ISO 27001 para conselhos: os 93 controles traduzidos a risco de negócio e impacto financeiro

Os 93 controles do Anexo A da ISO 27001:2022, agrupados em 4 categorias (organizacionais, de pessoas, físicos e tecnológicos), foram traduzidos para linguagem executiva com três componentes por controle: o risco de negócio concreto se o controle falha, o impacto financeiro estimado com dados setoriais da LATAM, e a pergunta que um membro do conselho deveria formular à equipe técnica para verificar eficácia operativa. A análise de impacto financeiro identificou os 10 controles com maior exposição econômica em caso de falha: controle de acesso privilegiado (A.8.2), criptografia em trânsito (A.8.24), gestão de vulnerabilidades técnicas (A.8.8), backup de informação (A.8.13) e gestão de logs (A.8.15) lideram o ranking com impacto potencial combinado entre USD 2,4 M e USD 11,8 M por incidente conforme setor. Foi desenhado um questionário de 5 perguntas que qualquer diretor pode formular em cada reunião do conselho para supervisionar o SGSI sem necessidade de conhecimento técnico, e um painel de 12 indicadores de segurança apresentados em formato de semáforo executivo.