Controles essenciais da ISO 27001/27002 convertidos em práticas operacionais

O que significa “converter controles” em práticas operacionais

Na ISO 27001/27002, “controle” é uma intenção: algo que deve existir para reduzir riscos e manter a confidencialidade, integridade e disponibilidade. Na operação, porém, intenção não basta. Converter controles em práticas operacionais significa traduzir cada controle em: (1) rotinas executáveis, (2) evidências geradas automaticamente ou com baixo esforço, (3) responsáveis claros pela execução, (4) critérios de aceite e (5) métricas simples para acompanhar se está funcionando.

Uma forma prática de fazer essa conversão é tratar cada controle como um “pacote operacional” com cinco componentes: objetivo (por que existe), escopo (onde se aplica), procedimento mínimo (o que fazer e com que frequência), evidências (o que comprova) e verificação (como alguém confere). Isso evita burocracia porque você define o mínimo viável para manter o controle vivo, sem criar documentos que ninguém usa.

Como escolher controles essenciais sem cair em “checklist”

Mesmo sem repetir capítulos anteriores, vale uma regra operacional: controles essenciais são os que protegem os fluxos críticos do negócio e os ativos mais sensíveis, e que reduzem classes de incidentes recorrentes (phishing, vazamento por erro humano, acesso indevido, indisponibilidade por falha ou ataque). Na prática, um conjunto enxuto costuma cobrir: controle de acesso, gestão de identidades, proteção de endpoints, backups e recuperação, gestão de vulnerabilidades, segurança em mudanças, logging e monitoramento, resposta a incidentes, segurança de fornecedores e conscientização.

A ISO 27002 (versão 2022) organiza controles em temas (organizacionais, pessoas, físicos e tecnológicos). A conversão para operação fica mais fácil quando você agrupa por “rotinas” do time: rotinas de acesso, rotinas de mudança, rotinas de proteção e detecção, rotinas de continuidade e rotinas de terceiros.

Método de conversão: do texto da norma para a rotina

1) Transforme o controle em uma pergunta de auditoria interna

Exemplo: “A organização controla o acesso com base em necessidade e remove acessos quando não são mais necessários?” Essa pergunta vira a base do procedimento e da evidência.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...

Baixar o aplicativo

2) Defina o “mínimo operacional”

Para cada controle, defina o mínimo que precisa acontecer para ser verdadeiro. Exemplo: para revogação de acesso, o mínimo pode ser “todo desligamento gera desativação de conta no mesmo dia” e “revisão mensal de contas privilegiadas”.

3) Escolha evidências baratas

Evidência barata é a que já existe no sistema: logs de IAM, tickets de mudança, relatórios de backup, exportação do SIEM, lista de usuários do diretório, relatórios do scanner de vulnerabilidades. Evite evidência manual (planilhas preenchidas à mão) quando houver alternativa.

4) Coloque frequência e gatilhos

Controles operacionais funcionam por frequência (diária, semanal, mensal) e por gatilhos (novo colaborador, mudança em produção, incidente, novo fornecedor). Sem isso, o controle vira “quando der”.

5) Defina critérios objetivos de aceite

Critérios objetivos evitam discussões. Exemplo: “backup diário com sucesso ≥ 95% no mês” ou “correção de vulnerabilidade crítica em até 15 dias”.

Controle de acesso e gestão de identidades (IAM) como rotina

Conceito operacional

O objetivo é garantir que cada pessoa ou sistema tenha apenas o acesso necessário, pelo tempo necessário, com rastreabilidade. Na ISO, isso aparece em controles de gestão de identidades, autenticação, autorização, privilégios e revisão de acessos.

Práticas operacionais essenciais

• Provisionamento padronizado: acesso concedido via solicitação registrada (ticket) com aprovação do gestor e, quando aplicável, do dono do sistema.
• Desprovisionamento rápido: desligamentos e mudanças de função disparam remoção/ajuste de acesso.
• Revisões periódicas: revisão de acessos privilegiados e de sistemas críticos em cadência definida.
• MFA: autenticação multifator para acesso remoto, contas privilegiadas e sistemas sensíveis.
• Separação de funções: evitar que a mesma pessoa aprove e execute ações críticas sem controle compensatório.

Passo a passo prático (mínimo viável)

• Passo 1: defina 3 categorias de contas: padrão, privilegiada e serviço (integrações).
• Passo 2: crie um fluxo único de solicitação de acesso (ticket) com campos obrigatórios: sistema, perfil, justificativa, data de expiração (quando aplicável), aprovador.
• Passo 3: implemente MFA para: VPN/SSO, e-mail, painel administrativo e acesso a nuvem.
• Passo 4: estabeleça SLA de desativação: desligamento = mesmo dia; mudança de função = até 2 dias úteis.
• Passo 5: rode revisão mensal de contas privilegiadas e trimestral de acessos a sistemas críticos; registre exceções com prazo.

Evidências e métricas

• Evidências: tickets de acesso, logs do diretório/SSO, relatório de contas privilegiadas, export de grupos e permissões.
• Métricas: % de desligamentos desativados no mesmo dia; número de contas privilegiadas; % de acessos revisados no período; % de MFA habilitado.

Gestão de mudanças e configuração segura

Conceito operacional

Grande parte dos incidentes nasce de mudanças mal controladas: abertura de portas, permissões excessivas, deploy sem validação, alteração de firewall sem rastreio. A ISO trata isso como controle de mudanças, configuração segura e segregação de ambientes.

Práticas operacionais essenciais

• Change management leve: toda mudança em produção tem registro, avaliação de risco, plano de rollback e aprovação proporcional ao impacto.
• Baselines de configuração: padrões mínimos para servidores, endpoints, rede e cloud (ex.: criptografia habilitada, logs ativos, portas restritas).
• Infra como código e revisão: quando possível, mudanças via código com revisão por pares.
• Segregação: ambientes de dev/test/prod separados e com credenciais distintas.

Passo a passo prático

• Passo 1: classifique mudanças em 3 tipos: padrão (baixo risco, pré-aprovada), normal (aprovada caso a caso) e emergencial (para restaurar serviço).
• Passo 2: defina campos mínimos do ticket de mudança: escopo, impacto, janela, rollback, validação pós-mudança, responsável.
• Passo 3: crie uma checklist curta de configuração segura para cada tecnologia crítica (ex.: banco de dados, Kubernetes, firewall, SaaS).
• Passo 4: exija evidência pós-mudança: print/log de validação, monitoramento estável por X horas, ou teste automatizado.
• Passo 5: para mudanças emergenciais, faça “revisão posterior” em até 48 horas para registrar causa e correções.

Evidências e métricas

• Evidências: tickets de mudança, PRs revisados, logs de deploy, relatórios de compliance de configuração.
• Métricas: % de mudanças com rollback definido; taxa de falha por mudança; número de mudanças emergenciais; tempo médio de restauração após mudança.

Gestão de vulnerabilidades e correções (patching) orientada a risco

Conceito operacional

O controle não é “rodar scanner”; é reduzir a janela em que uma vulnerabilidade explorável fica aberta. A ISO aborda vulnerabilidades técnicas, gestão de patches e hardening.

Práticas operacionais essenciais

• Varredura recorrente: interna e externa, com cobertura de servidores, endpoints e aplicações quando possível.
• Triagem: separar falso positivo, vulnerabilidade não explorável no contexto e vulnerabilidade crítica real.
• SLA de correção: prazos por severidade e exposição (internet vs interno).
• Exceções controladas: quando não dá para corrigir, aplicar mitigação e prazo de revisão.

Passo a passo prático

• Passo 1: defina severidade operacional combinando CVSS + exposição (internet) + criticidade do sistema.
• Passo 2: estabeleça SLAs simples: crítico internet 7 dias; crítico interno 15 dias; alto 30 dias; médio 60 dias (ajuste à realidade).
• Passo 3: crie um ritual semanal de 30–45 minutos: revisar top 10 vulnerabilidades por risco e atribuir responsáveis.
• Passo 4: integre correções ao fluxo de mudança (quando impactar produção) para não virar “trabalho paralelo”.
• Passo 5: registre exceções com: justificativa, mitigação (WAF, regra de firewall, desativar serviço), data de expiração.

Evidências e métricas

• Evidências: relatórios do scanner, tickets de correção, evidência de patch aplicado, registro de exceções.
• Métricas: % dentro do SLA por severidade; tempo médio para corrigir; número de exceções expiradas; tendência de vulnerabilidades críticas.

Proteção contra malware e segurança de endpoints

Conceito operacional

O controle busca reduzir execução de código malicioso, ransomware e perda de dados por dispositivos comprometidos. Na prática, envolve EDR/antimalware, hardening, controle de aplicações e atualização contínua.

Práticas operacionais essenciais

• EDR/antimalware gerenciado: políticas centralizadas, alertas e resposta.
• Criptografia de disco: especialmente em notebooks.
• Bloqueio de macros e scripts: regras para reduzir vetores comuns.
• Privilégio mínimo no endpoint: evitar usuário local admin por padrão.

Passo a passo prático

• Passo 1: padronize imagem/base do endpoint com criptografia, firewall ativo e atualizações automáticas.
• Passo 2: habilite EDR com política: quarentena automática, bloqueio de execução suspeita e coleta de telemetria.
• Passo 3: implemente processo de exceção para softwares bloqueados (com justificativa e prazo).
• Passo 4: defina rotina de revisão semanal de alertas de alta severidade e lições aprendidas.

Evidências e métricas

• Evidências: console do EDR, relatórios de conformidade do endpoint, lista de máquinas sem criptografia.
• Métricas: cobertura do EDR (% ativos); tempo para isolar endpoint; número de endpoints com patch atrasado; incidentes por phishing/malware.

Backups, restauração e resiliência (continuidade técnica)

Conceito operacional

Backup não é “ter cópia”; é conseguir restaurar dentro do tempo necessário e com integridade. A ISO trata backup, redundância e preparação para interrupções.

Práticas operacionais essenciais

• Regra 3-2-1: 3 cópias, 2 mídias/locais, 1 offline/imutável quando possível.
• Testes de restauração: sem teste, backup é aposta.
• Proteção do backup: contas separadas, MFA, retenção e imutabilidade para resistir a ransomware.
• RPO/RTO operacionais: metas de perda aceitável e tempo de recuperação por sistema crítico.

Passo a passo prático

• Passo 1: defina para cada sistema crítico: frequência de backup, retenção e meta de restauração (RTO/RPO).
• Passo 2: separe credenciais de backup das credenciais de administração do ambiente.
• Passo 3: implemente backup imutável/offline para dados mais críticos.
• Passo 4: execute teste mensal de restauração de um item pequeno (arquivo/DB) e teste trimestral de restauração completa de um sistema prioritário.
• Passo 5: registre resultados do teste: tempo, falhas, ajustes necessários.

Evidências e métricas

• Evidências: relatórios de jobs de backup, logs de restauração, registros de testes.
• Métricas: taxa de sucesso de backup; tempo real de restauração vs meta; % de sistemas com backup imutável; falhas recorrentes por origem.

Logging, monitoramento e detecção de eventos

Conceito operacional

O controle busca detectar rapidamente acessos indevidos, abuso de privilégios, malware e falhas. Operacionalmente, isso significa coletar logs certos, manter retenção adequada e ter rotina de triagem de alertas.

Práticas operacionais essenciais

• Logs prioritários: autenticação (SSO/IAM), ações administrativas, acesso a dados sensíveis, firewall/WAF, endpoints, e-mail.
• Sincronização de tempo: NTP para correlação.
• Retenção: período mínimo alinhado a necessidades legais e de investigação.
• Casos de uso: alertas para comportamentos relevantes (login impossível, múltiplas falhas, criação de usuário admin, exfiltração).

Passo a passo prático

• Passo 1: liste 10 eventos que você quer detectar (ex.: login admin fora do horário, desativação de MFA, download massivo).
• Passo 2: garanta que as fontes de log desses eventos estão coletando e enviando para um repositório central.
• Passo 3: defina severidades e tempos de resposta (ex.: crítico = triagem em até 1 hora útil).
• Passo 4: crie rotina diária de triagem (15–30 min) e rotina semanal de ajuste de regras para reduzir ruído.

Evidências e métricas

• Evidências: dashboards, alertas, tickets de investigação, registros de retenção.
• Métricas: MTTD (tempo para detectar), MTTR (tempo para responder), taxa de falso positivo, cobertura de fontes de log.

Resposta a incidentes como processo executável

Conceito operacional

Resposta a incidentes não é um documento; é uma capacidade: identificar, conter, erradicar, recuperar e aprender. A ISO exige que incidentes sejam gerenciados de forma consistente e que lições aprendidas alimentem melhorias.

Práticas operacionais essenciais

• Classificação: critérios para dizer se é incidente e qual severidade.
• Playbooks: roteiros curtos para cenários comuns (phishing, ransomware, vazamento, credencial comprometida).
• Canal único: onde registrar e acompanhar (ticket/war room).
• Preservação de evidências: logs, imagens, cadeia de custódia quando necessário.

Passo a passo prático

• Passo 1: defina 4 severidades com critérios objetivos (impacto, escopo, dados envolvidos, indisponibilidade).
• Passo 2: crie playbooks de 1 página para 3 cenários mais prováveis, com: sinais, contenção imediata, quem acionar, evidências a coletar.
• Passo 3: estabeleça um “kit de contenção”: bloquear usuário, resetar senha, revogar tokens, isolar endpoint, bloquear IP/domínio.
• Passo 4: após incidente, faça revisão rápida (30–60 min) para identificar causa raiz e ações preventivas com responsáveis e prazo.

Evidências e métricas

• Evidências: tickets de incidente, timeline, decisões registradas, relatório de lições aprendidas.
• Métricas: tempo de contenção; reincidência por causa; % de ações pós-incidente concluídas no prazo.

Segurança em fornecedores e serviços terceirizados

Conceito operacional

Fornecedores ampliam a superfície de ataque: SaaS, consultorias, processamento de dados, suporte remoto. O controle busca garantir que o risco de terceiros seja conhecido e que existam obrigações mínimas de segurança e privacidade.

Práticas operacionais essenciais

• Due diligence proporcional: questionário enxuto para fornecedores de baixo risco e avaliação mais profunda para alto risco.
• Cláusulas contratuais: confidencialidade, notificação de incidente, requisitos de acesso, subcontratação, retenção e descarte.
• Gestão de acessos de terceiros: acesso temporário, MFA, registro e revisão.
• Revisão periódica: reavaliar fornecedores críticos anualmente ou quando houver mudança relevante.

Passo a passo prático

• Passo 1: categorize fornecedores em baixo/médio/alto risco com base em: acesso a dados sensíveis, acesso à rede, criticidade do serviço.
• Passo 2: para alto risco, exija evidências mínimas: política de segurança, controles de acesso, backup, logs, e processo de incidentes; aceite relatórios independentes quando existirem.
• Passo 3: inclua no contrato: prazo de notificação de incidente (ex.: 24–72h), obrigação de cooperação e requisitos de segurança para subcontratados.
• Passo 4: implemente revisão semestral de acessos de terceiros e encerramento imediato ao fim do contrato.

Evidências e métricas

• Evidências: avaliação de fornecedor, contrato com cláusulas, lista de acessos de terceiros, registros de revisão.
• Métricas: % de fornecedores críticos avaliados; tempo para revogar acesso após término; incidentes originados em terceiros.

Proteção de dados: criptografia e manuseio seguro no dia a dia

Conceito operacional

A ISO trata criptografia, mascaramento, prevenção de vazamento e manuseio seguro. Operacionalmente, o foco é reduzir exposição de dados em trânsito, em repouso e em uso, e evitar compartilhamentos indevidos.

Práticas operacionais essenciais

• Criptografia em trânsito: TLS em serviços e integrações.
• Criptografia em repouso: discos, bancos e storage com chaves gerenciadas.
• Gestão de chaves: rotação, acesso restrito, segregação de funções.
• Compartilhamento controlado: links com expiração, restrição de domínio, bloqueio de público.

Passo a passo prático

• Passo 1: defina padrão mínimo: “sem HTTP”, “sem armazenamento sem criptografia”, “sem dados sensíveis em e-mail sem proteção”.
• Passo 2: habilite criptografia padrão em notebooks e storage; para bancos, habilite criptografia e backups criptografados.
• Passo 3: restrinja criação de links públicos em ferramentas de compartilhamento e exija expiração padrão (ex.: 7 ou 30 dias).
• Passo 4: implemente rotação de chaves/segredos e proíba segredos em código; use cofre de segredos quando aplicável.

Evidências e métricas

• Evidências: configurações de TLS, relatórios de criptografia, auditoria de chaves, logs de compartilhamento.
• Métricas: % de storage criptografado; número de links públicos; segredos expostos detectados; rotação realizada no prazo.

Conscientização e comportamento seguro como controle operacional

Conceito operacional

Treinamento não é evento anual; é mudança de comportamento. A ISO inclui conscientização, educação e disciplina. Na prática, você quer reduzir cliques em phishing, melhorar reporte de incidentes e aumentar adesão a boas práticas.

Práticas operacionais essenciais

• Treinamento curto e recorrente: módulos de 10–15 minutos com foco em situações reais.
• Campanhas direcionadas: para áreas com maior exposição (financeiro, RH, suporte).
• Simulações e reforço: phishing simulado e feedback imediato, quando aplicável.
• Canal de reporte: botão ou e-mail simples para reportar suspeitas.

Passo a passo prático

• Passo 1: escolha 5 temas prioritários: phishing, senhas/MFA, compartilhamento de dados, uso de dispositivos, incidentes.
• Passo 2: defina cadência: onboarding + reciclagem semestral + pílulas mensais para áreas críticas.
• Passo 3: crie um fluxo de reporte: usuário reporta, time triage, resposta padrão e lição aprendida.
• Passo 4: acompanhe indicadores por área e ajuste conteúdo onde houver mais falhas.

Evidências e métricas

• Evidências: registros de participação, materiais, relatórios de simulação, tickets de reporte.
• Métricas: taxa de reporte de phishing; taxa de clique (quando houver simulação); tempo para reportar; cobertura de treinamento.

Como empacotar controles em “rotinas de operação” (modelo reutilizável)

Para manter os controles vivos, agrupe-os em rotinas com dono, frequência e checklist curta. Exemplo de pacotes:

• Rotina semanal de higiene técnica: revisar vulnerabilidades críticas, verificar endpoints sem EDR, revisar alertas de alta severidade, checar falhas de backup.
• Rotina mensal de acesso: revisão de contas privilegiadas, revisão de acessos de terceiros, auditoria de contas inativas.
• Rotina trimestral de resiliência: teste de restauração completo, exercício de incidente (tabletop) para um cenário realista, revisão de baselines.

Um formato simples de checklist operacional por rotina pode ser:

Rotina: Revisão mensal de acessos privilegiados  Dono: Segurança/IAM  Frequência: Mensal  Entrada: lista de admins (SSO/AD/Cloud)  Passos: 1) Exportar lista 2) Validar com gestores 3) Remover excessos 4) Registrar exceções com prazo  Evidência: export + ticket + alterações aplicadas  Critério de aceite: 100% revisado; exceções com expiração

Erros comuns ao operacionalizar controles (e como evitar)

• Controle sem gatilho: “fazer revisão de acessos” sem dizer quando e como. Corrija definindo frequência, entrada e saída.
• Evidência manual demais: planilhas e prints em excesso. Prefira exportações e logs do sistema.
• SLA impossível: prazos que ninguém cumpre viram “não conformidade crônica”. Ajuste por criticidade e capacidade, e evolua.
• Exceção eterna: exceções sem data de expiração viram regra. Exija expiração e revisão.
• Sem verificação independente: quem executa também “audita”. Crie checagens amostrais por outra pessoa/time.