Ir para o conteúdo
ISO 27001

Como obter a certificação ISO 27001?

·
9 minutos de leitura
RH de um lado, IT do outro?
Gira dispositivos, licenças e segurança a partir de um único lugar. Sincronizado com as entradas e saídas da tua equipa. Descubra o Factorial IT
Escrito por

Muitas empresas dão como certo que implementar o Sistema de Gestão de Segurança da Informação é a parte difícil da ISO 27001, e que certificar-se é só papelada. A surpresa chega com a auditoria. A entidade certificadora não avalia as tuas boas intenções nem o quão bem escritas estão as tuas políticas: verifica se consegues demonstrar, com provas reais, que o teu SGSI funciona exatamente como diz o papel.

Neste artigo explicamos-te como funciona o processo de certificação ISO 27001 do início ao fim, dos requisitos prévios até como manter o certificado depois de o obteres.

O que significa estar certificado pela ISO 27001?

Estar certificado pela ISO 27001 significa que uma entidade certificadora acreditada auditou o teu Sistema de Gestão de Segurança da Informação (SGSI) e confirmou que cumpre os requisitos da norma. Implementar a norma e certificar-se não são a mesma coisa. A implementação é o trabalho interno de conceber políticas, avaliar riscos e aplicar controlos. A certificação é o reconhecimento externo que valida esse trabalho.

O certificado é emitido por uma entidade independente, nunca pela própria ISO, e tem uma validade de três anos, sujeita a auditorias de acompanhamento. Sem esse selo, por muito robusto que seja o teu SGSI, não consegues provar a clientes, parceiros ou administrações públicas que cumpres a norma.

Os requisitos prévios

Antes de contactar uma entidade certificadora, a tua organização deve cumprir uma série de condições mínimas. Pedir a auditoria sem as cumprir traduz-se quase sempre em não conformidades que atrasam todo o processo.

  • SGSI implementado e em funcionamento: não basta ter as políticas escritas, o sistema tem de estar operacional, com provas de que é seguido no dia a dia.
  • Declaração de Aplicabilidade (SoA) e Plano de Tratamento de Riscos: são os primeiros documentos que o auditor analisa. Devem indicar os controlos do Anexo A que aplicas e porquê.
  • Auditoria interna prévia: a norma exige que tenhas revisto o teu próprio SGSI antes de um auditor externo o fazer.
  • Revisão pela gestão: a gestão de topo deve ter avaliado formalmente o desempenho do SGSI e deixado registo disso.
  • Um histórico mínimo de provas: a maioria das entidades recomenda pelo menos três meses de registos (acessos, incidentes, formação) para poder auditar o sistema em condições reais e não apenas no papel.

Como escolher uma entidade certificadora?

Nem todas as empresas podem emitir um certificado ISO 27001 válido. A entidade certificadora deve estar acreditada por um organismo nacional de acreditação — em Portugal, o IPAC — ou pelo seu equivalente noutros países, no âmbito do quadro de reconhecimento mútuo da IAF. Um certificado emitido por uma entidade sem acreditação não tem qualquer valor perante clientes ou administrações públicas.

Para além da acreditação, convém comparar vários critérios antes de assinar com uma entidade.

  • Experiência no teu setor: um auditor que conhece os riscos típicos do teu setor interpreta melhor o teu âmbito e os teus controlos.
  • Reconhecimento internacional: se trabalhas com clientes fora de Portugal, confirma que o certificado é reconhecido nesses mercados.
  • Transparência nos custos: pede o detalhe das fases de auditoria, e não apenas um preço fechado, para evitar surpresas no acompanhamento anual.
  • Prazos de disponibilidade: as entidades com mais procura podem demorar semanas a atribuir um auditor, algo a prever se tens um prazo comercial.
  • Independência: o auditor não pode ter participado na consultoria ou na implementação do teu SGSI. A norma impõe a separação entre quem te ajuda a implementar e quem te certifica.
  • Referências verificáveis: pede para falar com empresas do teu setor já certificadas por essa entidade. A experiência concreta de outros clientes diz mais do que uma brochura comercial.

As fases da auditoria de certificação

A auditoria de certificação ISO 27001 não é um único exame, mas um processo em duas etapas que avalia primeiro a conceção do teu SGSI e depois o seu funcionamento real. Perceber o que o auditor analisa em cada etapa ajuda a chegar preparado e a não confundir «ter a documentação pronta» com «estar pronto para a Fase 2».

Auditoria de Fase 1: a revisão documental

Nesta primeira etapa, o auditor analisa a documentação do teu SGSI sem ainda avaliar como é aplicada no dia a dia. O objetivo é confirmar que o sistema está concebido em conformidade com a norma antes de passar à parte operacional.

Os documentos mais analisados nesta fase são a Declaração de Aplicabilidade, o Plano de Tratamento de Riscos, a política de segurança da informação e o âmbito definido para o SGSI. Por exemplo, se a tua Declaração de Aplicabilidade indica que aplicas o controlo A.8.10 sobre a eliminação segura de informação, o auditor vai procurar o procedimento documentado que descreve como esse controlo é executado, mesmo que ainda não verifique se é seguido na prática.

Se a Fase 1 detetar lacunas importantes, como um âmbito mal definido ou documentos que não refletem os controlos reais da organização, o auditor pode pedir que sejam corrigidas antes de marcar a data da Fase 2. Antecipar esta revisão com uma auditoria interna reduz o risco de surpresas nesta altura.

Auditoria de Fase 2: a auditoria no local

Aqui avalia-se se aquilo que a documentação diz se confirma na prática. O auditor entrevista pessoas de diferentes áreas, não apenas a equipa de IT ou o responsável pela segurança, e analisa os registos de acesso, incidentes e formação para confrontar a teoria com a operação real.

O offboarding é um exemplo típico. Se a tua política prevê que os acessos são revogados no mesmo dia em que um colaborador sai da empresa, o auditor pode pedir o registo de uma saída recente e verificar a data e a hora exatas em que as contas foram desativadas. A gestão de dispositivos é outro caso clássico. O auditor pode pedir o inventário dos equipamentos da empresa para verificar se corresponde aos dispositivos fisicamente presentes, ou perguntar a um colaborador ao acaso como faz a encriptação do seu portátil.

Esta fase costuma basear-se em amostragens: o auditor não verifica 100% dos casos, mas uma seleção representativa. Por isso a consistência conta mais do que um caso isolado bem resolvido. Se um processo só funciona quando alguém o prepara de propósito para a auditoria, a amostra tende a expô-lo.

A gestão das não conformidades

Se o auditor deteta desvios entre o que está documentado e o que é aplicado, classifica-os consoante a gravidade.

  • Não conformidade menor: uma falha pontual ou isolada, por exemplo um registo de formação incompleto para um colaborador. Resolve-se normalmente com um plano de ação em poucas semanas, sem repetir a auditoria.
  • Não conformidade maior: uma falha sistemática ou que compromete a eficácia do SGSI, por exemplo um controlo-chave do Anexo A totalmente ausente ou a ausência total de provas sobre um processo obrigatório. Este tipo de constatação pode obrigar a uma visita adicional do auditor antes de emitir o certificado.
  • Oportunidade de melhoria: não é uma não conformidade, mas uma recomendação do auditor para reforçar o sistema nos ciclos seguintes.

A emissão do certificado

Depois de encerradas as não conformidades detetadas, a entidade emite o certificado ISO 27001 com uma validade de três anos. Essa validade está sujeita a auditorias de acompanhamento anuais, que verificam se o SGSI continua ativo e se as não conformidades anteriores foram resolvidas de forma eficaz.

O certificado costuma indicar o âmbito exato que foi auditado, por isso convém relê-lo com atenção antes de o comunicar a clientes ou de o incluir num concurso: um âmbito mal formulado pode levantar perguntas incómodas durante um processo de compra.

Quanto tempo demora?

Não existe um prazo padrão. Uma organização pequena com um âmbito reduzido e processos já digitalizados pode concluir todo o percurso, do diagnóstico inicial à emissão do certificado, em poucos meses. As organizações maiores, com várias instalações ou sistemas legacy, podem precisar de seis meses a mais de um ano.

Os fatores que mais pesam no prazo são o nível de maturidade já alcançado na segurança da informação, a dimensão do âmbito definido para o SGSI, a disponibilidade de provas já centralizadas face às que é preciso reconstruir manualmente e a agenda da entidade escolhida. O conselho que mais se repete entre quem já passou pelo processo é encará-lo como um projeto com recursos dedicados desde o início, e não como uma tarefa acrescentada ao trabalho diário do IT.

Como manter a certificação?

Obter o certificado costuma parecer a meta, mas na verdade é o ponto de partida de um ciclo de três anos. A entidade certificadora não desaparece depois de te entregar o selo: volta periodicamente para confirmar que o teu SGSI continua vivo e que não ficou congelado no estado em que foi auditado.

  • As auditorias de acompanhamento anuais: são visitas mais curtas do que a certificação inicial, normalmente centradas numa amostra de controlos em vez de em todo o sistema. O auditor confirma que as não conformidades detetadas na certificação foram corrigidas a sério e não apenas no papel, e costuma alternar as áreas que analisa de ano para ano para não auditar sempre as mesmas.
  • A auditoria de recertificação: realiza-se antes de expirarem os três anos de validade e tem um âmbito mais parecido com a Fase 2 original. Se nas auditorias de acompanhamento anuais o SGSI se manteve ativo, esta auditoria é mais uma confirmação do que uma surpresa. Se se foram acumulando remendos por resolver, é o momento em que vêm todos ao de cima.
  • A melhoria contínua do SGSI: a norma não permite deixar o sistema tal como foi certificado. Cada incidente de segurança, cada nova ferramenta que se introduz ou cada mudança na organização deve traduzir-se numa revisão de riscos e controlos. Um SGSI que não se atualiza é uma das causas mais frequentes de não conformidade nos acompanhamentos.
  • A continuidade das provas: manter a certificação depende de conseguir demonstrar, a qualquer momento e não só antes de uma visita, que os controlos continuam a funcionar. Os registos de acessos, incidentes e formação devem ser gerados de forma contínua, para evitar o mesmo problema de última hora que já complica a certificação inicial.

Os principais erros

A maioria dos processos de certificação não falha por falta de conhecimento técnico. Falha por decisões de gestão que no momento parecem menores e que depois custam semanas de atraso. Estes são os erros que mais se repetem.

  • Tratar a certificação como um mero trâmite: quando o objetivo é apenas obter o selo, o SGSI é documentado para passar a auditoria, não para funcionar no dia a dia. O resultado é um sistema que passa a Fase 2 à tangente e que começa a acumular não conformidades logo no primeiro acompanhamento anual.
  • Deixar as provas para o fim: os registos de acessos, incidentes e formação não se reconstroem de memória duas semanas antes da auditoria. Se não forem gerados de forma contínua, surgem lacunas que o auditor deteta de imediato e que são muito mais difíceis de justificar do que um controlo simplesmente mal aplicado.
  • Calcular mal o tempo e os recursos: certificar-se não é uma tarefa que se possa absorver entre as outras responsabilidades da equipa de IT. Sem tempo dedicado nem apoio explícito da direção, o projeto arrasta-se, perde prioridade face às urgências do dia a dia e chega à auditoria pior preparado do que o previsto.
  • Escolher a entidade só pelo preço: uma tarifa mais baixa que não inclui experiência no teu setor ou boa disponibilidade de agenda costuma sair cara de outra forma, em prazos que se alongam ou num processo de auditoria mais pesado de gerir internamente.
  • Repetir a mesma não conformidade em cada auditoria: uma constatação pontual não põe em risco a certificação, mas um desvio que reaparece auditoria após auditoria põe, porque indica que o controlo nunca foi corrigido de fundo, apenas maquilhado para a visita seguinte.
  • Não envolver as pessoas fora do IT: a Fase 2 inclui entrevistas a colaboradores de diferentes áreas, não apenas à equipa técnica. Se mais ninguém na organização conhece as políticas do SGSI, essa distância entre o que está documentado e o que as pessoas realmente sabem tende a vir ao de cima exatamente nesse momento.

Como é que a Factorial IT te ajuda?

A parte do processo que consome mais tempo normalmente não é conceber as políticas, mas demonstrar que são cumpridas. A Factorial IT centraliza a gestão de dispositivos, acessos e segurança da tua organização e transforma essa gestão em provas prontas para auditoria.


plataforma factorial it

  • Inventário de ativos em tempo real. O MDM mantém um registo atualizado de todos os dispositivos da empresa, um dos primeiros elementos que qualquer auditor analisa na Fase 1.
  • Gestão centralizada dos acessos SaaS. Cada criação, remoção e alteração de permissões fica registada, o que facilita justificar o controlo de acessos durante a Fase 2.
  • Offboarding automático e documentado. Quando um colaborador sai da empresa, os seus acessos são revogados e o seu equipamento bloqueado automaticamente, com data e hora, um controlo que os auditores analisam com frequência.
  • Deteção e resposta no endpoint (EDR). Fornece a prova de que os dispositivos estão protegidos e monitorizados, não apenas inventariados.
  • Logs exportáveis a qualquer momento. Em vez de reconstruir provas manualmente antes de cada auditoria, os registos de atividade, acessos e incidentes ficam disponíveis de forma contínua, o que reduz o trabalho de preparação tanto na certificação inicial como nos acompanhamentos anuais.

Com esta base, a tua equipa chega à auditoria com provas reais e verificáveis, em vez de as reunir à pressa nas semanas que antecedem a visita do auditor.