Função Governar do NIST CSF 2.0 para PME e ISO 27001
Sarah, a Diretora de Segurança da Informação (CISO) recém-nomeada de uma PME FinTech em rápido crescimento, tinha um quadro branco cheio de referenciais e um prazo impossível de adiar. NIST CSF 2.0. ISO 27001:2022. NIS2. DORA. RGPD da UE. Risco de fornecedores. Responsabilização do órgão de administração. Diligência prévia de clientes empresariais.
O ponto de partida era familiar: uma folha de cálculo enviada por um grande cliente de serviços financeiros. A equipa de compras queria evidência de um modelo de governação da cibersegurança, apetite ao risco, programa de segurança de fornecedores, mapeamento de obrigações legais e regulamentares, processo de escalonamento de incidentes e alinhamento com a ISO 27001:2022.
A Diretora Executiva não queria uma aula sobre conformidade. Queria uma resposta simples para uma pergunta difícil: “Como demonstramos ao órgão de administração, aos clientes e aos reguladores que controlamos o risco de cibersegurança?”
Este é o problema de governação enfrentado por muitas PME. Um questionário de cliente raramente é apenas um questionário de cliente. Muitas vezes, são cinco conversas de conformidade comprimidas num único pedido. NIST CSF 2.0, ISO/IEC 27001:2022, RGPD da UE, NIS2, expectativas de fornecedores impulsionadas pela DORA, resiliência na cloud, supervisão pelo órgão de administração e compromissos contratuais estão todos escondidos no mesmo pedido de evidência.
Muitas PME respondem criando artefactos separados: uma folha de cálculo NIST, uma pasta de certificação ISO, um ficheiro de acompanhamento do RGPD da UE, um registo de riscos de fornecedores e um plano de resposta a incidentes que não se articulam. Seis meses depois, ninguém sabe qual é o documento de referência.
A abordagem da Clarysec é diferente: usar a função Governar do NIST CSF 2.0 como camada de governação executiva e mapeá-la para políticas ISO 27001:2022, tratamento de riscos, Declaração de Aplicabilidade, supervisão de fornecedores, revisão pela gestão e evidência de auditoria. O resultado não é mais trabalho de conformidade. É um único modelo operacional capaz de responder a auditores, clientes, reguladores e liderança com o mesmo conjunto de evidência.
Porque a função Governar do NIST CSF 2.0 é importante para as PME
O NIST CSF 2.0 eleva a governação a uma função própria, a par de Identificar, Proteger, Detetar, Responder e Recuperar. Esta alteração é importante porque a maioria das falhas de segurança nas PME não resulta da ausência de mais uma ferramenta. Resulta de responsabilização pouco clara, decisões de risco frágeis, exceções documentadas de forma insuficiente, supervisão inconsistente de fornecedores e políticas aprovadas uma vez, mas nunca operacionalizadas.
A função Governar do NIST CSF 2.0 muda a pergunta de “que controlos temos?” para “quem é responsável, que obrigações se aplicam, como são os riscos priorizados e como é revisto o desempenho?”
Para as PME, os resultados de Governar estabelecem um mandato prático:
- Compreender e gerir obrigações legais, regulamentares, contratuais, de privacidade e de liberdades civis.
- Estabelecer apetite ao risco, tolerância ao risco, pontuação de risco, priorização e opções de resposta ao risco.
- Definir papéis, responsabilidades, autoridades, vias de escalonamento e recursos de cibersegurança.
- Estabelecer, comunicar, aplicar, rever e atualizar políticas de cibersegurança.
- Rever a estratégia de cibersegurança, o desempenho e a responsabilização da gestão.
- Governar o risco de cibersegurança de fornecedores e terceiros desde a diligência prévia até à desvinculação.
É por isso que a função Governar do NIST CSF 2.0 é uma porta de entrada tão forte para a ISO 27001:2022. O NIST dá aos executivos a linguagem de governação. A ISO 27001:2022 fornece o sistema de gestão auditável.
As cláusulas 4 a 10 da ISO 27001:2022 exigem que as organizações compreendam o contexto, definam as partes interessadas, estabeleçam o âmbito do SGSI, demonstrem liderança, planeiem a avaliação e o tratamento de riscos, suportem informação documentada, operem controlos, avaliem o desempenho, realizem auditorias internas e revisões pela gestão, e melhorem continuamente. O Anexo A fornece depois o conjunto de referências de controlos, incluindo políticas, responsabilidades da gestão, obrigações legais, privacidade, relações com fornecedores, serviços na cloud, gestão de incidentes e prontidão das TIC para a continuidade do negócio.
A Política de Segurança da Informação empresarial da Clarysec Política de Segurança da Informação estabelece:
A organização deve manter um modelo formal de governação para supervisionar o SGSI, alinhado com as Cláusulas 5.1 e 9.3 da ISO/IEC 27001.
Esse requisito, da cláusula 5.1 da Política de Segurança da Informação, é a ponte prática entre a responsabilização NIST GV e as expectativas de liderança da ISO 27001:2022. A governação não é uma apresentação anual. É um modelo formal que liga decisões, políticas, funções, riscos, controlos, evidência e revisão.
O mapeamento essencial: função Governar do NIST CSF 2.0 para evidência ISO 27001:2022
A forma mais rápida de tornar o NIST CSF 2.0 útil é converter os resultados de Governar em propriedade das políticas e evidência de auditoria. A tabela abaixo é a estrutura que a Clarysec usa com PME em preparação para certificação ISO 27001:2022, diligência prévia de clientes empresariais, preparação para NIS2, garantia de clientes DORA e responsabilização RGPD da UE.
| Área da função Governar do NIST CSF 2.0 | Pergunta de governação da PME | Alinhamento ISO 27001:2022 | Âncora de política Clarysec | Evidência esperada por auditores e clientes |
|---|---|---|---|---|
| GV.OC, contexto organizacional | Conhecemos as nossas obrigações legais, regulamentares, contratuais, de privacidade e de negócio? | Cláusulas 4.1 a 4.4, Anexo A 5.31 e 5.34 | Política de Cumprimento Legal e Regulamentar | Registo de Conformidade, âmbito do SGSI, registo de partes interessadas, mapa de obrigações de clientes, registo de privacidade |
| GV.RM, estratégia de gestão de riscos | Como definimos, pontuamos, priorizamos, aceitamos e tratamos riscos de cibersegurança? | Cláusulas 6.1.1 a 6.1.3, 8.2 e 8.3 | Política de Gestão de Riscos | Metodologia de avaliação de riscos, registo de riscos, plano de tratamento de riscos, aprovações dos proprietários do risco, mapeamento da SoA |
| GV.RR, papéis e responsabilidades | Quem é responsável por decisões de cibersegurança, exceções, recursos e reporte? | Cláusulas 5.1 a 5.3, Anexo A 5.2 e 5.4 | Governance Roles and Responsibilities Policy-sme | RACI, descrições de função, atas de reunião, aprovações de exceções, registos de formação |
| GV.PO, política | As políticas são aprovadas, comunicadas, aplicadas, revistas e atualizadas? | Cláusulas 5.2, 7.5 e 9.3, Anexo A 5.1 | Política de Segurança da Informação | Registo de políticas, registos de aprovação, histórico de versões, confirmações dos colaboradores, atas de revisão de políticas |
| GV.OV, supervisão | A estratégia e o desempenho de cibersegurança são revistos e ajustados? | Cláusulas 9.1, 9.2, 9.3, 10.1 e 10.2 | Política de Auditoria e Monitorização da Conformidade | painel de gestão de KPI, plano de auditoria interna, resultados da revisão pela gestão, ações corretivas |
| GV.SC, risco da cadeia de fornecimento | Os fornecedores são conhecidos, priorizados, avaliados, contratualizados, monitorizados e desvinculados? | Anexo A 5.19 a 5.23 e 5.30 | Third-Party and Supplier Security Policy-sme | inventário de fornecedores, registos de diligência prévia, cláusulas contratuais, registos de revisão, planos de saída, contactos de incidente |
Este mapeamento é intencionalmente orientado para evidência. Não pede à PME que crie 40 documentos. Faz cinco perguntas operacionais:
- Que decisão está a ser tomada?
- Quem é responsável por ela?
- Que política a governa?
- Que cláusula ISO 27001:2022 ou controlo do Anexo A a suporta?
- Que evidência demonstra que aconteceu?
A Governance Roles and Responsibilities Policy-sme Governance Roles and Responsibilities Policy-sme - SME torna essa rastreabilidade explícita:
Todas as decisões, exceções e escalonamentos de segurança significativos devem ser registados e rastreáveis.
Esta citação provém da cláusula 5.5 da Governance Roles and Responsibilities Policy-sme. Transforma o NIST GV.RR de um princípio de governação numa regra operacional auditável.
Comece por um Perfil CSF para Governar, não por uma folha de cálculo de controlos
Os Perfis Organizacionais do NIST CSF 2.0 ajudam as organizações a descrever resultados atuais e alvo de cibersegurança. Para as PME, o Perfil é onde a governação se torna gerível.
Um workshop prático de Perfil para Governar deve responder a cinco perguntas:
- O que está no âmbito: a empresa inteira, uma plataforma SaaS, um produto regulado ou um ambiente de cliente?
- Que obrigações impulsionam o perfil: contratos de clientes, RGPD da UE, exposição NIS2, expectativas de clientes impulsionadas pela DORA, certificação ISO 27001:2022 ou diligência prévia de investidores?
- O que prova a evidência atual, e não o que as pessoas acreditam que existe?
- Que estado-alvo é realista para os próximos 90 dias e para os próximos 12 meses?
- Que riscos, políticas, fornecedores e entradas da SoA têm de mudar?
O Zenith Blueprint: roteiro de 30 passos de um auditor Zenith Blueprint apoia este trabalho na fase Fundação e Liderança do SGSI, passo 6, “Informação documentada e construção da biblioteca do SGSI”. Recomenda preparar a SoA cedo e utilizá-la como biblioteca de controlos:
✓ Controlos adicionais: existem controlos fora do Anexo A que possa incluir? A ISO 27001 permite acrescentar outros controlos na SoA. Por exemplo, talvez queira incluir conformidade com o NIST CSF ou controlos específicos de privacidade da ISO 27701. Em geral, o Anexo A é abrangente, mas pode acrescentar quaisquer controlos únicos que planeie
✓ Use uma folha de cálculo (SoA Builder): uma abordagem prática é preparar já a folha de cálculo da SoA. Preparámos um modelo SoA_Builder.xlsx que lista todos os controlos do Anexo A com colunas para aplicabilidade, estado de implementação e notas.
Para uma PME, isto é importante. Não é necessário forçar o NIST CSF 2.0 para dentro do Anexo A da ISO como se ambos fossem idênticos. Pode incluir os resultados da função Governar do CSF como requisitos adicionais de governação na sua biblioteca SoA, mapeá-los para cláusulas ISO 27001:2022 e controlos do Anexo A, e usá-los para melhorar a revisão pela gestão, a governação de fornecedores, o reporte de riscos e a monitorização contínua da conformidade.
Construir um registo de evidência para Governar
Um registo de evidência para Governar é a ferramenta prática que converte referenciais em prova. Deve ligar cada resultado NIST a uma referência ISO, proprietário da política, item de evidência, cadência de revisão, lacuna e ação.
| Campo | Exemplo de entrada |
|---|---|
| Resultado CSF | GV.OC-03 |
| Pergunta de governação | As obrigações legais, regulamentares, contratuais, de privacidade e de liberdades civis são compreendidas e geridas? |
| Referência ISO 27001:2022 | Cláusulas 4.2, 4.3 e 6.1.3, Anexo A 5.31 e 5.34 |
| Política Clarysec | Política de Cumprimento Legal e Regulamentar |
| Proprietário da evidência | Gestor de Conformidade |
| Evidência | Registo de Conformidade v1.4, mapa de obrigações de clientes, registo de tratamento RGPD da UE |
| Cadência de revisão | Trimestralmente e sempre que ocorram alterações de mercado, cliente ou produto |
| Lacuna | Cláusulas de repercussão DORA de clientes não mapeadas para contratos com fornecedores |
| Ação | Atualizar o modelo de contrato com fornecedores e as notas da SoA |
| Data limite | 30 dias |
A Política de Cumprimento Legal e Regulamentar empresarial da Clarysec Política de Cumprimento Legal e Regulamentar estabelece o requisito de governação:
Todas as obrigações legais e regulamentares devem ser mapeadas para políticas, controlos e proprietários específicos no Sistema de Gestão de Segurança da Informação (SGSI).
Esta é a cláusula 6.2.1 da Política de Cumprimento Legal e Regulamentar. Para as PME, a Legal and Regulatory Compliance Policy-sme Legal and Regulatory Compliance Policy-sme - SME acrescenta um requisito prático de mapeamento cruzado:
Quando uma regulamentação se aplica a várias áreas (por exemplo, o RGPD da UE aplica-se à retenção, segurança e privacidade), isso deve ser claramente mapeado no Registo de Conformidade e nos materiais de formação.
Esta citação provém da cláusula 5.2.2 da Legal and Regulatory Compliance Policy-sme. Em conjunto, estas cláusulas transformam o GV.OC-03 num processo gerido, revisto e preparado para auditoria.
Ligar a pontuação de risco ao tratamento de riscos e à SoA
O NIST GV.RM exige objetivos de risco, apetite ao risco, tolerância ao risco, cálculo padronizado do risco, opções de resposta e linhas de comunicação. A ISO 27001:2022 operacionaliza isto através da avaliação de riscos, do tratamento de riscos, da aprovação pelo proprietário do risco, da aceitação do risco residual e da Declaração de Aplicabilidade.
A Risk Management Policy-sme Risk Management Policy-sme - SME é deliberadamente concreta:
Cada entrada de risco deve incluir: descrição, probabilidade, impacto, pontuação, proprietário e plano de tratamento.
Isto provém da cláusula 5.1.2 da Risk Management Policy-sme. A Política de Gestão de Riscos empresarial Política de Gestão de Riscos reforça a ligação à SoA:
Uma Declaração de Aplicabilidade (SoA) deve refletir todas as decisões de tratamento e deve ser atualizada sempre que a cobertura de controlos seja modificada.
Esta é a cláusula 5.4 da Política de Gestão de Riscos.
Considere um risco real de PME: acesso não autorizado a dados de clientes em produção devido à aplicação inconsistente de MFA em contas de administração na cloud.
Um mapeamento Governar robusto incluiria:
- NIST GV.RM para documentação padronizada de riscos e priorização.
- NIST GV.RR para propriedade de funções e autoridade para aplicar o controlo de acesso.
- NIST GV.PO para aplicação da política e revisão.
- Cláusulas ISO 27001:2022 6.1.2, 6.1.3, 8.2 e 8.3.
- Controlos do Anexo A para controlo de acesso, gestão de identidades, informação de autenticação, registo, monitorização, configuração e serviços na cloud.
- Evidência como uma entrada no registo de riscos, exportação da configuração MFA, aprovação de exceção, revisão de IAM na cloud, decisão de revisão pela gestão e nota SoA atualizada.
O Zenith Blueprint, fase de Gestão de Riscos, passo 13, “Planeamento do tratamento de riscos e Declaração de Aplicabilidade”, explica a ligação:
✓ Assegure o alinhamento com o seu Registo de Riscos: cada controlo de mitigação que escreveu no Plano de Tratamento de Riscos deve corresponder a um controlo do Anexo A marcado como “Aplicável”. Inversamente, se um controlo estiver marcado como aplicável, deve existir um risco ou um requisito que o justifique.
Esta é a diferença entre dizer “usamos MFA” e demonstrar “temos uma razão governada, baseada no risco e alinhada com a ISO 27001:2022 para a MFA, com evidência, proprietário e cadência de revisão.”
Governar o risco de fornecedores sem sobredimensionar o programa
O NIST GV.SC é uma das partes mais úteis da função Governar para PME, porque as PME modernas dependem fortemente de fornecedores: prestadores de serviços cloud, processadores de pagamentos, plataformas de Recursos Humanos, sistemas de helpdesk, repositórios de código, ferramentas de CI/CD, ferramentas de monitorização e serviços de segurança geridos.
O Anexo A da ISO 27001:2022 suporta isto através de controlos de fornecedores e de cloud, incluindo 5.19 Segurança da informação nas relações com fornecedores, 5.20 Tratamento da segurança da informação em acordos com fornecedores, 5.21 Gestão da segurança da informação na cadeia de fornecimento das TIC, 5.22 Monitorização, revisão e gestão de alterações dos serviços de fornecedores, 5.23 Segurança da informação para utilização de serviços na cloud e 5.30 Prontidão das TIC para a continuidade do negócio.
A Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme - SME torna claro o requisito de evidência:
Estas revisões devem ser documentadas e retidas com o registo do fornecedor. As ações de seguimento devem ser claramente acompanhadas.
Esta é a cláusula 6.3.2 da Third-Party and Supplier Security Policy-sme.
Um modelo enxuto de fornecedores para PME pode usar três níveis:
| Nível do fornecedor | Critérios | Evidência mínima | Cadência de revisão |
|---|---|---|---|
| Crítico | Suporta produção, dados de clientes, autenticação, monitorização de segurança, fluxo de pagamentos ou prestação de serviços regulados | Questionário de diligência prévia, cláusulas contratuais de segurança, SLA, contacto de incidente, plano de saída, revisão de risco | Anual e após alteração material |
| Importante | Suporta operações da organização ou informação interna sensível, mas não a prestação direta de serviços críticos | Resumo de segurança, termos de tratamento de dados, revisão de acessos, aceitação do risco se existirem lacunas | A cada 18 meses |
| Padrão | Ferramentas de baixo risco sem dados sensíveis nem dependência crítica | Aprovação do proprietário do negócio, verificação básica de dados e acessos | Na integração e na renovação |
Este modelo simples suporta o NIST GV.SC, os controlos de fornecedores da ISO 27001:2022, a diligência prévia de clientes e as expectativas contratuais impulsionadas pela DORA por parte de clientes financeiros.
A desvinculação de fornecedores merece atenção especial. O NIST GV.SC espera governação ao longo de todo o ciclo de vida do fornecedor, incluindo o fim da relação. A evidência deve incluir devolução ou eliminação de dados, remoção de acessos, planeamento de transição do serviço, registos contratuais retidos e revisão do risco residual.
Usar o Zenith Controls para conformidade cruzada, não como um conjunto de controlos separado
O Zenith Controls: The Cross-Compliance Guide da Clarysec Zenith Controls é um guia de conformidade cruzada para mapear temas de controlo da ISO/IEC 27002:2022 para múltiplos referenciais e perspetivas de auditoria. Estes não são “controlos Zenith” separados. São controlos ISO/IEC 27002:2022 analisados no Zenith Controls para utilização em conformidade cruzada.
Para a função Governar do NIST CSF 2.0, três áreas de controlo da ISO/IEC 27002:2022 são especialmente importantes:
| Área de controlo ISO/IEC 27002:2022 no Zenith Controls | Ligação à função Governar do NIST CSF 2.0 | Interpretação prática para PME |
|---|---|---|
| 5.1 Políticas de segurança da informação | GV.PO | As políticas devem ser aprovadas, comunicadas, aplicadas, revistas e atualizadas quando ameaças, tecnologia, legislação ou objetivos de negócio mudam |
| 5.4 Responsabilidades da gestão | GV.RR e GV.OV | As responsabilidades de segurança devem ser atribuídas aos níveis de liderança e operacionais, com recursos, reporte e revisão |
| 5.31 Requisitos legais, estatutários, regulamentares e contratuais | GV.OC-03 | As obrigações devem ser identificadas, mapeadas para controlos e proprietários, monitorizadas quanto a alterações e comprovadas por evidência |
O Zenith Blueprint, fase Controlos em Ação, passo 22, “Controlos organizacionais”, apresenta o modelo operacional:
Formalizar a governação da segurança da informação
Garanta que as suas políticas de segurança da informação (5.1) estão finalizadas, aprovadas e sujeitas a controlo de versões. Atribua proprietários nominativos a cada domínio de política (por exemplo, acesso, cifragem, cópia de segurança) e documente papéis e responsabilidades em todo o SGSI (5.2). Reveja a Segregação de funções (5.3) em áreas de alto risco, como finanças, administração de sistemas e controlo de alterações. Produza um mapa simples de governação que mostre quem aprova, quem implementa e quem monitoriza a política de segurança.
Esse mapa de governação é um dos artefactos de maior valor que uma PME pode criar. Responde ao NIST GV.RR, aos requisitos de liderança da ISO 27001:2022, às expectativas de responsabilização da gestão da NIS2 e às perguntas de clientes sobre quem é responsável pelo risco de cibersegurança.
Um único modelo de governação para NIS2, DORA, RGPD da UE, NIST e ISO
A função Governar torna-se mais valiosa quando uma PME enfrenta requisitos sobrepostos.
A NIS2 exige que entidades essenciais e importantes abrangidas adotem medidas adequadas e proporcionais de gestão de riscos de cibersegurança. Também atribui aos órgãos de gestão a responsabilidade de aprovar medidas de gestão de riscos de cibersegurança, supervisionar a implementação e frequentar formação. O NIST GV.RR suporta a responsabilização da gestão. O GV.RM suporta medidas baseadas no risco. O GV.SC suporta a segurança da cadeia de fornecimento. O GV.PO suporta políticas. O GV.OV suporta a revisão do desempenho.
A governação de incidentes NIS2 introduz também expectativas de reporte faseado, incluindo alerta precoce no prazo de 24 horas, notificação de incidente no prazo de 72 horas e relatório final no prazo de um mês para incidentes significativos. Esses prazos devem refletir-se nos procedimentos de tratamento de incidentes, vias de escalonamento, planos de comunicação e reporte à gestão.
A DORA aplica-se desde 17 de janeiro de 2025 às entidades financeiras da UE, mas muitas PME sentem o seu impacto através de contratos com clientes. Os clientes financeiros podem repercutir requisitos DORA para prestadores de TIC, fornecedores de software, prestadores de serviços geridos e fornecedores dependentes da cloud. A DORA centra-se na gestão do risco das TIC, responsabilidade do órgão de administração, reporte de incidentes, testes de resiliência, risco de terceiros TIC, requisitos contratuais e supervisão.
O RGPD da UE acrescenta responsabilização pelo tratamento de dados pessoais. As PME devem compreender se são responsáveis pelo tratamento, subcontratantes, ou ambos, que dados pessoais tratam, que sistemas e fornecedores estão envolvidos, que fundamentos de licitude se aplicam e que cenários de incidente podem tornar-se violações de dados pessoais.
O Zenith Blueprint, fase de Gestão de Riscos, passo 14, recomenda referenciar de forma cruzada os requisitos DORA, NIS2 e RGPD da UE no conjunto de controlos ISO 27001:2022:
Para cada regulamentação, se aplicável, pode criar uma tabela de mapeamento simples (por exemplo, um anexo num relatório) que liste os principais requisitos de segurança da regulamentação e os controlos/políticas correspondentes no seu SGSI. Isto não é obrigatório na ISO 27001, mas é um exercício interno útil para garantir que nada ficou por tratar.
Um mapa prático de conformidade cruzada pode ter este aspeto:
| Requisito de governação | Função Governar do NIST CSF 2.0 | Âncora ISO 27001:2022 | Relevância NIS2, DORA, RGPD da UE | Evidência principal |
|---|---|---|---|---|
| Responsabilização da gestão | GV.RR e GV.OV | Cláusulas 5.1, 5.3 e 9.3, Anexo A 5.4 | Supervisão do órgão de gestão na NIS2, responsabilidade do órgão de administração na DORA | Mapa de governação, RACI, atas de revisão pela gestão |
| Obrigações legais e contratuais | GV.OC-03 | Cláusulas 4.2, 4.3 e 6.1.3, Anexo A 5.31 e 5.34 | Responsabilização RGPD da UE, âmbito legal NIS2, repercussões contratuais DORA | Registo de Conformidade, mapa de obrigações de clientes, registo de privacidade |
| Medidas de segurança baseadas no risco | GV.RM | Cláusulas 6.1.2, 6.1.3, 8.2 e 8.3 | Medidas de risco NIS2, quadro de risco das TIC DORA, segurança do tratamento RGPD da UE | Registo de Riscos, plano de tratamento de riscos, SoA |
| Governação de fornecedores | GV.SC | Anexo A 5.19 a 5.23 e 5.30 | Segurança da cadeia de fornecimento NIS2, risco de terceiros TIC DORA, subcontratantes RGPD da UE | inventário de fornecedores, diligência prévia, contratos, registos de revisão |
| Governação de políticas | GV.PO | Cláusula 5.2 e Anexo A 5.1 | Todos os referenciais esperam regras documentadas, aprovadas e comunicadas | Registo de políticas, histórico de versões, confirmações |
| Auditoria e melhoria | GV.OV | Cláusulas 9.1, 9.2, 9.3, 10.1 e 10.2 | Testes e remediação DORA, eficácia NIS2, responsabilização RGPD da UE | Relatórios de auditoria interna, KPI, ações corretivas |
O valor está na eficiência. Um SGSI ISO 27001:2022 bem operado, orientado pela função Governar do NIST CSF 2.0, pode gerar evidência reutilizável para vários referenciais em simultâneo.
A perspetiva do auditor: demonstrar que a governação é real
Uma política numa prateleira não é governação. Auditores e avaliadores procuram um fio condutor: política de alto nível, processo definido, registo operacional, revisão pela gestão e ação de melhoria.
Diferentes revisores testarão esse fio condutor de formas diferentes.
| Perspetiva do auditor | Em que se focará | Evidência que funciona bem |
|---|---|---|
| Auditor ISO 27001:2022 | Se a governação está incorporada no SGSI, se o tratamento de riscos é rastreável, se as decisões da SoA são justificadas e se a informação documentada é controlada | âmbito do SGSI, Registo de políticas, Registo de Riscos, SoA, atas de revisão pela gestão, relatórios de auditoria interna, ações corretivas |
| Avaliador NIST CSF 2.0 | Se existem perfis atuais e alvo, se as lacunas são priorizadas e se os resultados de Governar estão ligados ao risco do negócio e à supervisão | Perfil CSF, análise de lacunas, POA&M, declaração de apetite ao risco, painel de gestão da liderança, perfil-alvo de fornecedores |
| Auditor COBIT 2019 ou de estilo ISACA | Se os objetivos de governação, direitos de decisão, medidas de desempenho, propriedade dos controlos e atividades de garantia estão definidos | Mapa de governação, RACI, painel de gestão de KPI e KRI, atestados de proprietários dos controlos, plano de auditoria, acompanhamento de problemas |
| Revisor RGPD da UE | Se as obrigações de privacidade estão identificadas, se o tratamento está mapeado, se as salvaguardas de segurança são adequadas e se existe evidência de responsabilização | Registo de tratamento, mapeamento de fundamentos de licitude, AIPD quando necessário, processo de resposta a violações, termos de tratamento de dados com fornecedores |
| Avaliador de segurança de cliente | Se a PME consegue provar segurança operacional, controlo de fornecedores, preparação para incidentes e responsabilização executiva sem atraso excessivo | Pacote de evidência, políticas, revisões de fornecedores, resultados de exercícios tabletop de incidentes, revisões de acessos, testes de cópia de segurança, roteiro de segurança |
A Governance Roles and Responsibilities Policy empresarial da Clarysec Governance Roles and Responsibilities Policy estabelece:
A governação deve suportar a integração com outras disciplinas (por exemplo, risco, jurídico, TI, Recursos Humanos), e as decisões do SGSI devem ser rastreáveis à sua origem (por exemplo, Registos de auditoria, logs de revisão, atas de reunião).
Esta é a cláusula 5.5 da Governance Roles and Responsibilities Policy. Captura a essência da conformidade cruzada: as decisões de governação devem ser rastreáveis.
A Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme - SME acrescenta uma disciplina crítica de evidência:
Os metadados (por exemplo, quem os recolheu, quando e de que sistema) devem ser documentados.
Esta citação provém da cláusula 6.2.3 da Audit and Compliance Monitoring Policy-sme. Os metadados da evidência são frequentemente o que distingue uma pasta de capturas de ecrã de evidência com qualidade de auditoria.
A Política de Auditoria e Monitorização da Conformidade empresarial Política de Auditoria e Monitorização da Conformidade acrescenta o requisito ao nível do programa:
A organização deve manter um Programa de Auditoria e Monitorização da Conformidade estruturado e integrado no SGSI, abrangendo:
Esta é a cláusula 5.1 da Política de Auditoria e Monitorização da Conformidade. A implicação de governação é direta: a auditoria não é uma corrida anual de última hora. Faz parte das operações do SGSI.
Erros comuns das PME ao mapear Governar do NIST para ISO 27001:2022
O primeiro erro é a documentação excessiva sem propriedade. A PME escreve políticas, mas não atribui proprietários para o tratamento de riscos, revisões de fornecedores, aprovações de exceções ou reporte à gestão.
O segundo erro é tratar as obrigações legais como algo separado do SGSI. O NIST GV.OC-03 exige que as obrigações sejam compreendidas e geridas. A ISO 27001:2022 exige que os requisitos relevantes das partes interessadas e as obrigações legais, regulamentares e contratuais sejam considerados no SGSI.
O terceiro erro é uma fundamentação frágil da SoA. A SoA não é apenas uma lista de controlos aplicáveis. É o ficheiro lógico que explica por que razão os controlos são incluídos, excluídos ou implementados.
O quarto erro é a ausência de evidência do ciclo de vida dos fornecedores. A governação de fornecedores inclui integração, contratos, monitorização, incidentes, alterações e desvinculação.
O quinto erro é não atualizar o Perfil Alvo. Um Perfil CSF deve mudar quando o negócio entra numa nova geografia, assina um grande cliente, adota um fornecedor crítico, lança um produto regulado, altera a arquitetura de cloud ou sofre um incidente.
Roteiro de 30 dias para a função Governar do NIST CSF 2.0 em PME
Se uma PME precisa de avançar rapidamente, deve começar por um plano de implementação focado de 30 dias.
| Dias | Atividade | Resultado |
|---|---|---|
| 1 a 3 | Definir o âmbito CSF para Governar e recolher políticas, contratos, registos de risco, listas de fornecedores e evidência de auditoria existentes | Nota de âmbito e inventário de evidência |
| 4 a 7 | Construir o registo de evidência para Governar relativo a GV.OC, GV.RM, GV.RR, GV.PO, GV.OV e GV.SC | Perfil Atual e lacunas iniciais |
| 8 a 12 | Mapear obrigações para políticas ISO 27001:2022, áreas de controlo do Anexo A e proprietários | Registo de Conformidade e mapa de propriedade das políticas |
| 13 a 17 | Atualizar o registo de riscos e o plano de tratamento de riscos e, em seguida, alinhar entradas da SoA | Registo de Riscos, plano de tratamento, atualizações da SoA |
| 18 a 22 | Priorizar a governação de fornecedores, incluindo classificação de fornecedores críticos, lacunas contratuais e evidência de revisão | Registo de Riscos de fornecedores e ferramenta de acompanhamento de ações |
| 23 a 26 | Preparar o pacote de evidência de auditoria com metadados, aprovações, registos de revisão e decisões da gestão | Pacote de evidência e índice de auditoria |
| 27 a 30 | Realizar a revisão pela gestão e aprovar o roteiro do Perfil Alvo | Atas de revisão pela gestão, decisões, roteiro |
Este plano cria evidência de governação suficiente para responder a perguntas sérias de clientes e auditores, ao mesmo tempo que constrói a base para a certificação ISO 27001:2022, preparação NIS2, garantia de clientes DORA e responsabilização RGPD da UE.
O resultado prático: uma história de governação, muitos usos de conformidade
Quando Sarah regressa ao órgão de administração, já não tem cinco linhas de trabalho de conformidade desconectadas. Tem uma única história de governação.
Os resultados da função Governar do NIST CSF 2.0 estão mapeados para políticas, proprietários, riscos, controlos e evidência ISO 27001:2022. O âmbito do SGSI inclui dependências de clientes, fornecedores, cloud, legais, regulamentares, de privacidade e contratuais. O registo de riscos orienta decisões de tratamento e aplicabilidade da SoA. As políticas são aprovadas, sujeitas a controlo de versões, têm proprietário, são comunicadas e revistas. Os riscos de fornecedores são estratificados, contratualizados, monitorizados e acompanhados. Obrigações de tratamento RGPD da UE, expectativas de responsabilização NIS2 e repercussões DORA de clientes são referenciadas de forma cruzada quando aplicável. A evidência de auditoria inclui metadados, registos de decisão e resultados de revisão pela gestão.
É assim que a governação se apresenta quando é operacional.
Próximo passo: construir o pacote de evidência Governar da sua PME com a Clarysec
Se está a preparar-se para a ISO 27001:2022, a responder a diligência prévia de clientes empresariais, a mapear resultados da função Governar do NIST CSF 2.0 ou a tentar alinhar NIS2, DORA e RGPD da UE sem criar programas separados, comece pela camada de governação.
A Clarysec pode ajudar a construir:
- Um Perfil Atual e um Perfil Alvo para a função Governar do NIST CSF 2.0.
- Um mapeamento de políticas ISO 27001:2022 e SoA.
- Um registo de obrigações de conformidade cruzada usando Zenith Controls Zenith Controls.
- Um roteiro de implementação do SGSI em 30 passos usando Zenith Blueprint Zenith Blueprint.
- Evidência de políticas pronta para PME usando o toolkit de políticas da Clarysec, incluindo Governance Roles and Responsibilities Policy-sme Governance Roles and Responsibilities Policy-sme - SME, Risk Management Policy-sme Risk Management Policy-sme - SME, Legal and Regulatory Compliance Policy-sme Legal and Regulatory Compliance Policy-sme - SME, Third-Party and Supplier Security Policy-sme Third-Party and Supplier Security Policy-sme - SME e Audit and Compliance Monitoring Policy-sme Audit and Compliance Monitoring Policy-sme - SME.
O caminho mais rápido não é mais uma folha de cálculo. É um SGSI governado, baseado no risco e preparado com evidência, que permite à sua PME responder com confiança a uma pergunta:
Consegue demonstrar que a cibersegurança é gerida, tem proprietários, é revista e melhora continuamente?
Com a Clarysec, a resposta passa a ser sim.
Frequently Asked Questions
About the Author
Igor Petreski
Compliance Systems Architect, Clarysec LLC
Igor Petreski is a cybersecurity leader with over 30 years of experience in information technology and a dedicated decade specializing in global Governance, Risk, and Compliance (GRC).Core Credentials & Qualifications:• MSc in Cyber Security from Royal Holloway, University of London• PECB-Certified ISO/IEC 27001 Lead Auditor & Trainer• Certified Information Systems Auditor (CISA) from ISACA• Certified Information Security Manager (CISM) from ISACA • Certified Ethical Hacker from EC-Council
