Na Dédalo entendemos que a obtenção do selo da ISO/IEC 27001 representa apenas o início da jornada. O verdadeiro desafio, e onde reside o maior valor para o negócio, está na manutenção contínua do Sistema de Gestão de Segurança da Informação (SGSI). É durante esse ciclo de melhoria contínua, que a segurança da informação se consolida em um ativo estratégico, e a partir dele, a empresa deixa de somente cumprir requisitos normativos e passa a fortalecer também sua postura e preparo diante das ameaças de um mercado em constante transformação.
Como manter o SGSI após a certificação ISO 27001?
Com anos de experiência auxiliando organizações de diversos portes e setores, compilamos neste artigo a nossa visão aprofundada sobre as dificuldades, as rotinas essenciais, as dores mais comuns das empresas e a estrutura de equipe ideal para garantir que seu SGSI não apenas sobreviva às auditorias de supervisão, mas prospere e se adapte ao cenário de ameaças em constante evolução. Confira:
Quais as dores e dificuldades que nossos clientes enfrentam ao manter o SGSI?
A jornada de manutenção do SGSI é repleta de obstáculos que, se não forem endereçados de forma proativa, podem levar à perda da certificação e, o que é mais grave, à exposição a riscos. As "dores" que mais ouvimos de nossos clientes se concentram em quatro pilares críticos: Recursos, Dinamismo, Cultura e Complexidade. Veja a seguir mais detalhes sobre cada um deles:
1. A dor da alocação insuficiente de recursos
A principal dor que identificamos é a alocação insuficiente de pessoal, ferramentas e orçamento para a manutenção do SGSI. Muitas empresas veem a segurança da informação como um projeto com início, meio e fim (a certificação), e não como um processo contínuo. O SGSI se torna uma "tarefa extra" para equipes já sobrecarregadas, resultando em atrasos nas revisões, falta de evidências de conformidade e, em última análise, na ineficácia dos controles.
A solução passa por demonstrar à Alta Direção o Retorno sobre o Investimento (ROI) da manutenção, vinculando-a diretamente à redução de riscos e à vantagem competitiva.
2. O desafio do dinamismo e da obsolescência
O ambiente de negócios e o cenário de ameaças cibernéticas mudam em uma velocidade vertiginosa. O desafio de acompanhar as mudanças tecnológicas, regulatórias (como a Lei Geral de Proteção de Dados - LGPD) e organizacionais é uma dor constante.
Controles e Avaliações de Risco se tornam obsoletos rapidamente. Uma nova tecnologia, um novo produto ou uma mudança na estrutura organizacional pode invalidar a Avaliação de Riscos em vigor. A manutenção exige um mecanismo de revisão, onde qualquer mudança significativa no escopo do SGSI (tecnologia, pessoas, processos) aciona uma mini revisão de risco imediata, e não apenas na revisão anual.
3. A resistência da cultura organizacional
A segurança da informação deve ser parte da cultura da organização, mas a falta de conscientização e engajamento de todos os colaboradores é uma barreira persistente. O SGSI é frequentemente visto como um fardo do "time de segurança", e não como uma responsabilidade coletiva, aumentando o risco de incidentes por erro humano. A maior dificuldade, em nossa experiência, é a resistência à mudança. A solução não é apenas o treinamento anual, mas a criação de uma rede conscientização, transformando a segurança em um tema acessível e relevante para todos.
4. A complexidade da documentação
A ISO 27001 exige documentação robusta, mas manter essa documentação atualizada e relevante é um problema para muitas empresas. A documentação se torna um "elefante branco", desatualizada e desconectada da realidade operacional, falhando nas auditorias de supervisão.
Para evitar que isso aconteça, simplificamos a documentação focando em procedimentos enxutos e utilizando ferramentas de gestão de documentos que facilitem a revisão e o controle de versão, garantindo que o que está escrito reflita o que é praticado.
Quais as atividades rotineiras essenciais para manter o Ciclo PDCA em ação?
A manutenção de um SGSI é um ciclo contínuo, regido pelo princípio PDCA (Plan-Do-Check-Act) da ISO 27001. Para auxiliar nossos clientes, estruturamos as atividades rotineiras para garantir que o sistema esteja sempre vivo e em melhoria. Confira a seguir cada uma delas:
1. Análise Crítica pelo Direção
A Análise Crítica pela Direção (ACD) é o coração da manutenção. É o momento formal onde a liderança revisa os resultados das auditorias, o status dos riscos e o desempenho geral do SGSI, garantindo que os recursos e a direção estratégica estejam alinhados.
→ Objetivo: Envolver a Alta Direção para revisar o desempenho do SGSI e tomar decisões estratégicas.
→ Frequência: A Análise Crítica pela Direção (ACD) é uma atividade de governança fundamental e de natureza rotineira. O envolvimento contínuo da Alta Direção com o SGSI é um requisito normativo e um pilar para o sucesso do sistema. Embora a frequência ideal possa variar conforme a complexidade e o dinamismo do ambiente de cada organização, a norma ISO 27001 exige que este momento formal ocorra pelo menos uma vez por ano. É crucial que todas as decisões, alocações de recursos e direcionamentos estratégicos resultantes desta reunião sejam devidamente registrados em ata, servindo como evidência de comprometimento e melhoria contínua.
→ Entregável: Ata de reunião com decisões sobre recursos, objetivos e melhorias.
2. Revisão da Avaliação de Riscos
A Revisão da Avaliação de Riscos é o processo sistemático de reexaminar as ameaças, vulnerabilidades e impactos potenciais e suas probabilidades aos ativos de informação da organização. É o mecanismo central que assegura a relevância e a eficácia contínua dos controles de segurança do SGSI. O objetivo é de garantir que riscos permaneçam válidos, identificando novos riscos emergentes e reavaliando os existentes de acordo com mudanças tecnológicas, regulatórias ou de negócio.
→ Objetivo: Monitorar e reavaliar ameaças, vulnerabilidades e o impacto e probabilidade de cenários de risco.
→ Frequência: A Revisão da Avaliação de Riscos opera sob o princípio da continuidade e do monitoramento proativo. Embora a revisão formal e completa seja exigida pelo menos uma vez por ano, o processo deve ser dinâmico. A verificação dos riscos deve ser acionada imediatamente sempre que um novo cenário de ameaça for identificado ou quando ocorrerem mudanças significativas que possam impactar a eficácia do SGSI (como a adoção de novas tecnologias, alterações regulatórias ou mudanças na estrutura organizacional). Esta abordagem garante que a Declaração de Aplicabilidade (SoA) e o Plano de Tratamento de Riscos (PTR) permaneçam relevantes e alinhados à realidade da organização.
→ Entregável: Declaração de Aplicabilidade (SoA) e Plano de Tratamento de Riscos (PTR) atualizados.
3. Auditoria Interna
A Auditoria Interna é uma ferramenta de gestão essencial, realizada por pessoal independente (interno ou externo), para verificar de forma sistemática e documentada se o SGSI está em conformidade com os requisitos da ISO 27001, com as políticas internas estabelecidas e se os controles de segurança estão operando de forma eficaz. O propósito é identificar proativamente não conformidades e oportunidades de melhoria, fornecendo à Alta Direção e ao Gestor do SGSI a garantia de que o sistema está pronto para as auditorias externas de certificação e supervisão.
→ Objetivo: Avaliar a conformidade dos requisitos da ISO 27001 e dos controles do Anexo A.
→ Frequência: A Auditoria Interna é um requisito mandatório e deve ser realizada em intervalos planejados. A norma exige que a organização defina a frequência, mas a nossa recomendação de consultoria é que o ciclo de auditoria seja anual, cobrindo todos os requisitos da norma e os controles do Anexo A antes da Auditoria de Supervisão do organismo certificador. No entanto, para SGSI mais maduros ou complexos, pode-se adotar um programa de auditoria contínua ou por amostragem, onde áreas de maior risco são auditadas com mais frequência (por exemplo, trimestralmente), garantindo que a verificação da conformidade seja uma ferramenta de gestão e não apenas um checklist pré-certificação.
→ Entregável: Relatório de Auditoria Interna com Não Conformidades (NCs) e Oportunidades de Melhoria (OMs).
4. Revisão de Políticas e Procedimentos
Essa atividade garante a validade e a aplicabilidade da documentação do SGSI. Consiste em analisar e atualizar periodicamente os documentos para assegurar que reflitam as operações atuais, as tecnologias em uso e os requisitos regulatórios vigentes. É um processo vital para evitar a desconexão entre o que está documentado e o que é praticado, mantendo a documentação como um guia de segurança funcional e não apenas um requisito de conformidade.
→ Objetivo: Garantir que a documentação reflita as operações atuais e as mudanças organizacionais.
→ Frequência: Embora a revisão formal seja tipicamente agendada em ciclos semestrais ou anuais, o princípio fundamental é que a documentação deve ser revisada imediatamente sempre que houver uma mudança que afete sua validade ou aplicabilidade. Isso inclui a introdução de novas tecnologias, alterações em processos de negócio, ou mudanças regulatórias.
→ Entregável: Documentos revisados e aprovados, com controle de versão.
5. Monitoramento e Medição
Este é o processo contínuo de coleta e análise de dados para avaliar o desempenho e a eficácia do SGSI. Utilizando Indicadores Chave de Desempenho (KPIs), esta atividade fornece insights em tempo real sobre a saúde do sistema, a ocorrência de incidentes, o cumprimento dos objetivos de segurança e a performance dos controles. É a base para a tomada de decisões informadas, permitindo que a organização identifique tendências e desvios antes que se transformem em problemas críticos.
Objetivo: Coletar dados sobre incidentes, não conformidades, desempenho dos controles e atingimento dos objetivos de segurança.
Frequência: O Monitoramento e Medição é, por natureza, uma atividade contínua e em tempo real. Diferentemente das revisões periódicas, a coleta de dados sobre o desempenho dos controles, incidentes de segurança e a eficácia dos processos deve ocorrer 24 horas por dia, 7 dias por semana. Nossa consultoria orienta a definição de Indicadores Chave de Desempenho (KPIs) que devem ser revisados em ciclos curtos (diários ou semanais) pelas equipes operacionais, e consolidados em relatórios gerenciais (mensais ou trimestrais) para o Gestor do SGSI e o Comitê de Segurança. Essa frequência constante permite a identificação precoce de desvios e a tomada de ações corretivas imediatas, transformando dados brutos em inteligência acionável para a gestão de segurança.
Entregável: Painéis de Indicadores (KPIs) e Relatórios de Desempenho.
6. Tratamento de Incidentes e Ações Corretivas
Esta etapa abrange duas fases cruciais: a resposta a incidentes, que foca na contenção, erradicação e recuperação imediata de eventos de segurança; e as ações corretivas, que visam eliminar a causa raiz das não conformidades e incidentes para evitar sua recorrência. Juntas, essas atividades garantem que a organização não apenas se recupere de falhas, mas também aprenda com elas, promovendo a melhoria contínua e o fortalecimento progressivo do SGSI.
→ Objetivo: Responder a eventos de segurança e implementar melhorias para evitar a recorrência de falhas.
→ Frequência: É uma atividade de resposta imediata, sem frequência predefinida, pois é acionada pela ocorrência de um evento. A prioridade é a contenção, erradicação e recuperação. Por outro lado, a Gestão de Ações Corretivas (PACs), que visa eliminar a causa raiz das não conformidades e incidentes, deve ser contínua, mas com um acompanhamento periódico e formal (mensal ou trimestral) pelo Gestor do SGSI e pelo Comitê de Segurança.
→ Entregável: Registros de Incidentes e Planos de Ação Corretiva (PACs) documentados.
7. Treinamento e Conscientização
É preciso garantir que todos os colaboradores compreendam seus papéis e responsabilidades dentro do SGSI, e o impacto de suas ações na segurança dos ativos da empresa. Ao transformar o conhecimento em cultura, esta atividade visa mitigar o risco humano por meio de treinamentos formais e campanhas de comunicação contínuas e envolventes.
→ Objetivo: Manter a cultura de segurança viva e garantir que todos os colaboradores entendam seu papel.
→ Frequência: A frequência mínima recomendada é o treinamento formal anual para todos os colaboradores, garantindo a reciclagem do conhecimento sobre políticas e procedimentos. Contudo, recomendados que seja implementado comunicações de reforço contínuas (mensais ou trimestrais), como phishing simulado, newsletters e campanhas temáticas. É também crucial o treinamento específico para novos colaboradores (integração) e para equipes que lidam com riscos específicos (ex: desenvolvedores, equipe de TI), garantindo que a cultura de segurança esteja sempre viva e adaptada às necessidades de cada função.
→ Entregável: Registros de participação em treinamentos e Campanhas de Conscientização.
8. Gestão das Evidências Necessárias para Compliance
A conformidade com a ISO 27001 se sustenta na execução das atividades e na capacidade de demonstrar que elas foram realizadas de forma eficaz. A Gestão das Evidências é o processo de coleta, organização e manutenção dos registros que comprovam a operação e a eficácia dos controles do SGSI, sendo um ponto crucial para o sucesso nas auditorias de supervisão.
→ Objetivo: Garantir que todos os requisitos normativos e os controles aplicáveis do Anexo A que exigem documentação ou registro de execução possuam evidências válidas, rastreáveis e acessíveis, transformando a prática operacional em prova de conformidade.
→ Frequência: A coleta de evidências é uma atividade contínua, ocorrendo em tempo real com a execução de cada controle (ex: registro de acesso, log de incidentes). No entanto, a revisão e organização formal dessas evidências deve ser realizada, para garantir que não haja lacunas antes da Auditoria Interna e da Auditoria de Supervisão. Nós recomendamos a utilização da ferramenta Enorx para esta finalidade.
→ Entregável: Um Repositório ou Sistema de Evidências contendo registros de treinamento, atas de reunião, relatórios de monitoramento, logs de sistemas, registros de manutenção e quaisquer outros documentos que comprovem a operação dos controles.
9. Reuniões periódicas do Comitê de Segurança da Informação
O Comitê de Segurança da Informação é o corpo de governança tática do SGSI, responsável por traduzir a estratégia da Alta Direção em ações concretas e por supervisionar a operação do sistema. As reuniões periódicas são o fórum formal para a tomada de decisões táticas, a resolução de conflitos e a manutenção do alinhamento entre as áreas de negócio e a segurança da informação.
→ Objetivo: Garantir a supervisão tática contínua do SGSI, revisando o desempenho dos controles, o status dos riscos, o andamento das ações corretivas e a aprovação de políticas e procedimentos. O objetivo é manter o SGSI operacionalmente eficaz e alinhado aos objetivos de negócio.
→ Frequência: Recomenda-se uma frequência mensal ou bimestral, dependendo da complexidade e do dinamismo da organização. Essa periodicidade permite uma resposta ágil a incidentes e mudanças, sem sobrecarregar os membros do Comitê.
→ Entregável: Atas de Reunião do Comitê de Segurança da Informação devidamente aprovadas, que registrem a pauta, os relatórios de desempenho revisados, as decisões tomadas (especialmente sobre riscos e recursos) e os responsáveis pelas próximas ações.
Como montar a equipe ideal para sustentar o SGSI?
Um SGSI não é mantido por uma única pessoa, mas por uma estrutura de governança bem definida e multifuncional. A equipe ideal deve ter papéis e responsabilidades claras, conforme a nossa experiência em consultoria:
|
Função |
Responsabilidades |
Habilidades Essenciais |
|
Alta Direção |
Comprometimento: Fornecer recursos, definir a política de segurança e participar das reuniões de análise crítica. |
Liderança, Visão Estratégica, Apoio Incondicional. |
|
Comitê de Segurança da Informação |
Governança: Definir a direção tática, aprovar políticas e orçamentos, e garantir o alinhamento com o negócio. |
Liderança, Visão Estratégica, Tomada de Decisão. |
|
Gestor do SGSI |
Coordenação: Gerenciar o ciclo PDCA, coordenar a Avaliação de Riscos, planejar auditorias e reportar à Alta Direção. |
Conhecimento aprofundado da ISO 27001, Gestão de Projetos, Comunicação e Negociação. |
|
Proprietários de Ativos/Riscos |
Operacional: Assumir a responsabilidade pela segurança de ativos específicos e pela implementação dos controles em suas áreas. |
Conhecimento técnico e de processo da área de negócio. |
|
Auditor Interno |
Verificação: Realizar auditorias internas independentes para verificar a conformidade e a eficácia do SGSI. |
Conhecimento em técnicas de auditoria, imparcialidade, detalhismo. |
|
Equipe de TI/Segurança Técnica |
Execução: Implementar e manter os controles técnicos (firewalls, criptografia, monitoramento, etc.). |
Habilidades técnicas em cibersegurança, Resposta a Incidentes. |
|
Recursos Humanos |
Pessoas: Garantir que o processo de contratação, desligamento e mudança de função inclua a gestão de acesso e a assinatura de termos de confidencialidade. Gerenciar o programa de conscientização e treinamento em segurança da informação. |
Conhecimento em Segurança de Pessoal, Gestão de Treinamento, Conhecimento em Legislação Trabalhista e LGPD. |
|
Compras/Suprimentos |
Cadeia de Suprimentos: Assegurar que os contratos com fornecedores e prestadores de serviço incluam cláusulas de segurança da informação e que a devida diligência (due diligence) de segurança seja realizada antes da contratação. Realizar o monitoramento periódico dos fornecedores. |
Conhecimento em Gestão de Fornecedores, Habilidade de Negociação de Cláusulas Contratuais, Visão de Risco. |
|
Facilities |
Segurança Física: Implementar e manter os controles de segurança física e ambiental, como controle de acesso a áreas restritas, monitoramento por CFTV e proteção contra desastres naturais ou falhas de energia. |
Conhecimento em Controles de Acesso Físico, Gestão de Segurança Patrimonial, Resposta a Emergências. |
|
Jurídico |
Conformidade Legal: Monitorar e garantir que o SGSI esteja em conformidade com todas as leis, regulamentos e requisitos contratuais aplicáveis (ex: LGPD, regulamentações setoriais). Revisar e aprovar a documentação legal do SGSI. |
Conhecimento Aprofundado em Leis de Proteção de Dados e Cibernéticas, Habilidade de Interpretação Normativa, Gestão de Compliance. |
Nossa recomendação é que o Gestor do SGSI seja um papel dedicado, ou que tenha tempo suficiente alocado para a função, pois a falha na coordenação é um dos principais pontos de ruptura na manutenção. Este papel também pode ser terceirizado para uma consultoria especializada, garantindo a expertise e a dedicação necessárias. Aqui na Dédalo atuamos como gestores do SGSI de diversos clientes através do nosso serviço de Manutenção do SGSI.
Perguntas frequentes (FAQ) sobre a manutenção do SGSI
Para sanar as dúvidas mais comuns de nossos clientes, compilamos as respostas para as três perguntas mais frequentes sobre a manutenção do SGSI:
1. O que acontece se eu não mantiver o SGSI?
A consequência mais imediata é a perda da certificação após as auditorias de supervisão anuais. No entanto, o risco real é a exposição a incidentes de segurança. Sem a manutenção, os controles se tornam ineficazes, a Avaliação de Riscos fica desatualizada e a empresa perde a capacidade de responder a novas ameaças, aumentando a probabilidade de vazamentos de dados, multas regulatórias e danos à reputação.
2. Qual a diferença entre Auditoria Interna e Auditoria de Supervisão?
A Auditoria Interna é realizada pela própria organização (ou por uma consultoria contratada) para verificar a conformidade antes da auditoria externa. É uma ferramenta de gestão para identificar e corrigir falhas. A Auditoria de Supervisão é realizada pelo organismo certificador (terceira parte) anualmente para confirmar que o SGSI continua em conformidade com a ISO 27001 e que as não conformidades anteriores foram tratadas.
3. A ISO 27001 exige que eu contrate um CISO em tempo integral?
A norma exige que a Alta Direção atribua responsabilidades e autoridades para a segurança da informação, mas não especifica um cargo. Em empresas menores, a função de Gestor do SGSI pode ser exercida por um profissional existente ou, como sugerimos, por uma consultoria. O importante é que a função tenha a dedicação e o conhecimento técnico necessários.
SGSI como vantagem competitiva
Manter um SGSI certificado pela ISO 27001 é um compromisso de longo prazo, mas é também um investimento que se traduz em confiança do cliente, resiliência operacional e vantagem competitiva.
Na Dédalo, nossa experiência nos mostra que o sucesso reside em transformar a conformidade em cultura. Ao estruturar as rotinas, capacitar a equipe e abordar as dores com soluções práticas e personalizadas, garantimos que o SGSI de nossos clientes seja um sistema vivo, adaptável e, acima de tudo, eficaz na proteção de seus ativos mais valiosos.
Se sua empresa busca transformar o desafio da manutenção em uma rotina de excelência, estamos prontos para compartilhar nossa experiência e expertise. Entre em contato para saber mais!
