Ph3i Technology
ISO 27001

O papel das evidências em um Sistema de Gestão de Segurança da Informação

Entenda o que são evidências em segurança da informação, como produzi las e como organizá las para auditorias e melhoria contínua.

Introdução: por que evidências são a base de qualquer auditoria séria

Em segurança da informação, não basta dizer que um controle existe. Também não basta ter uma política bonita escrita. Em uma auditoria séria, a pergunta central é sempre a mesma:

"Mostre como isso funciona na prática. Onde estão as evidências?"

Evidências são o que conecta o mundo do papel (políticas, procedimentos, normas) com o mundo real (logs, registros, prints, relatórios, tickets, históricos de mudança). Sem evidências consistentes, um Sistema de Gestão de Segurança da Informação (SGSI) fica frágil, difícil de defender e quase impossível de melhorar ao longo do tempo.

Neste artigo vamos:

  • Esclarecer o que é e o que não é evidência em segurança da informação.
  • Mostrar exemplos de evidências fortes versus evidências fracas.
  • Explicar como relacionar evidências a controles e riscos.
  • Falar sobre organização, versionamento e acesso.
  • Discutir o papel de uma plataforma para manter tudo vivo e auditável.
  • Apontar um roteiro simples para revisar o acervo de evidências do SGSI.

O que é e o que não é evidência em segurança da informação

De forma simples, evidência é qualquer registro objetivo que comprove que um controle existe e é aplicado na prática.

Alguns exemplos típicos:

  • Logs de autenticação mostrando uso de MFA.
  • Relatórios de backup com data, horário e status.
  • Capturas de tela de configurações de segurança (firewall, WAF, grupos de segurança).
  • Registros de treinamentos aplicados (lista de presença, material utilizado, avaliação).
  • Tickets de incidentes com análise, ação de contenção e lições aprendidas.
  • Atas de reuniões de comitê de segurança com decisões registradas.

Por outro lado, não são evidência suficiente, sozinhos:

  • Afirmar verbalmente que algo é feito.
  • Apresentar apenas a política dizendo "deverá ser feito".
  • Entregar documentos genéricos baixados da internet, sem conexão com a realidade da empresa.

Uma boa pergunta para testar se algo é evidência:

"Se eu mostrar isso para alguém que não conhece a empresa, ele conseguirá entender o que foi feito, quando, por quem e em qual contexto?"

Se a resposta for sim, você está mais próximo de uma evidência válida.

Exemplos de evidências fortes versus evidências fracas

Nem toda evidência tem o mesmo peso. Algumas são claras, objetivas e completas. Outras são vagas, fáceis de contestar ou difíceis de interpretar.

Evidências fortes

  • Export de logs de acesso com: usuário, data/hora, IP de origem, ação executada.
  • Relatório automático de ferramenta de backup mostrando sucesso/falha e volume de dados.
  • Registro de mudança em sistema de ITSM com descrição, análise de impacto e aprovação.
  • Print de configuração de grupo de segurança com data e identificação do ambiente.
  • Ata de reunião com lista de presentes, pauta e decisões claras.

Evidências fracas

  • Print de tela sem data, sem contexto e sem indicação de ambiente.
  • Anotações soltas em e-mail, sem relação explícita com controles do SGSI.
  • Planilhas sem autor, sem data de atualização e sem histórico.
  • Capturas de conversa em chat sem conclusão formal nem registro de decisão.

Em geral, evidências fortes têm algumas características em comum:

  • São datadas.
  • São atribuíveis a responsáveis.
  • São reproduzíveis (alguém consegue repetir o processo).
  • Podem ser associadas a um controle ou requisito específico.

Como relacionar evidências a controles e riscos

Produzir evidência solta, sem referência, gera um acervo confuso. O ideal é que cada evidência esteja conectada a pelo menos três coisas:

  1. Um controle (ex.: A.12.3 – backup, A.9.2 – gestão de acessos).
  2. Um processo ou procedimento (ex.: ITD de backup, procedimento de gestão de acessos).
  3. Um risco relevante (ex.: indisponibilidade de sistema crítico, acesso não autorizado, perda de dados).

Essa amarração traz vários benefícios:

  • Facilita a vida na auditoria: quando o auditor pede uma evidência de determinado controle, você sabe exatamente onde buscar.
  • Ajuda a enxergar lacunas: controles sem evidências associadas chamam atenção.
  • Conecta o dia a dia técnico com a visão de risco: o time entende por que aquele log ou relatório importa.

Na prática, isso pode ser feito com:

  • Uma planilha bem estruturada.
  • Um sistema de GRC.
  • Uma plataforma própria que permita vincular controles, riscos, tarefas e evidências.

O mais importante é que o vínculo não fique apenas na cabeça de uma pessoa; ele precisa estar registrado.

Organização de evidências: versionamento, histórico e acesso

Ter evidências é ótimo, mas é fácil perder o controle quando tudo está espalhado em:

  • Pastas de rede com nomes diferentes.
  • E-mails de pessoas específicas.
  • Pastas pessoais em serviços de nuvem.
  • Prints salvos em desktops ou pendrives.

Alguns princípios simples ajudam a organizar o acervo:

  1. Repositório central
    Definir onde as evidências oficiais ficam (SharePoint, repositório de documentos, plataforma dedicada).

  2. Estrutura padronizada
    Organizar por: norma/controle, processo, ano, tipo de evidência. Evitar inventar uma estrutura nova a cada projeto.

  3. Versionamento e histórico
    Manter versões com data e, quando fizer sentido, resumo de alterações. Isso evita apagar o passado sem querer.

  4. Controle de acesso
    Nem toda evidência precisa estar aberta para todos. Logs, relatórios de incidente e documentação sensível devem ter acesso controlado.

  5. Retenção e descarte
    Definir por quanto tempo as evidências são mantidas e como são descartadas de forma segura quando não fizerem mais sentido.

Quando essa base está organizada, preparar uma auditoria deixa de ser um caos de última hora e passa a ser mais um passo dentro da rotina.

Papel de uma plataforma na gestão de evidências ao longo dos anos

Conforme o SGSI amadurece, a quantidade de evidências cresce: backups diários, relatórios mensais, atas trimestrais, registros anuais de treinamento, etc.

Fazer essa gestão manualmente, em pastas soltas, tende a gerar:

  • Duplicidade de arquivos.
  • Dificuldade para localizar o que foi pedido.
  • Risco de perda de evidências antigas que ainda são relevantes.
  • Muito esforço reativo na preparação para auditorias.

Uma plataforma pensada para isso (seja um produto de mercado, seja uma solução desenvolvida internamente) pode ajudar a:

  • Vincular controle → tarefa recorrente → evidência.
  • Registrar quem anexou o quê, quando, em qual contexto.
  • Facilitar buscas por controle, período, tipo de evidência ou sistema.
  • Gerar relatórios consolidados para auditorias e comitês.

O objetivo não é complicar, mas padronizar. Com o tempo, o esforço deixa de ser "caçar arquivos" e passa a ser "alimentar e revisar uma base viva".

Como evitar o acúmulo de evidências irrelevantes

Se por um lado falta de evidência é um problema, por outro lado o excesso de evidências irrelevantes também atrapalha. Alguns exemplos de excesso:

  • Guardar todo e qualquer print, mesmo sem contexto.
  • Armazenar todos os e-mails trocados sobre um tema como se fossem evidência formal.
  • Manter versões antigas de documentos, sem necessidade, ocupando espaço e confundindo o time.

Para evitar esse acúmulo:

  • Defina o que é evidência padrão para cada tipo de controle (ex.: para backup, relatório mensal consolidado; para incidentes, registro no sistema de chamados).
  • Crie critérios de qualidade: data, responsável, descrição mínima do que está sendo comprovado.
  • Estabeleça rotinas de limpeza e revisão, removendo rascunhos e registros duplicados.

Lembre: evidência boa é aquela que ajuda a contar a história do SGSI, não que a esconde em um mar de arquivos sem sentido.

Roteiro para revisar o acervo de evidências do SGSI

Para fechar, um passo a passo simples para quem quer colocar ordem na casa:

  1. Listar controles e requisitos principais
    Comece pelos controles mais críticos (ex.: acessos, backup, incidentes, proteção de dados pessoais).

  2. Identificar evidências esperadas para cada controle
    Para cada um, responda: o que comprova na prática que isso existe e funciona? Que registro deveria existir?

  3. Mapear onde as evidências estão hoje
    Pastas, sistemas, e-mails, ferramentas de ticket, etc. Anote os locais atuais, mesmo que caóticos.

  4. Centralizar e organizar
    Definir o repositório oficial e migrar o que fizer sentido. Criar uma estrutura de pastas ou categorias clara.

  5. Definir responsáveis e periodicidade
    Quem gera cada evidência? Com qual frequência? Quem revisa se está tudo em dia?

  6. Registrar lacunas e plano de ação
    Onde não há evidência ou ela é fraca, registrar a lacuna e planejar ações: ajustar processo, criar relatório, revisar ferramenta.

  7. Revisar anualmente
    Ao menos uma vez por ano, revisar o acervo com olhar crítico: ainda faz sentido? Está coerente com os controles atuais? Algo mudou na tecnologia ou no ambiente?

Quando evidência deixa de ser algo montado às pressas para "passar na auditoria" e passa a ser parte natural da operação, o SGSI ganha robustez, transparência e confiabilidade. E a empresa passa a ter, de fato, história registrada para sustentar suas decisões em segurança da informação.

Conteúdos relacionados

Compartilhar

Tags

evidênciasISO 27001auditoriaSGSIdocumentação

Estatísticas

Tags5
Tipoartigo
Tempo de leitura8 minutos