ISO 27001

0:00 / 0:00

A ISO/IEC 27001 é a norma internacional de gestão da segurança da informação. Não é uma lista de regras técnicas ("use TLS 1.3", "force MFA") — é um sistema de gestão: um jeito de organizar como uma empresa identifica risco de informação, decide o que fazer e prova que fez. Empresa certificada ganha confiança de cliente, abre porta pra contrato grande e pra mercado regulado (banco, saúde, governo).

O que é ISO 27001 — norma de SGSI, não receita técnica +

A ISO 27001 publica os requisitos pra um SGSI — Sistema de Gestão de Segurança da Informação. Não diz "use AES-256" nem "rotacione senha a cada 90 dias". Diz coisas como: a empresa precisa identificar seus ativos de informação, avaliar risco, definir controles, monitorar resultado, e melhorar continuamente.

  • Foco em processo, não em tecnologia
  • Adaptável ao tamanho — serve pra startup de 5 e multinacional de 50 mil
  • Reconhecimento internacional — vale no mundo todo
  • Auditável — auditor externo confere e certifica

É publicada pela ISO (International Organization for Standardization) junto com a IEC. A versão atual é a ISO/IEC 27001:2022 — que substituiu a 2013.

Análise de risco — o coração do SGSI +

Toda decisão de segurança parte de uma análise de risco. O processo básico:

  1. Inventário de ativos — listar tudo que tem valor de informação: bancos de dados, código-fonte, documentos, hardware, gente
  2. Identificar ameaças — o que pode dar errado pra cada ativo? Vazamento, perda, fraude, indisponibilidade
  3. Identificar vulnerabilidades — onde estamos fracos? Senha curta, falta de backup, acesso amplo
  4. Avaliar impacto x probabilidade — risco = probabilidade × impacto
  5. Decidir tratamento — mitigar, transferir (seguro), aceitar ou evitar
  6. Aplicar controles — escolhidos do Anexo A ou customizados

Um risco pequeno e barato de mitigar — mitiga. Um risco grande e caro — talvez transfere pro seguro. Um risco minúsculo e improvável — aceita formalmente.

Anexo A — os 93 controles (versão 2022) +

O Anexo A da norma é uma "biblioteca" de controles de segurança que a empresa pode usar. A versão 2022 reorganizou o que antes eram 14 domínios em 4 grandes grupos com 93 controles:

GrupoControlesExemplos
Organizacional37Política de segurança, gestão de fornecedor, classificação de informação
Pessoas8Triagem na contratação, treinamento, processo de demissão
Físico14Controle de acesso ao escritório, descarte seguro de hardware
Tecnológico34Backup, criptografia, log, gestão de vulnerabilidade, MFA

A empresa não precisa aplicar todos. Aplica os que fazem sentido pro risco dela. O documento que justifica essa escolha se chama Declaração de Aplicabilidade (SoA).

Ciclo PDCA — Plan, Do, Check, Act +

O SGSI vive num ciclo de melhoria contínua chamado PDCA:

FaseO que fazSaída típica
Plan (Planejar)Análise de risco + escolha de controles + definição de métricaPolítica de segurança, SoA, plano de tratamento de risco
Do (Executar)Implementar os controles na práticaSistemas configurados, treinamentos dados, processos rodando
Check (Verificar)Auditoria interna + análise crítica + medição de indicadorRelatório de auditoria, lista de não-conformidades
Act (Agir)Corrigir o que deu errado, melhorar o que pode melhorarAções corretivas, atualizações na política

Não é um ciclo que termina. Roda pra sempre — a cada ano, a cada incidente, a cada mudança grande na empresa.

Como uma empresa se certifica +

Caminho típico, dura de 6 meses a 2 anos dependendo do tamanho:

  1. Decisão da alta direção — sem patrocínio do topo, projeto morre
  2. Definir escopo — quais áreas/produtos/processos entram na certificação. Pode ser a empresa toda ou só um produto
  3. Análise de risco — identificar ativos, ameaças, vulnerabilidades
  4. Implementar controles — escrever política, configurar sistema, treinar pessoa
  5. Documentar tudo — política, procedimento, registro de evidência. Auditor adora documento
  6. Auditoria interna — testar antes que o auditor externo encontre
  7. Auditoria externa fase 1 — auditor revisa documentação
  8. Auditoria externa fase 2 — auditor visita, conversa com gente, vê evidência
  9. Certificado emitido — válido por 3 anos
  10. Auditorias de manutenção — todo ano um auditor volta. A cada 3 anos, recertifica

O certificado é emitido por organismo credenciado (no Brasil: BSI, DNV, Bureau Veritas, SGS, TÜV). Não é a ISO direto — a ISO publica a norma, os organismos auditam.

Família ISO 27000 — primas e parentes +

A 27001 não vive sozinha. Faz parte de uma família:

NormaPra que serve
ISO 27000Vocabulário e visão geral da família
ISO 27001Requisitos do SGSI — é a única certificável
ISO 27002Guia detalhado de cada controle do Anexo A
ISO 27005Gestão de risco de segurança da informação
ISO 27017Segurança em serviços de cloud
ISO 27018Proteção de dado pessoal em cloud
ISO 27701Privacidade (extensão pra LGPD/GDPR)

A 27001 é a "carteira de motorista". A 27002 é o "manual de direção". As outras são especializações.