Pular para o conteúdo

ISO 27001: O Guia Completo para Mapeamento de Processos

Ouça o Mini Podcast ISO 27001: O Guia Completo para Mapeamento de Processos

ISO 27001: O Guia Completo para Mapeamento de Processos para conquistar a certificação ISO 27001 pode ser o divisor de águas para sua empresa. E tudo começa pelo entendimento e mapeamento de processos. Descubra neste artigo como essa etapa pode transformar tanto a segurança da informação quanto a vantagem competitiva do seu negócio.

O que a ISO 27001: O Guia tem haver com mapeamento de processos?

A ISO 27001 foi criada para ajudar organizações a protegerem suas informações mais valiosas. Para isso, ela coloca o mapeamento de processos como um dos primeiros e mais fundamentais passos de um projeto de implementação. Mas, afinal, por que esse mapeamento é tão essencial?

A resposta é simples: o mapa dos processos – e, por consequência, o mapa da informação – permite identificar exatamente por onde transitam os dados e onde estão os riscos. Sem essa visão, é impossível proteger adequadamente ativos críticos de informação.

Segundo a própria Jennifer Dantas, consultora ISO 27001, “mapear processos é enxergar o coração pulsante da segurança da informação. Só assim conseguimos decidir onde realmente focar os controles e garantir a efetividade das práticas exigidas pela norma”.

O que é, na prática, o mapeamento de processos na ISO 27001?

Mapear processos significa muito mais do que desenhar fluxogramas. Envolve documentar atividades principais e de apoio, quem são os responsáveis, quais ativos são utilizados, como ocorre o fluxo de informações – desde entradas até a saída –, classificação das informações, além de definir critérios para acesso, armazenamento, transmissão e descarte de dados.

No contexto da ISO 27001, todos esses elementos colaboram para que a organização seja capaz de:

  • Compreender seu contexto organizacional
  • Identificar ativos, fluxos e fragilidades
  • Executar análise de riscos fundamentada
  • Aplicar controles de segurança alinhados à real necessidade
  • Evidenciar conformidade em auditorias internas e externas

Entendendo a Estrutura: Processos principais e de apoio

Um dos pontos mais debatidos durante o mapeamento é diferenciar processos principais e de apoio. Isso gera dúvidas mesmo em empresas mais maduras em gestão.

O que são processos principais?

Por definição, processos principais são aqueles diretamente ligados ao atendimento ao cliente, seus produtos, serviços ou soluções. Ou seja, são os processos que sustentam a razão de existir do negócio.

Exemplo prático: em uma empresa de software, os processos de desenvolvimento de software, gestão de projetos e relacionamento com o cliente geralmente são mapeados como principais, pois afetam diretamente a experiência e a entrega ao cliente.

E os processos de apoio?

Processos de apoio servem às demais áreas, dando suporte para que o negócio principal ocorra sem barreiras. Exemplos clássicos incluem gestão de recursos humanos, financeira, jurídica e gestão de fornecedores.

Imagine a gestão financeira: ela é essencial, mas sua atividade é dar suporte ao negócio core. O importante, na prática, é olhar para a estrutura organizacional e compreender as entregas de cada processo, contextualizando sempre de acordo com o ramo e modelo empresarial.

O mapa da informação: a ferramenta central da gestão de riscos

Após a estruturação dos processos, chega a hora de criar o famoso mapa da informação. Nele, são detalhados os caminhos pelos quais trafegam dados e informações, sejam eles informações corporativas, dados pessoais ou dados sensíveis.

Esse mapa se torna a base para diversas decisões no projeto de implementação e está diretamente relacionado às exigências da ISO 27001 e, quando aplicável, da ISO 27701 (privacidade).

Como construir um mapa da informação?

O primeiro ponto é identificar as atividades principais de cada processo previamente mapeado. Por exemplo, na gestão financeira, atividades podem incluir:

  • Contas a pagar
  • Contas a receber
  • Faturamento
  • Gestão de tesouraria

Para cada atividade, responda:

  • Quais informações entram nesse processo?
  • Quem tem acesso? Quais são os cargos envolvidos?
  • Quais hardwares e softwares são utilizados?
  • Onde essa informação é armazenada?
  • Como é transmitida (meios e protocolos)?
  • Como e quando ocorre o descarte dessas informações?
  • Qual a classificação da informação?
  • Existe dado pessoal ou sensível envolvido?
  • Qual a finalidade do uso dessa informação?

Esse inventário detalhado permite não só compreender os fluxos informacionais, mas também identificar pontos vulneráveis e oportunidades de melhoria nos controles internos.

Avaliação de risco e classificação das informações

A ISO 27001 exige a avaliação dos riscos referentes a três princípios fundamentais: CID – confidencialidade, integridade e disponibilidade. Essa análise visa entender o impacto de possíveis falhas considerando:

  • Confidencialidade: O que acontece se a informação vazar?
  • Integridade: Qual o impacto de alterações indevidas nos dados?
  • Disponibilidade: Por quanto tempo posso ficar sem acesso à informação sem prejudicar o negócio?

Cada aspecto recebe uma nota (de 1 a 4), ajudando a priorizar controles e a vislumbrar quais áreas merecem atenção redobrada.

Com base nessas avaliações, a organização decide quais riscos aceitar, mitigar ou eliminar, sempre considerando a tolerância ao risco e o impacto potencial sobre o negócio.

Entradas e saídas: como mapeá-las de forma eficaz?

O maior desafio do mapeamento é estruturar entradas e saídas de informação de forma estratégica, sem engessar processos ou sobrecarregar as equipes.

Veja um exemplo do setor financeiro:

  • Entrada: notas fiscais de fornecedores, contratos, extratos bancários.
  • Saída: comprovante de pagamento, relatório de despesas, notas fiscais emitidas.

Essas listas devem ser sucintas, mas completas o suficiente para permitir a identificação dos riscos envolvidos.

Classificação de informações: restrita, confidencial, interna ou pública

Ao classificar as informações, a empresa assegura que apenas as pessoas certas tenham acesso ao que realmente precisam. A ISO 27001 pede que cada informação seja classificada conforme seu grau de criticidade:

  • Restrita: acesso limitado a uma equipe
  • Confidencial: transmissão apenas para pessoas específicas
  • Interna: compartilhada dentro da organização
  • Pública: disponível externamente

Essa categorização sustenta decisões sobre controles, acessos, contratos de confidencialidade e políticas de segurança.

Exemplo prático: gestão financeira mapeada pela ótica da ISO 27001

Para facilitar, vejamos uma estrutura de mapeamento para o processo gestão financeira:

Objetivo do processo

“Garantir uma gestão eficiente e segura dos recursos financeiros.”

Atividades principais

  • Contas a pagar
  • Contas a receber
  • Faturamento
  • Gestão de tesouraria

Cargos envolvidos

  • Gerente financeiro
  • Analista financeiro
  • Analista de contas a receber
  • Analista de contas a pagar

Hardwares e softwares utilizados

Notebook, segunda tela, celular corporativo para hardware; SAP, Jira e ServiceNow como principais softwares.

Local de execução

Executado presencialmente e em home office.

Entradas, classificação e finalidade

  • Notas fiscais de fornecedores – informação restrita – gerenciar obrigações e processar pagamentos.
  • Contratos – informação restrita/confidencial – formalizar acordos, garantir direitos e deveres.
  • Comprovantes de despesas, extratos bancários, pedidos de vendas – classificados conforme necessidade.

Saídas principais

  • Comprovante de pagamento
  • Relatório de despesas
  • Notas fiscais emitidas
  • Recibos de pagamento

Saiba como definir quem acessa, armazena e transmite as informações

Controlar acessos é uma das exigências mais rigorosas da ISO 27001. Não basta que a informação seja protegida; ela deve ser acessível apenas a quem for autorizado, com trilhas de auditoria claras.

Exemplo de acesso seguro

No caso financeiro, o acesso a notas fiscais pode ser:

  • Físico: somente autorizado via chave, armários trancados
  • Lógico: acesso restrito ao setor financeiro, validade conferida através de VPN e autenticação multi-fator (MFA)

Transmissão e armazenamento

O envio de informações delicadas geralmente ocorre por e-mail corporativo, plataformas seguras, sistemas ERP ou, eventualmente, sistemas de troca interna. O armazenamento pode variar entre pastas físicas (documentos impressos) e sistemas digitais (com controles de acesso e registro de atividade).

Descarte seguro: uma exigência crescente

Normativos como a ISO 27001, a 27701 e a LGPD obrigam descarte seguro de determinados documentos e dados. Soluções comuns incluem destruição física (via fragmentadora) ou exclusão segura em sistemas digitais. Informações na nuvem devem ter processos claros acordados contratualmente quanto à exclusão definitiva e backups.

Muito além da rotina operacional, essas ações evitam vazamentos, usos indevidos e penalidades legais.

Quando o dado é pessoal ou sensível: atenção redobrada!

Caso o processo envolva dados pessoais, é obrigatório classificá-los conforme pessoal ou sensível. Dados sensíveis abrangem origem étnica, exames médicos e opção sexual, por exemplo, e têm proteção reforçada.

Nesse caso, registre também a finalidade e avalie se o uso desse tipo de informação realmente é necessário. Se não for, a recomendação – e a própria norma sugere – é evitar utilizar esses dados para reduzir riscos de exposição.

Mapeamento: base de toda a estrutura documental da ISO 27001

Ao final, o conjunto dos mapas de processos e informações será a base para outros documentos e políticas essenciais, como:

  • Inventário de ativos de informação
  • Política de classificação da informação
  • Procedimentos de controle de acesso
  • Plano de continuidade de negócios
  • Política de descarte e retenção de documentos

Por isso, a orientação da consultora é: “inicie o projeto com especialistas de cada área detalhando sua própria rotina. Só assim será possível identificar realmente as nuances de cada fluxo, os riscos e as oportunidades de melhoria”.

Benefícios do mapeamento estruturado de processos na ISO 27001

  • Visibilidade total dos fluxos de informação — Identifique todos os pontos vulneráveis da sua organização.
  • Eficiência e conformidade — Gerencie riscos eficazmente, atendendo 100% das exigências normativas.
  • Diminuição de retrabalho — Com processos claros, o tempo de respostas a incidentes e auditorias é consideravelmente reduzido.
  • Vantagem competitiva — Transforme conformidade em diferencial frente ao mercado, transmitindo segurança e confiança a clientes e parceiros.

Erros comuns e dúvidas frequentes no mapeamento ISO 27001

“Preciso descrever tudo nos mínimos detalhes?”

Não, mas os pontos-chave – entradas e saídas macro – devem estar muito claros. O detalhamento excessivo pode tornar o trabalho inviável e até dificultar revisões futuras.

“Minha empresa tem muitos processos! Faço o mapeamento de todos?”

O foco deve estar nos processos macro, tanto principais quanto de apoio. Eles darão sustentação ao restante da estrutura documental.

“E se algum setor não utilizar dado pessoal?”

Nenhum problema, mas registre essa decisão e garanta que o fluxo futuro mantenha essa característica. Utilize essa informação para decisões de acesso e políticas de privacidade.

“Como garantir que informações em nuvem sejam descartadas?”

Exija detalhamento e cláusulas contratuais específicas de seus fornecedores de serviços em nuvem, cobrando evidências de exclusão e backups conforme as normas exigem.

Integração com a ISO 27701 e a LGPD: Privacidade em foco

Tanto a ISO 27701 quanto a LGPD intensificam a necessidade de controle sobre dados pessoais. O mapeamento torna-se ainda mais relevante ao exigir evidências e rastreabilidade sobre o tratamento, compartilhamento e exclusão de informações identificáveis.

Se sua organização pretende integrar as certificações, alinhe os processos desde o início, ajustando finalidades, bases legais, consentimentos e obrigações de descarte.

Link para o vídeo completo:
https://youtube.com/live/VgCGqRkelu8?feature=share

Dicas finais para um mapeamento eficaz

  • Envolva especialistas de cada área: apenas os responsáveis diretos pelo processo têm a profundidade necessária.
  • Documente de forma objetiva: utilize exemplos, fluxos macro e justificativas claras.
  • Atualize sempre que houver mudanças significativas na estrutura ou tecnologia utilizada.
  • Reforce o treinamento dos colaboradores quanto à classificação e controle de informações críticas.
  • Automatize, quando possível, a coleta e revisão dos mapas de informação com ferramentas adequadas.