Respostas tecnicas sobre normas ISO, ciberseguranca, governanca de IA e gestao de riscos.
A ISO 42001 e a norma internacional para sistemas de gestao de inteligencia artificial. Estabelece requisitos para governar o ciclo de vida da IA de forma rastreavel, auditavel e alinhada com principios eticos.
Qualquer organizacao que desenvolva, implante ou utilize sistemas de IA em suas operacoes. Isso inclui empresas de tecnologia, instituicoes financeiras, orgaos publicos e qualquer setor onde a IA afete decisoes sobre pessoas.
Depende da complexidade dos sistemas de IA e da maturidade organizacional. Um diagnostico inicial pode ser realizado em 5 a 15 dias uteis. Organizacoes com multiplos modelos em producao requerem maior escopo.
Aplica-se uma analise de lacunas contra os requisitos da norma, revisao da governanca de IA existente, avaliacao de impacto e mapeamento de controles. A metodologia e conforme as diretrizes de auditoria ISO 19011.
O cliente recebe um relatorio de diagnostico com achados classificados, matriz de lacunas, roteiro priorizado e recomendacoes de controles. Cada achado inclui evidencia objetiva e referencia normativa.
A ISO 42001 compartilha a estrutura de alto nivel (Anexo SL) com a ISO 27001 e a ISO 9001, facilitando a integracao. Os controles de seguranca da informacao da ISO 27001 complementam a governanca de IA da ISO 42001.
Os achados mais recorrentes incluem ausencia de inventario de sistemas de IA, falta de avaliacoes de impacto documentadas, vies algoritmico nao monitorado e ausencia de politica de uso responsavel de IA.
Recomenda-se elaborar um inventario de todos os sistemas de IA em uso, documentar as politicas de dados existentes e designar um responsavel pela governanca de IA. Uma autoavaliacao interna previa facilita o processo.
Segundo um estudo com 180 executivos de 12 paises, 64% aumentaram sua dependencia de IA para decisoes estrategicas, 58% relatam indicios de atrofia cognitiva e 71% apresentam vies de automacao ao aceitar recomendacoes de IA sem questionamento critico.
Apenas 23% dos diretorios avaliados contam com um comite ou estrutura formal de governanca de IA no nivel de diretoria. Os 77% restantes delegam as decisoes de IA exclusivamente a equipes tecnicas sem supervisao estrategica.
A ISO 27001 e a norma internacional para sistemas de gestao de seguranca da informacao (SGSI). Define requisitos para estabelecer, implementar, manter e melhorar continuamente a protecao de ativos de informacao.
Qualquer organizacao que gerencie informacoes sensiveis: empresas de tecnologia, entidades financeiras, prestadores de saude, orgaos governamentais e provedores de servicos que lidam com dados de terceiros.
Um diagnostico de lacunas tipico requer de 5 a 20 dias uteis, dependendo do tamanho da organizacao, quantidade de ativos de informacao e complexidade da infraestrutura tecnologica.
Realiza-se uma analise de lacunas contra os 93 controles do Anexo A (versao 2022), revisao da declaracao de aplicabilidade, avaliacao de riscos e verificacao de evidencia documental conforme a ISO 19011.
O cliente recebe um relatorio de achados com classificacao de nao conformidades, matriz de controles avaliados, analise de riscos residuais e plano de acao com prazos sugeridos para remediacao.
A ISO 27001 se integra diretamente com a ISO 27701 (privacidade), ISO 22301 (continuidade) e ISO 42001 (IA). Compartilha a estrutura Anexo SL com a ISO 9001, permitindo auditorias integradas multipadrao.
Os achados recorrentes incluem gestao de acessos deficiente, ausencia de classificacao de ativos, planos de continuidade nao testados e falta de metricas de eficacia dos controles implementados.
Recomenda-se ter um inventario atualizado de ativos de informacao, uma avaliacao de riscos documentada e a declaracao de aplicabilidade preliminar. A designacao de um responsavel pelo SGSI e fundamental.
A ISO 9001 e a norma internacional para sistemas de gestao da qualidade. Define requisitos para demonstrar a capacidade de fornecer produtos e servicos que atendam aos requisitos do cliente e regulatorios aplicaveis.
Organizacoes de qualquer tamanho e setor que busquem sistematizar seus processos de qualidade. E especialmente relevante para empresas que participam de cadeias de suprimentos internacionais ou licitacoes que exigem acreditacao.
Entre 3 e 15 dias uteis dependendo da quantidade de processos, locais e pessoal envolvido. Organizacoes com operacoes em multiplos locais requerem mais tempo de amostragem.
Aplica-se a abordagem baseada em processos conforme a ISO 19011: revisao documental, entrevistas com responsaveis de processo, verificacao de registros e avaliacao da eficacia do ciclo PDCA.
Relatorio de auditoria com achados classificados por clausula, mapa de processos avaliados, oportunidades de melhoria identificadas e plano de acoes corretivas com prioridades definidas.
A ISO 9001 e a base do sistema de gestao integrado. Sua estrutura Anexo SL permite combinacao com ISO 14001, ISO 45001, ISO 27001 e outras normas de gestao, otimizando recursos de auditoria.
Achados recorrentes incluem objetivos de qualidade nao mensuraveis, revisao pela direcao incompleta, gestao de nao conformidades sem analise de causa raiz e ausencia de indicadores de satisfacao do cliente.
Documentar o mapa de processos, definir objetivos de qualidade mensuraveis, garantir que a politica de qualidade esteja comunicada e verificar que existam registros de pelo menos um ciclo completo de operacao.
A ISO 22301 e a norma internacional para sistemas de gestao de continuidade de negocios. Estabelece requisitos para planejar, implementar e manter a capacidade de uma organizacao de continuar operando durante incidentes disruptivos.
Organizacoes cuja interrupcao operacional gere impacto critico: entidades financeiras, prestadores de servicos essenciais, cadeias de suprimentos globais, centros de dados e operadores de infraestrutura critica.
Entre 5 e 15 dias uteis dependendo da quantidade de processos criticos e da complexidade das interdependencias entre areas. Organizacoes com multiplas sedes requerem escopo ampliado.
Avalia-se a analise de impacto no negocio (BIA), a avaliacao de riscos de continuidade, os planos de continuidade documentados e os resultados de exercicios e testes. Tudo conforme o marco de auditoria ISO 19011.
Relatorio de lacunas do sistema de continuidade, avaliacao da maturidade do BIA, revisao dos tempos de recuperacao objetivos (RTO/RPO) e recomendacoes para o programa de exercicios.
A ISO 22301 complementa a ISO 27001 na dimensao de disponibilidade e resiliencia. Articula-se com a ISO 31000 para gestao de riscos e com a ISO 27031 para recuperacao de servicos de TIC.
Achados frequentes incluem BIA desatualizado, planos de continuidade nao testados nos ultimos 12 meses, ausencia de RTO/RPO definidos para processos criticos e falta de comunicacao de crise documentada.
Realizar um BIA atualizado, identificar processos criticos com suas dependencias, documentar RTO e RPO por servico e executar pelo menos um exercicio de mesa (tabletop) antes da avaliacao.
A ISO 37001 e a norma internacional para sistemas de gestao antissuborno. Estabelece requisitos para prevenir, detectar e responder ao suborno em todas as atividades da organizacao e sua cadeia de valor.
Organizacoes publicas e privadas que operem em setores com alto risco de suborno, empresas com operacoes transfronteiricas, fornecedores do estado e entidades sujeitas a legislacao anticorrupcao como a FCPA ou UK Bribery Act.
Entre 5 e 20 dias uteis, dependendo da estrutura organizacional, presenca geografica e complexidade das relacoes com terceiros e funcionarios publicos.
Avalia-se a devida diligencia antissuborno, os controles financeiros e nao financeiros, os canais de denuncia, a formacao do pessoal e a eficacia do programa anticorrupcao, conforme diretrizes ISO 19011.
Relatorio de avaliacao de risco de suborno, matriz de controles antissuborno, revisao de devida diligencia de terceiros e recomendacoes para fortalecer o programa de integridade.
A ISO 37001 se complementa com a ISO 37301 (conformidade) para formar um marco integral de integridade. Tambem se articula com a ISO 31000 para a gestao de riscos de corrupcao dentro do marco geral de riscos.
Achados frequentes incluem devida diligencia insuficiente sobre intermediarios, ausencia de avaliacao de risco de suborno por pais ou setor, canais de denuncia sem garantia de anonimato e capacitacao limitada a niveis gerenciais.
Documentar a politica antissuborno, realizar uma avaliacao preliminar de risco de suborno, revisar os controles financeiros existentes e verificar a existencia de um canal de denuncia operacional.
A ISO 27701 e a extensao da ISO 27001 para a gestao de informacao de privacidade (PIMS). Estabelece requisitos adicionais para proteger dados pessoais como controlador ou processador de informacao.
Organizacoes que processem dados pessoais em escala: empresas de tecnologia, prestadores de saude, entidades financeiras, plataformas de comercio eletronico e qualquer entidade sujeita ao GDPR, LGPD ou legislacao equivalente.
Entre 5 e 15 dias uteis, condicionado ao volume de dados pessoais tratados, a quantidade de processos de tratamento e a maturidade do SGSI existente sob a ISO 27001.
Avalia-se a extensao dos controles da ISO 27001 para privacidade, o registro de atividades de tratamento, a avaliacao de impacto na protecao de dados (DPIA) e os mecanismos de exercicio de direitos dos titulares.
Relatorio de lacunas de privacidade, revisao do registro de atividades de tratamento, avaliacao de controles de privacidade adicionais e recomendacoes para alinhamento com a legislacao aplicavel.
A ISO 27701 requer um SGSI baseado na ISO 27001 como prerequisito. Permite mapear controles para GDPR, LGPD e outras regulacoes de privacidade, funcionando como ponte entre o marco tecnico e o legal.
Achados tipicos incluem registros de tratamento incompletos, bases legais nao documentadas para o processamento, ausencia de DPIA em tratamentos de alto risco e mecanismos insuficientes para atender direitos dos titulares.
Ter a ISO 27001 implementada, elaborar o registro de atividades de tratamento, identificar as bases legais para cada tratamento e designar um responsavel pela protecao de dados.
A ISO 37301 e a norma internacional para sistemas de gestao de conformidade. Estabelece requisitos para que as organizacoes demonstrem seu compromisso com o cumprimento de obrigacoes legais, regulatorias e voluntarias.
Organizacoes em setores altamente regulados: servicos financeiros, farmaceutica, energia, telecomunicacoes e qualquer entidade que opere em multiplas jurisdicoes com obrigacoes regulatorias complexas.
Entre 5 e 20 dias uteis, dependendo da quantidade de obrigacoes regulatorias aplicaveis, da complexidade do ambiente legal e da quantidade de jurisdicoes em que a organizacao opera.
Realiza-se um mapeamento de obrigacoes regulatorias, revisao da funcao de conformidade, avaliacao da cultura de conformidade e verificacao dos mecanismos de monitoramento e reporte, conforme a ISO 19011.
Matriz de obrigacoes regulatorias avaliadas, relatorio de maturidade do sistema de conformidade, achados classificados por criticidade e roteiro para fortalecer a funcao de conformidade.
A ISO 37301 forma um binomio com a ISO 37001 (antissuborno) para abordar a integridade organizacional. Tambem se integra com a ISO 31000 para a gestao de riscos de descumprimento regulatorio.
Achados recorrentes incluem registros de obrigacoes incompletos, ausencia de avaliacao periodica de riscos de conformidade, funcao de conformidade sem independencia hierarquica e formacao insuficiente do pessoal.
Elaborar um inventario de obrigacoes legais e regulatorias, definir a estrutura da funcao de conformidade, documentar a politica de conformidade e estabelecer indicadores de monitoramento.
A ISO 31000 e a norma internacional de diretrizes para a gestao de riscos. Diferente de outras normas ISO, nao e certificavel, mas serve como marco de referencia para integrar a gestao de riscos em toda a organizacao.
Qualquer organizacao que busque uma abordagem estruturada para gerenciar incertezas. E especialmente critica para conselhos de administracao, areas de estrategia e organizacoes que devem reportar gestao de riscos a reguladores.
Entre 5 e 15 dias uteis, dependendo da amplitude do escopo (empresa completa vs. unidade de negocio) e da quantidade de niveis organizacionais que participam do processo de riscos.
Avalia-se o marco de riscos (framework), o processo de gestao de riscos e a cultura de risco organizacional. Inclui revisao da governanca, metodologias de identificacao, criterios de avaliacao e tratamento de riscos.
Relatorio de maturidade do marco de gestao de riscos, mapa de riscos estrategicos, avaliacao da cultura de risco e recomendacoes para alinhar o apetite de risco com a estrategia organizacional.
A ISO 31000 e transversal a todas as normas de sistemas de gestao. Fornece o vocabulario e os principios de riscos que a ISO 27001, ISO 22301, ISO 37001 e outras normas aplicam em suas clausulas de avaliacao de riscos.
Achados recorrentes incluem matrizes de riscos desatualizadas, ausencia de apetite de risco formalizado, desconexao entre riscos estrategicos e operacionais e falta de indicadores-chave de risco (KRI).
Documentar o contexto organizacional, definir criterios de risco, atualizar o registro de riscos existente e assegurar o compromisso da alta direcao com o processo de avaliacao.
Abrange a avaliacao de controles tecnicos, organizacionais e de processo para proteger ativos digitais. Inclui revisao de arquitetura de seguranca, gestao de vulnerabilidades, resposta a incidentes e governanca de ciberseguranca.
Qualquer organizacao com ativos digitais criticos: empresas com presenca online, operadores de infraestrutura, entidades que lidam com dados sensiveis e organizacoes que devem cumprir marcos regulatorios de ciberseguranca.
Entre 5 e 25 dias uteis dependendo do escopo: uma avaliacao de governanca pode ser concluida em uma semana, enquanto uma avaliacao tecnica integral com testes de penetracao requer mais tempo.
Baseia-se em marcos reconhecidos como NIST CSF, CIS Controls e ISO 27001. Inclui avaliacao de maturidade, revisao de controles tecnicos, analise de lacunas e simulacao de cenarios de ameaca.
Relatorio de maturidade de ciberseguranca, inventario de vulnerabilidades priorizadas, mapa de arquitetura de seguranca atual e recomendacoes de controles com estimativa de esforco de implementacao.
A avaliacao de ciberseguranca se alinha com a ISO 27001 como marco de gestao e com a ISO 22301 para resiliencia. Marcos como o NIST CSF podem ser mapeados contra os controles do Anexo A da ISO 27001:2022.
Achados recorrentes incluem gestao de patches deficiente, segmentacao de rede insuficiente, ausencia de plano de resposta a incidentes testado e monitoramento de seguranca limitado a logs basicos sem correlacao.
Documentar a topologia de rede, inventariar os ativos tecnologicos criticos, compilar politicas de seguranca existentes e garantir acesso a logs dos ultimos 90 dias para revisao.
Segundo o indice IMC-PyME avaliado em 230 empresas de 8 paises, 67% das PMEs estao no Nivel 1 (inicial) e apenas 4% alcancam o Nivel 4 ou superior. A dimensao mais fraca e a seguranca da cadeia de suprimentos, com media de 1,2 em 5.
O IMC-PyME (Indice de Maturidade em Ciberseguranca para PMEs) e um instrumento de avaliacao com 5 niveis e 7 dimensoes projetado para medir a postura de seguranca de pequenas e medias empresas. E aplicado por meio de questionarios estruturados, entrevistas e verificacao de evidencia documental.
A concentracao cria dependencia estrategica: 3 provedores controlam 67% do mercado cloud, 82% das organizacoes dependem de um unico provedor cloud, e 92% dos chips avancados provem de um unico pais. Isso gera vulnerabilidade a interrupcoes geopoliticas, mudancas unilaterais de precos e perda de soberania digital.
As estrategias incluem: adocao de arquiteturas multi-nuvem com portabilidade contratual garantida, avaliacao periodica de provedores criticos com criterios de continuidade (ISO 22301), diversificacao gradual de componentes tecnologicos e desenvolvimento de capacidades internas para reduzir a dependencia operacional de terceiros.
Abrange a avaliacao de controles de ciberseguranca especificos do setor financeiro, incluindo protecao de canais transacionais, seguranca de banca digital, controles antifraude e cumprimento de regulacoes setoriais.
Bancos, fintechs, cooperativas de credito, seguradoras, gestores de fundos, processadores de pagamento e qualquer entidade supervisionada por reguladores financeiros que exijam marcos de ciber-resiliencia.
Entre 10 e 30 dias uteis, dado o volume de controles regulatorios, a complexidade dos canais transacionais e os requisitos de documentacao proprios do setor financeiro.
Aplicam-se marcos setoriais como SWIFT CSCF, PCI DSS e regulacoes locais de superintendencias financeiras, alem da ISO 27001. Inclui avaliacao de controles transacionais, segregacao de funcoes e testes de resiliencia.
Relatorio de lacunas contra marcos regulatorios setoriais, avaliacao de maturidade de ciber-resiliencia, revisao de controles de canais criticos e plano de remediacao com prioridades alinhadas ao regulador.
Complementa a ISO 27001 com requisitos setoriais especificos. Articula-se com a ISO 22301 para continuidade operacional e com a ISO 27701 quando a entidade financeira processa dados pessoais em escala.
Achados frequentes incluem autenticacao multifator incompleta em canais criticos, monitoramento transacional insuficiente, planos de resposta a incidentes nao testados com cenarios financeiros e segregacao de funcoes fraca.
Compilar as regulacoes do supervisor financeiro aplicavel, documentar a arquitetura de canais transacionais, inventariar os controles antifraude existentes e preparar os relatorios de auditorias anteriores.
Abrange a avaliacao da ciberseguranca em ambientes de tecnologia operacional (OT): sistemas SCADA, PLCs, redes industriais, convergencia IT/OT e protecao de infraestrutura critica contra ameacas ciberneticas.
Operadores de infraestrutura critica: energia, agua, petroleo e gas, manufatura, transporte, mineracao e qualquer setor com sistemas de controle industrial conectados a redes corporativas ou internet.
Entre 10 e 30 dias uteis, dependendo da quantidade de locais industriais, da diversidade de protocolos OT utilizados e do nivel de convergencia IT/OT existente.
Aplicam-se marcos como IEC 62443 e NIST SP 800-82, avaliando zonas e condutos industriais, segmentacao de redes OT, gestao de acesso remoto, inventario de ativos OT e capacidade de deteccao de anomalias.
Mapa de arquitetura OT com zonas e condutos, inventario de ativos industriais, relatorio de lacunas contra IEC 62443, avaliacao de riscos IT/OT e roteiro de remediacao priorizado.
A seguranca OT se complementa com a ISO 27001 para a gestao de seguranca corporativa e com a ISO 22301 para a continuidade operacional. A IEC 62443 fornece o marco especifico para ambientes de automacao industrial.
Achados frequentes incluem ausencia de segmentacao entre redes IT e OT, credenciais padrao em dispositivos industriais, firmware desatualizado sem processo de patching e falta de monitoramento de trafego OT.
Documentar a arquitetura de redes industriais, inventariar dispositivos OT com suas versoes de firmware, identificar pontos de convergencia IT/OT e definir janelas de manutencao para avaliacoes nao intrusivas.
Abrange a avaliacao integral de governanca, riscos e conformidade (GRC): alinhamento estrategico do marco de riscos, eficacia dos controles, estrutura de governanca e grau de integracao entre as tres funcoes.
Organizacoes com multiplos marcos regulatorios, sistemas de gestao ou normas ISO implementadas. E critica para entidades que buscam integrar funcoes de risco, conformidade e controle interno sob uma governanca unificada.
Entre 10 e 30 dias uteis, dependendo da quantidade de normas e marcos implementados, do numero de unidades de negocio e do grau de integracao existente entre as funcoes de GRC.
Avalia-se o nivel de integracao entre governanca, riscos e conformidade, a eficiencia dos processos de reporte, a maturidade da gestao de riscos e a efetividade da estrutura de tres linhas de defesa.
Diagnostico de maturidade GRC, mapa de integracao entre marcos normativos, avaliacao da estrutura de governanca de riscos e roteiro para otimizacao do modelo de tres linhas.
O GRC funciona como camada de integracao sobre todas as normas ISO implementadas. Utiliza a ISO 31000 como espinha dorsal de riscos, a ISO 37301 para conformidade e a estrutura Anexo SL para unificar sistemas de gestao.
Achados recorrentes incluem silos entre funcoes de risco e conformidade, duplicacao de controles entre diferentes marcos normativos, reportes fragmentados a alta direcao e ausencia de taxonomia de riscos unificada.
Inventariar todas as normas e marcos regulatorios implementados, documentar a estrutura de governanca atual, compilar os relatorios de risco existentes e mapear as funcoes de controle interno, riscos e conformidade.
Mais de 15 anos de experiencia em auditoria ISO, avaliacao de riscos e pesquisa aplicada. A abordagem combina rigor normativo com pesquisa publicada, respaldada por independencia estrutural conforme a ISO/IEC 17021-1.
Os servicos cobrem a America Latina, com experiencia na Argentina, Mexico, Colombia, Brasil, Chile e Peru, entre outros. As avaliacoes podem ser realizadas de forma presencial, remota ou hibrida conforme o escopo.
A auditoria e um processo sistematico conforme a ISO 19011 que verifica conformidade contra criterios definidos. A avaliacao e um diagnostico mais amplo que pode incluir analise de maturidade, lacunas e recomendacoes sem a formalidade de uma auditoria.
Os servicos sao oferecidos em espanhol, ingles, portugues e chines. Os relatorios e entregaveis sao produzidos no idioma requerido pelo cliente, e as avaliacoes podem ser conduzidas em qualquer um desses idiomas.
Inicia-se com uma consulta preliminar sem custo para definir o escopo. Em seguida, elabora-se uma proposta tecnica com objetivos, metodologia, cronograma e entregaveis. Uma vez acordada, a avaliacao e programada.
Conforme a ISO/IEC 17021-1, o avaliador deve manter independencia estrutural em relacao ao resultado da avaliacao. Fernando Arrieta atua como avaliador independente; a decisao de certificacao cabe exclusivamente a organismos acreditados.
Nao. As avaliacoes preliminares e diagnosticos sao independentes de qualquer processo de certificacao oficial. A certificacao formal e competencia exclusiva de organismos acreditados. A avaliacao identifica lacunas e fortalece a preparacao.
Varia conforme o escopo: um diagnostico focalizado pode levar de 3 a 5 dias uteis, enquanto uma avaliacao multipadrao integral pode se estender de 15 a 30 dias. A complexidade organizacional e o fator determinante.
Os passos tipicos sao: definicao de escopo, revisao documental, avaliacao presencial ou remota com entrevistas e verificacao de evidencias, analise de achados, elaboracao do relatorio e apresentacao de resultados a alta direcao.
Sim. As auditorias integradas permitem avaliar duas ou mais normas ISO no mesmo ciclo, aproveitando os requisitos comuns da estrutura Anexo SL. Isso otimiza tempos e reduz a carga sobre a organizacao avaliada.
Os custos variam conforme a norma, o tamanho da organizacao e o pais. Segundo um estudo de 1.247 organizacoes em 18 paises, a ISO 9001 tem media de USD 5.400 e a ISO 42001 alcanca USD 14.200. A dispersao de custos entre paises pode chegar a 47%.
Cinco fatores principais sao identificados: complexidade da norma, tamanho e numero de sedes da organizacao, maturidade do sistema de gestao existente, mercado local de organismos certificadores e custos de preparacao interna (consultoria, capacitacao, ferramentas).
Agende uma sessao para resolver duvidas tecnicas sobre normas e marcos de gestao.
Solicitar diagnostico