciável quando dividida em etapas:

  1. Diagnóstico inicial — avalie a situação atual da organização em relação à segurança da informação. O que já existe? Quais são as maiores lacunas? Esse levantamento direciona o trabalho;

  2. Definição do escopo — determine quais áreas, processos ou unidades serão cobertos pelo SGSI. Começar com um escopo menor e expandir gradualmente costuma ser mais realista do que tentar abraçar tudo de uma vez;

  3. Análise de riscos — identifique os ativos de informação (dados, sistemas, documentos), as ameaças e vulnerabilidades associadas, e avalie o nível de risco. Existem diversas metodologias para isso — o importante é que seja sistemática e documentada;

  4. Declaração de Aplicabilidade (SoA) — com base na análise de riscos, defina quais controles do Anexo A serão implementados e justifique as exclusões;

  5. Implementação dos controles — coloque em prática as políticas, procedimentos e controles técnicos definidos. Isso inclui desde a criação de políticas de segurança até a configuração de controles de acesso e backup;

  6. Treinamento e conscientização — capacite os colaboradores sobre suas responsabilidades no SGSI e sobre as práticas de segurança da informação. De nada adianta ter políticas se as pessoas não conhecem ou não seguem;

  7. Auditoria interna — antes de buscar a certificação, realize uma auditoria interna para identificar não conformidades e oportunidades de melhoria. Corrija o que for necessário;

  8. Certificação — contrate um organismo de certificação acreditado para realizar a auditoria externa. A auditoria acontece em duas fases: análise da documentação (Fase 1) e verificação da implementação na prática (Fase 2).

Erros comuns na implementação

Alguns padrões se repetem em organizações que enfrentam dificuldades com a ISO 27001:

  • Tratar como projeto de TI — a segurança da informação não é responsabilidade apenas do departamento de tecnologia. A norma exige o envolvimento da alta direção e abrange processos de toda a organização. Se o SGSI ficar restrito ao TI, vai faltar aderência nos demais setores;

  • Documentação excessiva sem prática — criar pilhas de documentos que ninguém lê ou segue não atende aos requisitos da norma. A documentação precisa refletir o que realmente acontece na organização. Menos documentos bem aplicados valem mais do que muitos documentos ignorados;

  • Não envolver a liderança — sem o comprometimento da alta direção, o SGSI perde prioridade, recursos e credibilidade. A cláusula 5 da norma existe por um motivo: liderança é requisito, não sugestão;

  • Ignorar a análise de riscos — copiar controles de outra organização ou implementar todos os controles do Anexo A sem critério é desperdício de recursos. Os controles devem ser selecionados com base nos riscos reais da sua organização;

  • Esquecer da melhoria contínua — conseguir a certificação é o começo, não o fim. O SGSI precisa ser mantido, monitorado e melhorado continuamente. A recertificação acontece a cada três anos, com auditorias de manutenção anuais.

Próximos passos

Se a sua organização precisa implementar um SGSI ou já está no caminho da certificação ISO 27001, ter uma ferramenta que organize esse processo faz diferença. O SIG Virtual foi desenvolvido justamente para isso — ele estrutura todo o sistema de gestão da segurança da informação seguindo os requisitos da norma, do contexto da organização até a auditoria interna, com documentos orientativos e modelos prontos para adaptar à sua realidade.

Para entender como o SIG Virtual integra a segurança da informação com outros sistemas de gestão, veja o artigo O que é o SIG Virtual e por que utilizar. Se a sua organização também precisa estruturar a gestão de pessoas, o SIG Virtual cobre isso no mesmo ambiente.

Faça o teste gratuito do SIG Virtual e veja como fica mais simples manter o SGSI da sua organização em dia. Confira nossos planos e preços ou entre em contato com a equipe.

Quer ver o SIG Virtual funcionando?

Teste grátis e veja se faz sentido pra sua empresa.

Testar Grátis