Ir para o conteúdo
ISO 27001

ISO 27001 vs SOC 2: quais são as diferenças?

·
6 minutos de leitura
RH de um lado, IT do outro?
Gira dispositivos, licenças e segurança a partir de um único lugar. Sincronizado com as entradas e saídas da tua equipa. Descubra o Factorial IT
Escrito por

A ISO 27001 e o SOC 2 aparecem quase sempre juntos, mencionados na mesma frase e como se fossem intercambiáveis. Ambos provam a terceiros que a tua empresa protege bem a sua informação, mas nascem em continentes diferentes, estão estruturados de forma distinta e não têm o mesmo peso consoante quem os tenha de ler. Confundi-los pode levar-te a investir meses de trabalho e um orçamento considerável naquele que o teu mercado nem sequer te está a pedir.

E, ainda assim, têm muito em comum. Ambos assentam numa auditoria externa, partilham cerca de 80% dos seus controlos e procuram o mesmo, gerar confiança junto de clientes e parceiros. A diferença está sobretudo na forma como o comprovam e perante quem.

Neste artigo explicamos-te o que é cada um, em que se distinguem e quando faz sentido apostar num, no outro ou em ambos, para que saibas exatamente o que o mercado te está a pedir e do que a tua empresa precisa.

O que é a ISO 27001?

A ISO 27001 (oficialmente ISO/IEC 27001) é a norma internacional que estabelece os requisitos para implementar, manter e melhorar um Sistema de Gestão da Segurança da Informação (SGSI). A sua última versão é de outubro de 2022 e é a referência mais reconhecida do mundo nesta matéria, presente em mais de 150 países.

A sua grande particularidade é que é certificável. Qualquer organização, seja qual for a sua dimensão ou setor, pode submeter-se a uma auditoria externa realizada por uma entidade acreditada (em Portugal, acreditada pelo IPAC) e obter um certificado oficial com validade internacional. Esse certificado tem uma validade de três anos, com auditorias anuais de acompanhamento.

A norma está organizada em dois blocos. Por um lado, as cláusulas obrigatórias (da 4 à 10), que definem como construir e operar o SGSI. Por outro, o Anexo A, com 93 controlos de segurança agrupados em quatro categorias. Cada organização justifica quais se lhe aplicam na sua Declaração de Aplicabilidade (SoA). É, além disso, o ponto de partida habitual para abordar outras normativas europeias como a diretiva NIS2 ou o Regime Jurídico da Segurança do Ciberespaço.

Pontos-chave da ISO 27001

  • Norma internacional: a norma de referência para Sistemas de Gestão da Segurança da Informação (SGSI).
  • Certificável: uma entidade acreditada emite um certificado oficial com validade de três anos e auditorias anuais de acompanhamento.
  • Abordagem de gestão: define o que a organização tem de fazer para gerir a sua segurança de forma contínua.
  • 93 controlos: o Anexo A reúne os controlos de segurança, organizados em quatro categorias (organizacionais, de pessoas, físicos e tecnológicos).
  • Reconhecimento global: especialmente valorizada na UE, no Reino Unido, no setor público e por clientes internacionais.
  • Base para outras normativas: ponto de partida habitual para cumprir a NIS2 e os demais deveres de cibersegurança.

O que é o SOC 2?

O SOC 2 (System and Organization Controls 2) é um referencial de auditoria desenvolvido pela AICPA (American Institute of Certified Public Accountants), o organismo norte-americano dos contabilistas certificados. Avalia como uma organização de serviços protege os dados que os clientes lhe confiam e é especialmente comum entre empresas SaaS, fornecedores cloud e empresas tecnológicas.

Ao contrário da ISO 27001, o SOC 2 não é uma certificação. A auditoria resulta num relatório de atestação emitido por uma firma de CPA (contabilistas certificados autorizados nos Estados Unidos), no qual o auditor dá a sua opinião sobre a conceção e o funcionamento dos controlos da empresa. Não existe um «certificado SOC 2» para pendurar na parede. O que recebes é um relatório detalhado que os clientes ou investidores leem, normalmente ao abrigo de um acordo de confidencialidade.

A avaliação assenta em cinco Critérios de Serviços de Confiança (Trust Services Criteria), dos quais apenas o da segurança é obrigatório. Cada empresa decide quais dos outros quatro inclui, o que faz do SOC 2 um referencial flexível em que cada organização define o seu próprio âmbito. Esse relatório pode ser de Tipo I, que avalia a conceção dos controlos num momento concreto, ou de Tipo II, que mede também a sua eficácia ao longo de um período de seis a doze meses e é considerado a garantia mais sólida.

Pontos-chave do SOC 2

  • Referencial norte-americano: desenvolvido pela AICPA e muito difundido nos EUA e no ecossistema SaaS.
  • Relatório, não certificação: o resultado é um relatório de atestação emitido por uma firma de CPA.
  • Cinco Critérios de Serviços de Confiança: segurança (obrigatório), disponibilidade, integridade do processamento, confidencialidade e privacidade.
  • Âmbito flexível: cada empresa define os controlos e os critérios que quer incluir na auditoria.
  • Tipo I e Tipo II: o Tipo I avalia a conceção dos controlos e o Tipo II a sua eficácia ao longo de um período de tempo.
  • Orientado a clientes e investidores: comum em processos de due diligence e na seleção de fornecedores nos EUA.

Diferenças entre a ISO 27001 e o SOC 2

Embora partilhem grande parte dos controlos e persigam o mesmo objetivo de proteger a informação, funcionam de forma diferente. A ISO 27001 certifica um sistema de gestão completo. O SOC 2 emite um relatório sobre um conjunto de controlos selecionados. Estas são as principais diferenças entre ambos.

Critério ISO 27001 SOC 2
Origem ISO/IEC (internacional) AICPA (Estados Unidos)
Tipo de resultado Certificação oficial Relatório de atestação
Quem audita Entidade de certificação acreditada Firma de CPA autorizada
O que recebes Certificado com resultado aprovado ou não aprovado Relatório detalhado com a opinião do auditor
Abordagem Requisitos de um SGSI completo Controlos sobre um serviço específico
Flexibilidade Prescritivo, estrutura padronizada Flexível, a empresa define o âmbito
Reconhecimento Global, muito valorizado na UE Predominante nos EUA
Validade Três anos com auditorias anuais O Tipo II cobre um período de 6 a 12 meses
Modalidades Certificação única Tipo I e Tipo II

Quando escolher a ISO 27001 ou o SOC 2?

Na prática, a escolha depende menos de qual é «melhor» e mais de onde estão os teus clientes e do que te estão a pedir. Os dois referenciais são sólidos e partilham cerca de 80% dos controlos, por isso trabalhar um adianta boa parte do outro.

Se o teu mercado é europeu, se vendes ao setor público ou se concorres a concursos públicos, a opção natural é a ISO 27001. É o padrão que reguladores, administrações e clientes enterprise reconhecem na UE, e encaixa com normativas como o RGPD, a NIS2 ou o Regime Jurídico da Segurança do Ciberespaço. Para a maioria das empresas portuguesas que querem demonstrar maturidade em segurança, é o ponto de partida.

Se os teus clientes ou os teus investidores estão nos Estados Unidos, sobretudo na área SaaS ou tecnológica, o mais provável é que te peçam um relatório SOC 2. Em muitos processos de compra norte-americanos tornou-se um requisito de facto, ao ponto de alguns clientes não avançarem com um fornecedor que não o consiga mostrar.

E se a tua empresa opera dos dois lados do Atlântico, o mais sensato é ponderar os dois. Aqui a ordem importa. O mais eficiente costuma ser certificar primeiro a ISO 27001, que estrutura todo o SGSI, e apoiar-se depois nesse trabalho para o relatório SOC 2. Fazer o contrário costuma sair mais caro, porque obriga a montar todo o sistema de gestão sobre uma base que não foi pensada para isso.

Como é que o Factorial IT te ajuda com a ISO 27001 e o SOC 2?

A ISO 27001 e o SOC 2 pedem o mesmo tipo de evidências técnicas, mas a partir de ângulos diferentes. A ISO avalia se o controlo está integrado no teu sistema de gestão. O SOC 2 verifica se funciona de forma continuada durante o período auditado. O Factorial IT gera essas evidências de forma automática, com a operação do dia a dia, que é precisamente o que um auditor de Tipo II valida.

plataforma factorial it

Na prática, cobre os controlos de acessos, dispositivos e inventário que ambos os referenciais analisam. Para a ISO 27001 ficam documentados e exportáveis para a Declaração de Aplicabilidade. Para o SOC 2 alimentam o critério de segurança, com o offboarding sincronizado com o RH a cortar os acessos no momento da saída e a deixar registo disso.

  • Inventário de ativos de TI: catálogo automático de dispositivos, software e acessos, exportável como evidência para a SoA da ISO 27001 e para o âmbito do SOC 2.
  • Gestão de acessos: permissões às ferramentas SaaS atribuídas e revogadas por função, a base do controlo A.5.15 da ISO e do critério de segurança do SOC 2.
  • Segurança dos dispositivos: encriptação, palavras-passe e bloqueio aplicados em cada equipamento, com registo do estado para demonstrar o controlo de forma continuada.
  • Offboarding seguro: quando um colaborador é desativado no RH, todos os seus acessos são fechados sem intervenção manual e fica registo disso para o auditor.
  • Evidências de auditoria: relatórios de conformidade gerados de forma automática, prontos a exportar tanto na certificação ISO como no relatório de Tipo II.

Outros artigos relacionados: