Adequacao ISO 27001 na TI: checklist completo

O que é a ISO 27001 e por que ela importa para a TI

A ISO/IEC 27001 é a norma internacional de referência para Sistemas de Gestão de Segurança da Informação (SGSI). Publicada originalmente em 2005 e revisada em 2022, ela estabelece um conjunto de requisitos para que organizações de qualquer porte identifiquem, tratem e monitorem riscos relacionados a ativos de informação. Diferente de frameworks puramente técnicos, a ISO 27001 exige governança: políticas formalizadas, papéis definidos, auditorias internas e melhoria contínua sob a lógica do ciclo PDCA (Plan-Do-Check-Act).

Para a área de TI, a norma deixou de ser um "selo bom de ter" e se tornou requisito comercial. Grandes contratantes — bancos, seguradoras, empresas de saúde, órgãos públicos e multinacionais — incluem cláusulas contratuais exigindo certificação ou, no mínimo, aderência aos 93 controles do Anexo A (versão 2022). Segundo o relatório ISO Survey 2024, o Brasil já ultrapassa 2.100 certificados ativos, com crescimento de 18% ao ano — reflexo direto da LGPD, da Resolução BCB nº 85 e do aumento de incidentes cibernéticos, que custaram em média US$ 4,88 milhões por violação em 2024 (IBM Cost of a Data Breach Report).

Mais do que um documento, a ISO 27001 impõe disciplina operacional à TI: todo ativo precisa ter dono, toda mudança precisa ser autorizada, todo acesso precisa ser revisado. É aí que muitos projetos de adequação travam — não por falta de tecnologia, mas por falta de processo maduro.

Escopo, contexto e análise de riscos: a base do SGSI

O erro mais comum em projetos de adequação ISO 27001 é começar pela tecnologia. A norma exige, antes de qualquer controle técnico, a definição formal do escopo (cláusula 4.3): quais unidades de negócio, processos, sistemas e localidades estarão cobertos pelo SGSI. Um escopo amplo demais inviabiliza o projeto; um escopo estreito demais compromete a credibilidade da certificação. Para empresas de médio porte, o recomendável é iniciar pela TI corporativa, datacenter e áreas que tratam dados sensíveis (RH, financeiro, jurídico).

Com o escopo definido, vem a análise de contexto (cláusula 4.1 e 4.2): quem são as partes interessadas (clientes, órgãos reguladores, funcionários, fornecedores), quais são suas expectativas e quais fatores internos e externos afetam a segurança da informação. Essa etapa alimenta o processo central da norma — a gestão de riscos (cláusula 6.1).

A metodologia de análise de riscos deve ser formalizada e repetível. A maioria das organizações adota a ISO 27005 como guia, combinando inventário de ativos, identificação de ameaças e vulnerabilidades, cálculo de impacto × probabilidade e definição do tratamento (mitigar, aceitar, transferir ou evitar). O resultado alimenta a Declaração de Aplicabilidade (SoA) — documento obrigatório que justifica, controle por controle, a inclusão ou exclusão dos 93 controles do Anexo A.

"Uma análise de riscos superficial é a causa raiz de 70% das não-conformidades encontradas em auditorias de certificação. Auditor quer ver evidência de que a empresa pensou, não apenas que copiou um template." — Relatório APMG International sobre auditorias ISO 27001 na América Latina, 2024.

Checklist dos 14 domínios e 93 controles do Anexo A (versão 2022)

A revisão de 2022 consolidou os antigos 114 controles em 93, agrupados agora em 4 temas: Organizacional (37), Pessoas (8), Físico (14) e Tecnológico (34). Este é o coração do checklist de adequação. Abaixo, os pontos críticos que a TI precisa endereçar em cada bloco:

• Controles organizacionais: políticas de segurança aprovadas pela alta direção, classificação da informação (pública, interna, confidencial, restrita), gestão de fornecedores com cláusulas de segurança em contratos, plano de resposta a incidentes documentado e testado.
• Controles de pessoas: termo de confidencialidade (NDA) assinado na admissão, treinamento de conscientização anual obrigatório, processo formal de desligamento com revogação imediata de acessos, política de trabalho remoto com endpoints gerenciados.
• Controles físicos: perímetro seguro no datacenter e salas técnicas, controle de acesso por biometria ou cartão, CFTV com retenção mínima de 30 dias, política de mesa limpa e tela limpa, descarte seguro de mídias (trituração certificada ou desmagnetização).
• Controles tecnológicos: gestão de identidade (IAM) com MFA obrigatório, princípio do menor privilégio, segregação de funções, backup com teste mensal de restauração, criptografia em trânsito (TLS 1.3) e em repouso (AES-256), logs centralizados com retenção de 12 meses, gestão de vulnerabilidades com scanner automatizado mensal, hardening de servidores conforme CIS Benchmarks.

Três controles novos da versão 2022 merecem atenção especial da TI: A.5.7 (Threat Intelligence — consumo formalizado de inteligência de ameaças), A.8.9 (Gestão de Configuração) e A.8.23 (Filtragem Web). Muitas empresas ainda não endereçam esses pontos e são surpreendidas em auditoria de certificação.

Documentação obrigatória: o que o auditor vai pedir

Um SGSI sem documentação é um SGSI inexistente para o auditor. A ISO 27001 exige um corpo mínimo de documentos que precisam estar versionados, aprovados e acessíveis. Na prática, o auditor solicitará os seguintes artefatos logo na primeira reunião:

1. Política de Segurança da Informação (PSI) aprovada pela alta direção
2. Escopo do SGSI com diagrama de processos e ativos
3. Metodologia de gestão de riscos e relatório de avaliação atualizado
4. Declaração de Aplicabilidade (SoA) com justificativa controle a controle
5. Plano de Tratamento de Riscos com responsáveis e prazos
6. Objetivos de segurança mensuráveis (KPIs do SGSI)
7. Procedimentos operacionais: gestão de incidentes, continuidade, mudanças, acessos
8. Registros de treinamento, auditoria interna e análise crítica pela direção
9. Evidências operacionais: logs de revisão de acesso, testes de backup, simulações de incidente

A dica prática é criar uma matriz RACI para cada documento: quem escreve, quem aprova, quem executa, quem audita. Sem essa clareza, os documentos viram "documentos de prateleira" — existem formalmente, mas ninguém os segue. Auditor moderno faz entrevistas cruzadas: pega o texto da política e pergunta ao operador "como você faz isso no dia a dia?". Se a resposta diverge do papel, vira não-conformidade maior.

Ferramentas como SharePoint com versionamento, Confluence, ISMS.online ou Vanta ajudam a manter a documentação viva. O importante é que cada documento tenha revisor, data de revisão (mínimo anual) e histórico de alterações rastreável.

Auditoria interna, análise crítica e preparação para certificação

Antes da auditoria externa (Estágio 1 documental e Estágio 2 operacional), a norma exige auditoria interna do SGSI (cláusula 9.2) e análise crítica pela direção (cláusula 9.3). Esses dois ritos não são burocráticos — são o mecanismo que comprova à certificadora que a empresa consegue enxergar e corrigir os próprios desvios.

A auditoria interna precisa ser conduzida por profissional imparcial (pode ser terceirizado), cobrir 100% dos controles aplicáveis no ciclo de 12 meses e gerar relatório formal com não-conformidades, observações e oportunidades de melhoria. Cada não-conformidade deve ter plano de ação com prazo — e a evidência de fechamento é o que o auditor externo vai querer ver.

Na análise crítica, a alta direção avalia: status das ações anteriores, mudanças no contexto, desempenho dos KPIs, feedback de partes interessadas, resultados de auditorias e oportunidades de melhoria. A ata da reunião é documento obrigatório. Empresas que tratam essa reunião como "check-the-box" tropeçam na certificação — o auditor pergunta à diretoria sobre os indicadores e espera respostas consistentes.

A jornada típica de adequação leva de 8 a 14 meses para empresas de médio porte, divididos em: diagnóstico (1-2 meses), implementação de controles (4-8 meses), operação assistida do SGSI por pelo menos 3 meses (gerando evidências), auditoria interna (1 mês) e auditoria de certificação (1-2 meses). Orçamentos variam de R$ 120 mil a R$ 500 mil, incluindo consultoria, ferramentas e taxas da certificadora acreditada pelo Inmetro (BSI, BV, DNV, DQS, entre outras).

Como a Duk acelera sua adequação ISO 27001

Adequar-se à ISO 27001 sem parceiro experiente é tecnicamente possível, mas costuma dobrar o prazo e triplicar o retrabalho. A Duk Informática & Cloud atua há mais de 18 anos como parceiro de TI de empresas que operam sob exigências regulatórias — bancos, operadoras de saúde, escritórios de advocacia, indústrias e SaaS. São mais de 550 empresas atendidas, com SLA médio de resposta de 3,7 minutos e certificação Microsoft Gold Partner, que garante acesso direto às ferramentas nativas de segurança do Microsoft 365 e Azure — peças centrais da maioria dos controles tecnológicos do Anexo A.

Nossa oferta de adequação cobre a jornada completa: diagnóstico inicial com gap analysis contra os 93 controles, desenho do SGSI, implementação técnica (IAM, MFA, SIEM, backup imutável, hardening, segregação de redes), redação de políticas e procedimentos, treinamento de conscientização para o time, auditoria interna e acompanhamento durante a auditoria de certificação. Para organizações que já têm TI interna, operamos em co-gestão; para quem prefere terceirização, assumimos o SGSI operacional como Managed Security Services.

Se sua empresa precisa da ISO 27001 para fechar um contrato, atender a uma exigência de cliente ou simplesmente elevar o nível de segurança a um patamar auditável, vamos conversar. Um diagnóstico inicial de 60 minutos já identifica os gaps mais críticos e permite estimar prazo, esforço e investimento com precisão.

Fale agora com um especialista Duk pelo WhatsApp: wa.me/5511957024493 — atendimento consultivo, sem compromisso, com um consultor sênior em segurança da informação.