Em 2024, o número de certificações ISO 27001 válidas globalmente quase dobrou — de 48.671 para 96.709. No mesmo período, o custo médio de uma violação de dados atingiu US$ 4,88 milhões.

Os dois números contam a mesma história: o mercado finalmente entendeu que um SGSI bem implementado não é compliance pelo compliance. É o que separa organizações que respondem a incidentes das que os previnem.

O problema é que a maioria das implementações ainda trata o Sistema de Gerenciamento de Segurança da Informação como um projeto de certificação, e  não como recurso ativo de gestão de riscos. A empresa implementa, certifica e opera como se o trabalho estivesse encerrado.  

Até que a auditoria seguinte mostre que os controles existem no papel, mas não como governança real.

Neste material a Vennx esclarece o que é um SGSI, como a ISO 27001:2022 estrutura sua implementação, quais erros comprometem a certificação antes mesmo da auditoria chegar, e como conectar esse sistema a uma gestão de riscos e controles que sustente a conformidade ao longo do tempo.

Leia até o fim!

O que é um SGSI e por que ele vai além da certificação

O Sistema de Gerenciamento de Segurança da Informação é uma estrutura de gestão que garante a confidencialidade, integridade e disponibilidade das informações de uma organização. Não é uma ferramenta tecnológica, nem um conjunto de políticas isoladas.

É um sistema com processos, responsabilidades, ciclos de revisão e evidências documentadas que precisam funcionar de forma integrada e contínua.

A ISO 27001 é a norma internacional que define os requisitos para implementar, manter e melhorar continuamente esse sistema. Ela não prescreve controles específicos como obrigação universal, mas orienta a uma lógica de gestão baseada em risco, onde cada organização seleciona os controles relevantes para o seu contexto.

Essa distinção é fundamental.  

Um SGSI implementado como projeto tem um ponto de chegada: a certificação. Um SGSI implementado como sistema tem ciclos contínuos de avaliação, ajuste e melhoria; porque as ameaças mudam, os processos mudam, e o ambiente regulatório muda junto.

O contexto regulatório brasileiro amplifica essa necessidade. LGPD, regulações do Banco Central e obrigações SOX para empresas com operações nos Estados Unidos convergem para os mesmos princípios que a ISO 27001 estrutura: controle de acesso, rastreabilidade, gestão de riscos e evidências auditáveis.

Uma organização que implementa o SGSI corretamente já está construindo a base para atender múltiplos frameworks simultaneamente.

A ISO 27001:2022: o que mudou e o que isso exige na prática

A versão atual da norma, ISO/IEC 27001:2022, publicada em outubro de 2022, trouxe mudanças relevantes que muitas organizações ainda não incorporaram plenamente às suas implementações.

O Anexo A foi reestruturado de 114 controles em 14 categorias para 93 controles em 4 categorias: Organizacional, Pessoas, Físico e Tecnológico. A redução não significa menos exigência, mas consolidação e atualização. Cinquenta e seis controles anteriores foram fundidos em 24. E 11 novos controles foram criados para endereçar riscos que a versão 2013 não contemplava:

• Threat intelligence — monitoramento e análise de ameaças emergentes.

• Cloud security — controles específicos para ambientes em nuvem.

• Data masking — proteção de dados sensíveis em ambientes de desenvolvimento e teste.

LEIA TAMBÉM: Cibersegurança como risco sistêmico: por que CISOs estão perdendo o sono

• Data leakage prevention — prevenção de vazamento de dados.

• Secure coding — controles sobre o ciclo de desenvolvimento de software.

• Web filtering, ICT readiness, monitoring activities — entre outros.

O que não mudou é a lógica central: a organização não implementa todos os 93 controles. Implementa os que fazem sentido para o seu perfil de risco, documentados no Statement of Applicability (SoA) — o documento que registra quais controles se aplicam, quais foram excluídos e com qual justificativa.

O SoA é um dos principais objetos de análise em qualquer auditoria de certificação.

As cláusulas 4 a 10 da norma são mandatórias para certificação e cobrem: contexto organizacional, liderança e comprometimento, planejamento (incluindo análise de riscos), suporte, operação, avaliação de desempenho e melhoria contínua. São o esqueleto estrutural sobre o qual todo o SGSI se apoia.

As etapas de implementação: do diagnóstico ao ciclo contínuo

Diagnóstico inicial e definição de escopo

O ponto de partida é entender onde a organização está de fato e não onde gostaria de estar. Um gap analysis estruturado mapeia o estado atual da segurança da informação em relação aos requisitos da norma, identifica lacunas prioritárias e define o escopo do SGSI: quais processos, sistemas, ativos e unidades organizacionais estão cobertos pela implementação.

Escopo mal definido é uma das causas mais frequentes de retrabalho. Uma organização que inclui mais do que consegue gerenciar cria um SGSI nominal. Ou seja, documentado, mas não operacional.

Análise e avaliação de riscos

A análise de riscos é o núcleo de toda a implementação. É ela que fundamenta a seleção dos controles e justifica as decisões de tratamento. O processo envolve:

• Identificação dos ativos de informação e seus proprietários formais

• Mapeamento das ameaças e vulnerabilidades associadas a cada ativo

• Avaliação de probabilidade e impacto para priorização dos riscos

• Decisão sobre tratamento: mitigar, aceitar, transferir ou evitar

A ISO 27005 é a norma complementar que fornece a metodologia específica para gestão de riscos de segurança da informação — e é referência indispensável nessa etapa.

Um risco não avaliado não desaparece. Ele apenas fica fora do sistema de controle.

Seleção e implementação de controles

Com os riscos priorizados, a organização seleciona os controles do Anexo A, que endereçam cada risco identificado, e documenta essa decisão no SoA. Controles genéricos aplicados sem base na análise de riscos geram dois problemas: custos desnecessários com controles que não resolvem riscos reais, e lacunas onde os riscos efetivos permanecem sem tratamento.

Os controles da ISO 27001:2022 atuam em quatro camadas complementares:

• Organizacionais — políticas, procedimentos, estrutura de responsabilidades, gestão de fornecedores.

• Pessoas — triagem, treinamento, conscientização, processos de desligamento.

• Físicos — controle de acesso a instalações, proteção de equipamentos, descarte seguro.

• Tecnológicos — controle de acesso a sistemas, criptografia, monitoramento, backup.

Documentação como pilar de auditoria

A norma exige evidências concretas, e não apenas a existência de controles, mas a comprovação de que eles estão operando como se espera. Políticas, relatórios de auditoria interna, planos de ação, registros de treinamento, logs de monitoramento: cada elemento precisa existir, estar atualizado e ser recuperável.

Documentação desatualizada é tão problemática quanto ausência de documentação. Um auditor que encontra uma política de segurança com data de revisão vencida há dois anos questiona não apenas o documento, mas a confiabilidade do sistema como um todo.

Monitoramento, auditoria e melhoria contínua

O SGSI não encerra com a certificação. A norma exige dois tipos de auditoria em ciclo contínuo:

• Auditoria interna — realizada pela própria organização (ou consultoria contratada) para identificar e corrigir não conformidades antes da auditoria externa.

• Auditoria de supervisão — realizada anualmente pelo organismo certificador para confirmar que o SGSI continua em conformidade e que não conformidades anteriores foram tratadas.

A recertificação ocorre a cada três anos. Entre os ciclos, a melhoria contínua é operacionalizada pelo ciclo PDCA: o que foi planejado está sendo executado? Os controles estão produzindo os resultados esperados? O que precisa ser ajustado?

Os erros que comprometem a implementação e a certificação

A maioria das reprovações em auditoria ISO 27001 não acontece por ausência de controles. Acontece por falhas de execução que poderiam ter sido antecipadas.

Os padrões mais recorrentes:

• Tratar o SGSI como pauta de TI — segurança da informação envolve processos, pessoas e tecnologia. Sem engajamento da liderança e das áreas de negócio, o SGSI fica confinado ao departamento técnico e perde eficácia nos processos que mais importam.

• Controles genéricos sem análise de riscos — copiar controles de outras organizações ou aplicar o Anexo A como checklist universal gera conformidade aparente, não real.

• Documentação deixada para a última hora — evidências precisam ser produzidas ao longo do processo, não reconstituídas às vésperas da auditoria.

• Análise de riscos estática — um SGSI baseado em riscos mapeados há dois anos não reflete as ameaças atuais. A norma exige revisão periódica da análise de riscos, especialmente após mudanças significativas no ambiente.

• Silos entre risco, controle e evidência — quando o registro de riscos existe em uma planilha, os controles em outra e os planos de ação em e-mails, a rastreabilidade desaparece. O auditor não consegue verificar o ciclo completo — e a organização também não.

Da implementação à governança contínua

A ISO 27001 define o que implementar. O desafio real é manter o sistema operando com a mesma rigorosidade ao longo do tempo — sem transformar cada ciclo de auditoria em uma corrida contra o relógio.

LEIA TAMBÉM: A ameaça silenciosa que custa US$ 8,3 bilhões ao mercado global

Quando gestão de riscos, controles internos e conformidade regulatória operam em sistemas separados, a eficiência se perde e a rastreabilidade se fragmenta. O time de compliance reconstitui evidências manualmente.

A liderança não tem visibilidade sobre o status real dos controles. E o auditor encontra exatamente o que o processo gerou: documentação dispersa, desatualizada e sem conexão clara entre risco e resposta.

O módulo RCM — Risk and Control Management do VX foi construído para fechar esse gap. Ele conecta, em um único ambiente:

• Cadastro e categorização de riscos alinhados a frameworks como ISO 27001, COSO, SOX e LGPD.

• Associação direta entre risco identificado, controle implementado e evidência registrada.

• Planos de ação com responsáveis, prazos e histórico completo de execução.

• Relatórios prontos para auditoria interna e externa — sem consolidação manual.

Combinado ao módulo de Benchmarking de Riscos, o VX permite ir além da conformidade declarada: comparar os controles implementados com o que organizações do mesmo setor e porte estão efetivamente adotando, e identificar lacunas antes que o auditor o faça.

Conclusão

Implementar um SGSI alinhado à ISO 27001 é menos sobre seguir uma lista de controles e mais sobre construir uma estrutura de gestão de riscos que sustente a conformidade além do dia da auditoria. A certificação é o ponto de chegada de um processo, não o seu fim.

A versão 2022 da norma atualizou os controles para o mundo atual: cloud, threat intelligence, desenvolvimento seguro. Mas a lógica permanece a mesma: gestão baseada em risco, seleção criteriosa de controles, evidências rastreáveis e ciclos contínuos de revisão.

Sua organização tem visibilidade sobre onde cada controle está, quem é responsável, qual evidência foi registrada e quando precisa ser revisado? Se a resposta depender de planilhas e e-mails, o SGSI existe no papel — mas não como sistema.

O módulo RCM do VX conecta riscos, controles e evidências em um ciclo contínuo e rastreável, alinhado aos frameworks que sua auditoria exige.

Fale agora com um especialista Vennx e conheça o VX!