§ I · Gestão de riscos de dados

Gestão de riscos: NIST, ISO, ou os dois?

Gestão de riscos em segurança da informação tem dois padrões dominantes: NIST CSF 2.0 (framework, US federal) e ISO/IEC 27001:2022 (certificável, internacional). NIST é guia · ISO é selo. A maioria das empresas brasileiras escolhe um ou combina. SOC 2 Type II é attestation complementar focada em SaaS.

NIST CSF 2.0 · 6 funções.

O NIST Cybersecurity Framework 2.0 foi publicado em fevereiro de 2024, sucedendo a versão 1.1. A novidade principal foi a adição da função Govern (GV), elevando o framework de 5 pra 6 funções. Reconheceu que governance é precondição pras demais.

GV
Govern NOVO em CSF 2.0 · políticas + riscos + supply chain · integra demais funções.
ID
Identify Inventário de ativos · mapeamento de risco · ROPA técnico.
PR
Protect Controles de acesso · criptografia · treinamento · backup.
DE
Detect Monitoramento contínuo · logs · SIEM · anomaly detection.
RS
Respond Plano de resposta a incidente · comunicação · análise · mitigação.
RC
Recover Recuperação + lições aprendidas · melhorias no SGSI.

NIST CSF não impõe controles específicos · aponta o que gerenciar. Empresas combinam com ISO 27001 (controles) ou SOC 2 (audit) pra ter o como. Indícia alimenta dados técnicos (findings, métricas) pras funções DE + RS + RC do framework.

ISO/IEC 27001:2022 · 93 controles.

ISO/IEC 27001:2022 foi revisado em outubro de 2022 com estrutura enxuta: 93 controles (antes 114 na edição 2013) organizados em 4 temas em vez de 14 seções:

A.5 · Organizational

37 controles · políticas, papéis, incident management, cloud services, supply chain · cresceu em 2022.

A.6 · People

8 controles · background check, awareness, responsabilidades, remote working.

A.7 · Physical

14 controles · perímetros, acesso físico, proteção de ativos, disposal.

A.8 · Technological

34 controles · acesso, criptografia, logging, segurança em desenvolvimento, secure coding.

Matriz de risco · probabilidade × impacto.

Gestão de risco moderna usa matriz probabilidade × impacto (5×5 tipicamente) pra priorizar. Cada risco identificado entra com score composto · matriz colorida (verde-amarelo-vermelho) sinaliza o que requer ação imediata vs monitoramento. Indícia gera matriz automatizada a partir de findings ativos · probabilidade vem do CVSS Exploitability · impacto vem do CVSS Impact + categoria de dados exposta.

SOC 2 Type II · attestation SaaS.

SOC 2 Type II é attestation emitida por auditor CPA (AICPA US) sobre os 5 Trust Services Criteria (TSC): Security, Availability, Processing Integrity, Confidentiality, Privacy. Type II cobre período de 6-12 meses · comprova que controles operaram durante o período, não só existiram no papel.

SOC 2 é preferido em due diligence de SaaS B2B internacional (clientes US + EU). Custo médio: R$ 40-120k pra primeira auditoria + R$ 25-60k anual. Prazo típico: 9-18 meses entre decisão e relatório final. A Indícia gera evidência técnica utilizável em auditoria SOC 2/ISO (logs SHA-256 + Merkle tree) · não emite attestation própria · não substitui auditor CPA/credenciado.

Perguntas que estão no ar

Riscos · dúvidas frequentes.

NIST ou ISO · qual escolher?
NIST CSF é mais barato e flexível · bom pra começar. ISO 27001 é certificável e reconhecido mundialmente · obrigatório em licitações e enterprise sales. Muitas empresas começam NIST e migram pra ISO em 12-24 meses.
Preciso de ISO 27001 pra atender LGPD?
Não. LGPD é lei brasileira · ISO é norma internacional. ISO facilita demonstrar conformidade LGPD (Art. 46 · medidas de segurança) mas não substitui a lei.
SOC 2 é reconhecido no Brasil?
Sim em contratos privados · não é certificação formal pela ANPD ou BACEN. Obrigatório em muitos contratos enterprise internacionais · peso em due diligence de exit/M&A.
Quanto custa implementar ISO 27001?
Primeira certificação: R$ 30-80k (consultoria + auditor). Manutenção anual: R$ 15-40k. Software de compliance (Drata, Vanta): R$ 2-8k/mês. Prazo: 8-14 meses do zero.
Posso pular ISO e ir direto pra SOC 2?
Sim, se o mercado-alvo é US/EU. SOC 2 é mais leve que ISO · controles são menos, foco é audit contínuo. ISO é preferido quando há mercado europeu/asiático ou licitação pública BR.
Indícia contribui com evidência pra auditoria?
Sim. Dashboard exporta log hash-assinado SHA-256 + Merkle tree · aceito como evidência técnica em SOC 2 e ISO. Não substitui auditor · acelera coleta.
§ 2 clusters · aprofunde

Leituras relacionadas.

§ CLUSTER · II ISO 27001 vs NIST Comparativo · certificável vs framework · custos + prazos. § CLUSTER · III Resposta incidentes NIST SP 800-61 + Res. CD/ANPD 15/2024 · 3 dias úteis ANPD.