Question 1

Como funciona o processo de certificação ISO 27001 com a Factorial IT?

Accepted Answer

O processo está estruturado em cinco etapas. Em várias delas, as tarefas mais trabalhosas (como o inventário de ativos ou a recolha de evidências) realizam-se de forma automática a partir dos dados reais da tua organização.

Diagnóstico e definição do SGSI. Avaliamos o teu nível de maturidade normativa e técnica e definimos o âmbito do Sistema de Gestão de Segurança da Informação, a política de segurança e os papéis responsáveis. Assim conheces o teu ponto de partida desde o primeiro dia.

Inventário de ativos e análise de riscos. A Factorial IT gera automaticamente o inventário de dispositivos e acessos em tempo real. Sobre esses dados construímos o teu mapa de riscos, sem inventários manuais.

Tratamento de riscos e seleção de controlos. Selecionamos os controlos aplicáveis do Anexo A e documentamos a Declaração de Aplicabilidade (SoA), que só requer a tua aprovação.

Implementação e documentação. As políticas de encriptação, bloqueio e gestão de acessos aplicam-se através do MDM, e cada controlo gera automaticamente a sua evidência exportável. Desta forma, implementar e evidenciar passam a ser um único passo.

Auditoria e certificação. Acompanhamos-te na auditoria interna e perante o organismo de certificação. Uma vez obtido o selo, as evidências continuam a gerar-se automaticamente para cada auditoria de acompanhamento.

Question 2

Em que se diferencia a Factorial IT de uma consultora ou de uma plataforma de compliance automation?

Accepted Answer

Não te deixamos com um certificado e um PDF, nem nos limitamos a ler dados de outras ferramentas. A base da nossa proposta é que o teu cumprimento se demonstra, não se declara apenas, e que assenta na tua própria infraestrutura. As diferenças-chave:

Somos a infraestrutura, não uma camada por cima. As plataformas de compliance automation operam sobre as tuas ferramentas existentes e recolhem evidências através de integrações; o MDM, o inventário, os acessos SaaS ou o antivírus continuam em sistemas separados. Na Factorial IT, a mesma plataforma que gere dispositivos, acessos, inventário, EDR e offboardings é a que gera a evidência: uma única fonte de verdade, sem informação para conciliar entre sistemas.

Evidência real. Cada controlo do Anexo A fica sustentado por evidência exportável gerada pela própria plataforma, e não por declarações no papel.

Base técnica automatizada. Dispositivos, acessos, MDM e EDR gerem-se a partir de um único sítio, por isso a base operacional do teu SGSI não tem de ser construída à mão.

Lead Auditors dedicados. Ao contrário de uma ferramenta que apenas agrega dados, uma equipa especializada guia-te do início ao fim.

Acompanhamento contínuo. Uma consultora costuma desaparecer quando obténs o selo; nós mantemos o teu cumprimento vivo para que chegues a cada auditoria de acompanhamento anual sem sobressaltos.

Question 3

Como se repartem as responsabilidades entre a Factorial IT e a minha organização?

Accepted Answer

Ocupamo-nos da maior parte do processo, repartido em duas frentes:

O que automatizamos. Inventário de dispositivos, controlo de acessos, aplicação de políticas via MDM, deteção de incidentes com EDR e recolha de evidências, sem uma única folha de cálculo.

O que redigimos. A nossa equipa de Lead Auditors prepara as políticas, a análise de riscos e a Declaração de Aplicabilidade a partir dos teus dados reais.

O teu papel limita-se a rever, aprovar e assinar. Sem montar um projeto paralelo de vários meses nem dedicar a tua equipa a tarefas manuais que lhes tiram tempo do que é importante.

Question 4

Se já tenho medidas de segurança implementadas, porque precisaria da Factorial IT?

Accepted Answer

Porque a maioria das empresas não reprova na ISO 27001 por falta de segurança, mas porque não a consegue demonstrar. É provável que já tenhas os equipamentos geridos, os acessos controlados e as políticas redigidas; o problema costuma surgir no dia da auditoria, quando a falha não é técnica, mas documental. Os pontos críticos mais habituais são:

1) Inventário desatualizado. A lista de ativos vive numa folha de cálculo que não reflete a situação real no momento da auditoria.

2) Acessos por revogar. Persistem contas ou permissões ativas de pessoas que já não fazem parte da organização.

3) Falta de evidência. Não existe um registo que demonstre que os controlos são aplicados de forma eficaz e continuada.

A Factorial IT cobre precisamente essa lacuna: transforma a tua operação diária em evidência de forma automática e contínua, para que aquilo que já fazes seja demonstrável perante o auditor.

Question 5

É necessário ter contratada a Factorial HR para certificar-se?

Accepted Answer

Não. A Factorial IT funciona de forma independente e integra-se com mais de 40 HRIS do mercado. O detalhe relevante está no offboarding:

- Com integração (Factorial HR ou outro HRIS). Ao registar uma saída nos RH, os acessos são revogados de forma automática, o dispositivo é bloqueado remotamente e o encerramento fica documentado com marca temporal.

- Porque importa. É um dos controlos que o auditor analisa com maior detalhe e onde mais frequentemente se detetam incidências.

O funcionamento é equivalente com um HRIS externo, desde que a integração permaneça ativa.

Question 6

Onde estão alojados os dados e a Factorial IT é uma solução segura?

Accepted Answer

Sim. A Factorial é uma empresa europeia com sede em Barcelona, sujeita ao RGPD e com a infraestrutura alojada em servidores AWS na Alemanha. Além disso, a empresa aplica à sua própria operação os mesmos padrões com os quais ajuda os clientes a certificarem-se:

- Certificações. ISO/IEC 27001:2023, SOC 2 Tipo I e II, e ENS Nível Alto.

- Conformidade normativa. RGPD, UK-GDPR e normativas equivalentes noutras regiões.

Question 7

A Factorial IT é uma solução acessível para organizações de menor dimensão?

Accepted Answer

Sim. Independentemente da dimensão da tua organização, desenhamos um plano personalizado que se ajusta à tua realidade, e não o contrário. Não aplicamos um preço único nem pacotes fechados: adaptamos o âmbito à tua situação concreta, quer sejas uma empresa pequena quer um ambiente multi-entidade. Na prática, a proposta é dimensionada em função de:

- A dimensão e a complexidade da tua organização. Uma empresa pequena não assume o mesmo âmbito que uma grande corporação, e o seu plano também não o reflete.

- Os referenciais que precisas de cobrir. Só dimensionamos o que o teu caso requer (ISO 27001, ENS, NIS2…), sem pagar por aquilo que não se aplica.

- O teu ponto de partida. Se já tens parte do trabalho avançado, aproveitamo-lo em vez de começar do zero.

Além disso, convém avaliar o custo no seu conjunto: grande parte do trabalho está automatizada e o cumprimento mantém-se sozinho ano após ano, o que evita as centenas de horas internas e o esforço recorrente que implica a via manual ou uma consultora tradicional. A melhor forma de conhecer o investimento que representa no teu caso é solicitar uma proposta personalizada, sem compromisso: elaboramo-la a partir da tua situação real e com total transparência.

Obtenha a certificação ISO 27001 em semanas, não em meses

Tudo o que precisas para a ISO 27001

Crie controlos que gerem riscos, não só cumprem normas

O que dizem outras equipas que já fizeram a mudança

Quanto te falta para a ISO 27001?

Perguntas frequentes