Autores: Bruno Salgado, Davidson Boccardo, Tulio Alvarez, Rafael Soares, Victor Santos e Ygor Buitrago

I – Objetivo

Este texto foi redigido com o objetivo de fornecer subsídios para uma organização que esteja procurando impulsionar as práticas de segurança da Informação e não consegue decidir se opta ou pela orientação da ISO27001 ou pelo System and Organization Control (SOC2).

II – Introdução

Se sua empresa for uma B2B(Business to Business), certamente lhe será exigido a preencher e obter uma certificação em Segurança da Informação, seja ela uma Certificação ISO27001 ou um atestado SOC2, ou até mesmo outros modelos que comprovariam os cuidados com a Segurança da Informação; e, as empresas incapazes de fornecer tal prova de conformidade terão dificuldade em competir e de se estabelecer no mercado.

No caso deste artigo, focaremos nestes dois modelos, ISO27001 e SOC2, para argumentar sobre suas características e permitir suas escolhas conforme a necessidade e expectativa de sua empresa.

Proteger as informações classificadas do cliente e demonstrar provas disso não é mais uma questão negociável para toda e qualquer empresa, independentemente do setor. Em todo o mundo, os clientes estão se tornando cada vez mais preocupados sobre como os fornecedores que trabalham para eles podem afetar seus resultados. A Segurança da Informação e Privacidade são elementos críticos no mundo moderno e conectado, que podem destruir os negócios de uma empresa, causando enormes prejuízos financeiros e danos à imagem. 

No Brasil, a preocupação com a Segurança da Informação e Privacidade e Proteção dos Dados tem tomado impulso com a promulgação da Lei Geral de Proteção de Dados (LGPD) em outubro de 2020, além dos casos recentes de ataques cibernéticos sofisticados, os quais vêm tirando o sono dos proprietários e clientes de empresas e instituições dos diversos setores da sociedade.

No entanto, uma empresa que busca provar o compromisso com a Segurança da Informação, seja para seus clientes ou fornecedores, pode perguntar se será melhor obter um relatório SOC2 ou uma certificação ISO27001, para garantir que existe segurança em seus processos, tecnologia e pessoas. 

As dúvidas aparecem, como: Qual selo de endosso de estrutura tem mais influência?  Um é realmente melhor do que o outro? Quais os custos e demandas necessárias? Qual seria a melhor opção para minha empresa? Será que estabelecendo um dos padrões, consigo otimizar o estabelecimento do outro?

São ótimas perguntas – e, neste texto, compararemos as duas estruturas, discutiremos as semelhanças e diferenças entre elas e compartilharemos alguns conselhos para organizações que buscam ir além para demonstrar seu compromisso com a proteção dos dados do cliente.

III – Análise

Para escolher qual dos dois modelos que melhor se enquadra em suas necessidades e expectativas, analisaremos os seguintes aspectos:

1) Conhecendo as características básicas da ISO27001 e do SOC2

Antes de comentar sobre os pontos principais de cada uma delas, é fato que podem ser consideradas “primas próximas”, e se você trabalhar de maneira inteligente, poderá aproveitar os esforços que faz para tirar uma certificação e usá-los para concluir a outra em tempo recorde. Vamos conhecer um pouco de cada uma delas primeiro:

a) ABNT NBR ISO/IEC 27001:2013 – Tecnologia da informação — Técnicas de segurança — Sistemas de gestão da segurança da informação — Requisitos

Criada pela International Standards Organization, adotada pela ABNT, a ISO27001 também estabelece uma diretriz para o SGSI, dedicada à proteção de dados em longo prazo.

Uma certificação ISO27001 indica um investimento significativo de tempo e recursos em segurança e fornece um bloco de construção robusto para o programa de conformidade de segurança de qualquer organização. É bem completa e atende a qualquer tipo de organização, seja pequena, média ou grande, privada ou pública, além de ser aceita na maior parte do mundo.

Esta Norma também inclui requisitos para a avaliação e tratamento de riscos de segurança da informação voltados para as necessidades da organização, permitindo que uma organização mantenha seus níveis de segurança sempre alinhados com os objetivos e resultados desejados da organização (por exemplo, vantagem de mercado, redução de perdas por incidentes, otimização operacional etc.), com base em uma abordagem de gerenciamento de risco com o ciclo PDCA (Plan, Do, Check, Act). 

Em tempos de preocupação constante e crescente com a privacidade e proteção de dados, vale ressaltar que os regulamentos como o GDPR, UK DPA, LGPD, dentre outros, exigem que as organizações tomem medidas adicionais para garantir a privacidade dos dados pessoais processados, mas em geral nenhum deles orienta os controles que devem ser implementados de maneira prática. Como a ISO27001 estabelece os requisitos para um SGSI, por meio de uma abordagem baseada em risco que abrange pessoas, tecnologias e processos, aquelas organizações que já implementaram a ISO27001, podem, posteriormente, ampliar o escopo e adotar uma outra norma da série 27000, a ISO27701 – Sistema de Gestão de Privacidade da Informação, que é uma extensão da norma 27001, e tem como objetivo adicionar novos controles no sistema de gestão para garantir a total privacidade especificamente dos dados pessoais, para estender seus esforços de segurança e cobrir o gerenciamento de privacidade – incluindo o processamento de dados pessoais (PII Processor) ou controle e uso de dados pessoais (PII Controller), obtendo benefícios na adoção das melhores práticas definidas na ISO 27701.

Aquelas que buscam a certificação ISO27001, podem, ao mesmo tempo, implementar a ISO27701 como um único projeto, economizando custos e tempo. O contrário já não é possível.

Ter um ambiente certificado com o selo da ISO27001 fornece às partes interessadas a garantia de que os dados estão sendo protegidos de forma segura, e a extensão ISO27701 permite aos controladores e processadores de dados demonstrarem que medidas razoáveis foram tomadas para cumprir os regulamentos. Desta forma, a maturidade em relação à privacidade estará indo além das expectativas iniciais, pois será composta junto com o SGSI, e estará alinhada com os mais altos padrões de exigência do mercado.

Por ser um padrão internacional ISO, a ISO27001 é mais amplamente aceita em qualquer parte do mundo, facilitando a entrada em novos mercados e negócios que exigem segurança, seja no mundo ocidental quanto no oriental.

b) SOC (System and Organization Controls)

O SOC é um conjunto de padrões criados pelo American Institute of Certified Public Accountants – Instituto Americano de Contadores Públicos Certificados (AICPA) – para avaliar e classificar a competência dos controles de uma organização. 

Esses relatórios podem desempenhar um papel importante na supervisão da organização, programas de gerenciamento de fornecedores, governança corporativa interna, processos de gerenciamento de riscos e supervisão regulatória.

Existem dois tipos de relatórios SOC2: tipo 1 e tipo 2.

Um exame/verificação SOC2 Tipo 1 fornece uma avaliação pontual dos controles de proteção de dados presentes em uma organização. O design dos controles é avaliado e a implementação é confirmada, mas o desempenho consistente não é avaliado em um relatório Tipo 1.  

Se uma organização for nova no SOC2, obter um relatório SOC2 Tipo 1 é a primeira etapa. Um exame SOC2 Tipo 2 cobre a eficácia operacional dos controles em um período específico, como um período de seis a 12 meses.

Um relatório SOC2 Tipo 2 é um nível mais alto do que um Tipo 1 porque, além de avaliar o projeto e a implementação dos processos de controle, ele também avalia se os controles foram realizados de forma consistente ao longo do período especificado.  Isso fornece um maior nível de confiança na eficácia dos processos de controle para clientes e parceiros de negócios.

Os relatórios do SOC2 se concentram em como os controles atendem a cinco categorias semi-sobrepostas, chamadas Trust Service Criteria (TSC):

– Segurança: as informações e os sistemas são protegidos contra riscos que podem comprometê-los e afetar a capacidade da organização de cumprir os objetivos definidos.

– Disponibilidade: informações e sistemas precisam estar disponíveis quando necessário, para que a organização possa cumprir seus objetivos.

– Integridade do processamento: o processamento do sistema deve fornecer informações confiáveis ​​quando autorizado, para que a organização possa atingir seus objetivos.

– Confidencialidade: As informações só podem ser acessadas por pessoal autorizado, para que a organização atinja seus objetivos.

– Privacidade: as informações pessoais são gerenciadas de forma a permitir que a organização atinja seus objetivos.

A abrangência do SOC está concentrada no mercado e no continente norte-americano, mas também é aceita mundialmente.

2) Semelhanças entre SOC2 e ISO 27001

Essas duas estruturas de governança de segurança compartilham muitos pontos em comum. Em um dos estudos, encontramos que elas compartilham cerca de 96% dos mesmos controles de segurança. Ambos são voluntários e projetados para provar a confiabilidade de uma empresa para lidar com os dados do cliente, protegendo a confidencialidade, integridade e disponibilidade de informações. 

Você não precisa se esforçar para localizar semelhanças logísticas e operacionais entre SOC2 e ISO27001. As estruturas compartilham muitos requisitos de segurança semelhantes, tornando a implementação funcional e o tempo de coleta de evidências comparáveis.  Ambas as estruturas também exigem avaliações de validação de terceiros certificadas e reavaliações periódicas.

Os clientes veem ambas como uma prova viável da capacidade de sua empresa de proteger os dados.  Em suma, ter um relatório SOC2 tipo 2, ou ISO27001 em mãos, aumentará a reputação da sua marca e ajudará você a conquistar novos negócios.

3) Diferenças entre SOC2 e ISO 27001

a) Atestado x Certificação

A diferença mais significativa entre as estruturas se resume a atestado versus certificação.  SOC 2 é um atestado da função de controle de segurança, resultando em um relatório de entrega. 

Conforme comentários anteriores, um relatório SOC2 é dividido em dois tipos. Um relatório Tipo 1 requer uma descrição de gerenciamento dos controles de sua organização e eficácia de curto prazo.  Um relatório SOC2 Tipo 2 requer um atestado do Instituto Americano de Contador Pessoal Certificado (AICPA) dos controles de segurança observados ao longo do tempo, como um período de 6 ou 12 meses.  Se ambos atenderem aos requisitos do AICPA e todos os controles de segurança atenderem aos “princípios de serviço de confiança”, um relatório de atestado completo contendo a opinião do avaliador verificando a aceitação é entregue à empresa.

Por outro lado, a ISO27001 se concentra mais no desempenho de todo o Sistema de Gestão de Segurança da Informação (SGSI) ao longo do tempo e fornece um selo de certificação.

Ambos foram originados para garantir a presença e a função de controles de segurança adequados, mas a ISO27001 vai a um passo além – os avaliadores também querem ver um SGSI implementado para segurança contínua de dados. É mais robusto e mais completo.

Uma auditoria de certificação ISO27001 é conduzida por um registrador credenciado que mede a conformidade do SGSI em relação aos “requisitos padrão” da estrutura ISO27001, mundialmente adotada.  Se a conformidade da estrutura for verificada durante a auditoria, um certificado de conformidade será emitido para a organização.  

Fica fácil observar que, ao adotar a ISO27001 você terá um Sistema de Gestão de Segurança da Informação mais completo e, poderá acelerar o processo de adoção do SOC2, caso seja do interesse da empresa. Essa ordem facilitará o processo, otimizando tempo e recursos, caso haja interesse em ambas as certificações.

b) Alcance

Tanto o SOC2 quanto a ISO27001 cobrem muitos dos mesmos tópicos, com seus controles de segurança incluindo processos, políticas e tecnologias projetadas para proteger informações.

A diferença é qual desses controles de segurança você implementa. Tanto o padrão ISO27001 quanto o SOC afirmam que as organizações só precisam adotar um controle se ele se aplicar a elas, mas a maneira como abordam isso é um pouco diferente. A ISO27001 se concentra no desenvolvimento e manutenção de um Sistema de Gestão de Segurança da Informação (SGSI), que é um método abrangente de gerenciamento de práticas de proteção de dados.

Para atingir a conformidade, você deve conduzir uma avaliação de risco, identificar e implementar controles de segurança e revisar sua eficácia regularmente.

O SOC2, por outro lado, é mais flexível.  Inclui cinco Princípios de Trust Services: Segurança, Disponibilidade, Integridade de Processamento, Confidencialidade e Privacidade, mas apenas o primeiro deles é obrigatório.

As organizações podem implementar controles internos relacionados a outros princípios se quiserem, mas não é necessário obter a certificação.

c) Aplicabilidade de mercado

Ambas as estruturas são reconhecidas globalmente, entretanto, o SOC está mais associado ao mercado dos Estados Unidos da América. Porém, se você estiver naquela região, descobrirá que tanto o SOC2, quanto a ISO27001 são comuns. Já, fora da América do Norte, a ISO27001 é muito mais popular.

Se sua empresa estiver vendendo para organizações dos Estados Unidos da América, eles aceitarão ambas as certificações. São igualmente “horizontais” no sentido de que são aceitos pela maioria dos setores, com exceção do governo federal (requer FedRAMP) ou setor de saúde (requer HIPAA). 

Agora, se sua empresa faz ou pretende fazer negócios internacionalmente, a ISO27001 é mais amplamente aceita e poderá facilitar sua entrada em novos mercados.

d) Processo de certificação

SOC2 e ISO27001 são certificações confiáveis, independentes e atestadas por terceiros. Em qualquer das duas estruturas, você deve concluir uma auditoria externa para certificar e estar em conformidade. A única diferença neste processo é quem conduz a auditoria. 

No caso da ISO27001, é necessário contratar um organismo de certificação credenciado pelo CGCRE (Coordenação Geral de Acreditação)/INMETRO no Brasil ou pela ANAB (ANSI National Accreditation Board) em todo Ocidente para completar a certificação ISO27001.  

Já no caso do SOC, bastaria um relatório de atestado, executado por um CPA (Contador Público Certificado) licenciado.

Também há uma ligeira diferença na aparência da certificação. As organizações que passam na auditoria ISO27001 recebem um selo de certificado de conformidade, enquanto a conformidade SOC é documentada com um atestado formal. Este selo 27001 tem grande peso nos negócios internacionais e em licitações no mercado interno brasileiro. Até mesmo pode ser exigido por clientes ou fornecedores para que possibilitem a execução de negócios.

e) Cronograma do projeto

O processo de certificação é semelhante para ISO27001 e SOC2, com três etapas que devem ser seguidas: 

• • Condução de uma análise de gap para descobrir quais áreas da estrutura você já está em conformidade e onde precisa fazer melhorias.  Como parte desse processo, você também deve definir seus objetivos de segurança e quais áreas de sua organização serão cobertas.

• • Em seguida, você deve identificar quais controles de segurança são apropriados para sua organização e tomar as medidas necessárias para implementá-los.  Isso inclui documentar suas práticas e estabelecer um método para revisar e melhorar seus processos.
• • A etapa final é a auditoria.  Muitas organizações conduzem uma auditoria interna antes de contatar um organismo de acreditação, pois isso permite que elas resolvam quaisquer erros finais que identifiquem. Assim que estiver confiante em suas práticas de conformidade, você pode entrar em contato com um organismo de certificação e organizar uma auditoria externa.

Quanto tempo esse processo levará dependerá da quantidade de trabalho que você tem que fazer para trazer suas práticas para o zero, ou seja, completar todas as implementações recomendadas, o que pode variar com o tamanho da empresa e do escopo selecionado.  Em termos gerais, em média, ambas as normas devem levar de 6 meses a 1 ano.

f) Custos e Tempo Estimados

Embora os preços variem amplamente em toda a indústria e dependendo do escopo de seu projeto de certificação, a ISO27001 pode ser o melhor custo-benefício pelo fato de se poder contratar o serviço de certificação em moeda nacional, enquanto para o SOC2 somente foi possível encontrar, no momento, serviços cobrados em moeda estrangeira (dólar). 

O custo para concluir os requisitos de ambas as estruturas variam muito com o escopo selecionado, o tamanho da sua organização e a complexidade da infraestrutura, além da capacidade da empresa que irá prover o serviço de certificação.

O tempo de conclusão dos relatórios SOC2 dos Tipos I e II normalmente leva de 6 meses a um ano, assim como para a conclusão da certificação ISO27001, que também pode levar entre 6 meses a 1 ano.  

Novamente, o tempo de conclusão para ambas as estruturas depende das especificidades da situação individual de sua empresa. 

Os certificados devem ser renovados, para que sejam mantidos. Depois de concluído, o SOC2 precisa ser renovado anualmente. Já a ISO 27001, precisará efetuar anualmente uma auditoria de manutenção e a cada 3 anos uma auditoria de recertificação.

IV – Conclusão 

Com base nos dados acima, sua empresa poderá ser capaz de decidir qual estrutura é mais adequada para sua organização, SOC2 ou ISO27001. 

Em termos gerais, a principal diferença é que SOC2 se concentra, principalmente, em provar que os controles de segurança que protegem os dados do cliente foram implementados, enquanto a ISO27001 também quer que você prove que possui um SGSI operacional em vigor para gerenciar seu programa de segurança em uma base contínua. Isso adiciona vários controles para provar que está funcionando e regularmente revisado. 

O SOC2, apesar de ser mais fácil de implementar e manter, é bem menos rigoroso. A ISO 27001 envolve mais trabalho, mas faz mais para proteger as organizações contra ameaças à segurança da informação.

O SOC2 e o ISO27001 podem fornecer excelentes estruturas de segurança para ajudar sua organização a proteger informações sigilosas e manter a confiança do cliente enquanto aumenta a reputação e expande a participação no mercado.  Mas atender aos requisitos de cada um envolve uma extensa documentação, o que pode se tornar uma tarefa árdua se sua equipe não estiver preparada com uma abordagem sistemática e organizada.  Não se esqueça de que não é apenas pela documentação de controle que você é responsável – você também deve monitorar e documentar as atividades de segurança do seu fornecedor.

Outro ponto importante é a possibilidade de, ao adotar a ISO27001, estender seu escopo e atender também a ISO27701. Toda organização, de qualquer tamanho e natureza (pública ou privada),  que é responsável por processamento de dados pessoais (PII Processor) ou por controlar e fazer uso de dados pessoais (PII Controller), terão benefícios na adoção das melhores práticas definidas na ISO27701. A gestão com base em riscos de segurança e privacidade busca ajudar as organizações a evitar possíveis vazamentos de dados, acessos indevidos e demais incidentes que podem acarretar em sérios problemas para a empresa. É um sistema de gestão preocupado também com a gestão da privacidade dos dados pessoais. Esse sistema de gestão busca ajudar as empresas a gerenciar os riscos de privacidade relacionados aos dados pessoais, seja ela na relação com o controlador ou com o operador dos dados.

Caso a organização deseje ter ambas, a recomendação é que obtenha a ISO27001 primeiro, pois ela fornece a base de conformidade mais forte e abrangente para ser construída.  Desta forma, poderá seguir adiante, sem grandes custos e esforços adicionais, com uma base sólida para a preparação, tanto da ISO27701, quanto do relatório do SOC2.

Podemos concluir que nenhuma estrutura de segurança é intrinsecamente superior a outra. Para escolher a estrutura de segurança adequada para sua empresa, o melhor conselho é olhar atentamente para o seu mercado, as preferências do seu cliente, as exigências de seu fornecedor e os requisitos regulamentares que sua empresa deve cumprir. 

A Clavis Segurança da Informação pode te ajudar tanto na seleção/escolha quanto no processo de preparação. Temos em nosso portfólio uma enorme gama de serviços de Segurança da Informação, dentre eles a análise de gap focada na ISO 27001, bem como uma consultoria personalizada para os interesses na adoção da certificação ABNT ISO/IEC 27001. 

Nossos serviços seguem os padrões internacionais de adequação através da devida aplicação das normas ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002, alinhando as diretrizes requeridas pelo processo de certificação ao perfil da organização. Como resultado deste padrão de qualidade alguns clientes já conseguiram certificar seu SGSI implementado com auxílio da Clavis.

Entre em contato com a Clavis aqui.

Fontes: 

1. https://www.iso.org/standard/54534.html Acessado em 02/06/2021
2. https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpacybersecurityinitiative.html Acessado em 02/06/2021
3. https://advisera.com/27001academy/blog/2021/02/02/iso-27001-vs-soc-2/ Acessado em 03/06/2021
4.  https://hyperproof.io/resource/soc-2-iso-27001-is-one-better/  Acessado em 03/06/2021
5. https://www.tugboatlogic.com/blog/iso27001-soc2-certification-similarities/ Acessado em 03/06/2021
6. https://www.trustnetinc.com/pricing/soc-ssae18-report-cost/ Acessado em 06/06/2021
7. https://www.strongdm.com/blog/how-much-does-soc-2-cost Acessado em 06/06/2021
8. https://certificates.aicpastore.com/certificate-programs/advanced-soc-service-organizations/frequently-asked-questions Acessado em 06/06/2021
9. https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/cpas.html Acessado em 06/06/2021
10. https://advisera.com/27001academy/pt-br/ferramentas-gratuitas/duracao-da-implementacao/  Acessado em 06/06/2021
11. https://certificacaoiso.com.br/tudo-o-que-precisa-saber-sobre-a-iso-27001-e-seguranca-da-informacao/  Acessado em 06/06/2021
12. https://www.segs.com.br/info-ti/269440-auditoria-de-seguranca-soc-2-o-que-e-e-por-que-e-essencial Acessado em 06/06/2021
13. https://linfordco.com/blog/soc-audit-cost/ Acessado em 06/06/2021