💬 Falar com um especialista
ISO/IEC 27001:2022 · SGSI

Implante a ISO 27001 com quem vive a norma há mais de uma década.

Consultoria de ponta a ponta: estruturamos o SGSI, orientamos sua equipe técnica na implantação dos controles e elaboramos as RFPs para contratação de tecnologia. Sócios CISSP e certificados em campo — sem intermediários, sem mexer diretamente na sua infraestrutura.

Veja como podemos te ajudar → Como funciona

Quem conduz o projeto

🛡️
Sócio-Diretor
Carlos A. I. Bernardo
CISSP · MBA GRC · ISO 22301 LI
🔐
Sócio-Diretor
Rafael de Queiroz Batista
CDPSE · ISO 27701 LI · MSc FGV
10+ anos de projetos em campo
8+ setores atendidos
100% sócios em campo
Por que certificar

A ISO 27001 deixou de ser diferencial. É exigência.

Clientes, reguladores e parceiros comerciais passaram a exigir — formal ou informalmente — evidências de um sistema de gestão de segurança da informação estruturado.

🏦

Requisito regulatório e contratual

Setores como financeiro (BACEN), saúde e infraestrutura crítica têm exigências de segurança da informação que a ISO 27001 ajuda a demonstrar de forma estruturada e auditável.

🤝

Vantagem competitiva em licitações

A certificação é critério de seleção em contratos com o governo, grandes corporações e em processos de due diligence. Empresas certificadas têm vantagem objetiva.

🔍

Gestão de riscos estruturada

A norma impõe uma disciplina de identificação, avaliação e tratamento de riscos que reduz a exposição a incidentes e aumenta a resiliência operacional da organização.

🛡️

Resposta a incidentes mais eficaz

Organizações certificadas têm processos claros de detecção, contenção e notificação — reduzindo o impacto de incidentes e o risco de sanções regulatórias como as da ANPD.

📈

Fundação para outras normas

A ISO 27001 é a espinha dorsal. A partir dela, a integração com ISO 27701 (privacidade), ISO 42001 (IA) e ISO 22301 (continuidade) é natural e incremental.

👤

Cultura de segurança genuína

Nossa abordagem people centric garante que as pessoas entendam e pratiquem segurança — não apenas cumpram requisitos formais.

Como atuamos

Consultoria de ponta a ponta — sem tocar na sua infraestrutura

A ISO 27001 exige controles técnicos que podem demandar mudanças em sistemas, redes e ferramentas. Nosso papel é orientar — com precisão técnica e baseados nos frameworks NIST e CIS Controls — para que sua equipe execute com segurança, ou para que você contrate o fornecedor certo.

🎯
O que fazemos

Consultoria, orientação e especificação

  • Diagnóstico de gaps e análise de riscos
  • Definição de quais controles técnicos aplicar e como
  • Especificações técnicas para guiar a equipe de TI do cliente
  • Elaboração de RFPs para contratação de equipamentos e serviços
  • Avaliação de propostas de fornecedores de tecnologia
  • Políticas, procedimentos e documentação normativa
  • Treinamento, conscientização e auditoria interna
🔧
O que executa a equipe do cliente ou fornecedor contratado

Implantação técnica na infraestrutura

  • Configuração de firewalls, VPNs e segmentação de rede
  • Implantação de ferramentas de gestão de identidade e acesso
  • Configuração de soluções de monitoramento e SIEM
  • Criptografia de dados em trânsito e em repouso
  • Hardening de sistemas e servidores
  • Implantação de soluções de backup e recuperação
  • Instalação de equipamentos de segurança física
💡
Por que esse modelo funciona: A maioria das organizações já tem uma equipe de TI ou contratos com integradores. O que falta é a orientação especializada — saber o quê implantar, como especificar corretamente e como verificar se o controle atende à norma. É exatamente isso que a IT SECURE entrega.
Metodologia

Do diagnóstico à certificação

Cada fase tem entregáveis claros e mensuráveis. Nenhuma etapa genérica — o conteúdo é construído para o contexto real da sua organização.

01

Diagnóstico e análise de gaps

Avaliação do estado atual da organização frente aos requisitos da ISO 27001:2022. Identificamos lacunas, priorizamos por criticidade e mapeamos o esforço necessário para cada domínio da norma.

Relatório executivo incluído
02

Definição do escopo e contexto

Delimitação precisa do escopo do SGSI — ativos, processos, unidades e partes interessadas. Análise de contexto interno e externo e identificação das partes interessadas relevantes.

Documentação normativa
03

Avaliação e tratamento de riscos

Metodologia de análise de riscos baseada em ISO 27005 e NIST RMF. Identificação de ativos, ameaças e vulnerabilidades, com matriz de riscos e Plano de Tratamento alinhado ao negócio.

ISO 27005 · NIST RMF
04

Orientação na implantação dos controles do Anexo A

Definimos quais dos 93 controles se aplicam ao escopo e como cada um deve ser implantado. Para controles técnicos que exigem mudanças na infraestrutura, orientamos a equipe interna do cliente. Quando não há essa capacidade, elaboramos as RFPs para contratação dos serviços ou equipamentos necessários.

93 controles · SoA · RFP quando necessário
05

Capacitação e conscientização

Treinamentos para todos os níveis da organização — da liderança ao time operacional. Foco em cultura de segurança genuína, não apenas cumprimento formal de requisitos.

People Centric
06

Auditoria interna e análise crítica

Simulação de auditoria de certificação para identificar não conformidades antes do organismo certificador. Apoio na resolução e preparação da liderança para as entrevistas de auditoria.

Pré-certificação

O que está incluído

  • Diagnóstico de gaps frente à ISO 27001:2022
  • Análise de riscos (ISO 27005)
  • Plano de Tratamento de Riscos (PTR)
  • Declaração de Aplicabilidade (SoA)
  • Política de Segurança da Informação
  • Políticas e procedimentos do Anexo A
  • Orientação técnica à equipe de TI do cliente
  • RFPs para contratação de tecnologia e serviços
  • Programa de conscientização e treinamento
  • Auditoria interna simulada
  • Relatórios executivos para a liderança
  • Suporte durante a auditoria de certificação
⏱ Prazo médio 6 a 12 meses
Frameworks integrados
ISO 27001:2022ISO 27005NIST CSF 2.0NIST RMFCIS Controls
Falar com um especialista →
Para quem é

Atendemos organizações que precisam de resultado

Não importa o setor ou o estágio de maturidade — o projeto é construído para o contexto real da sua organização.

🏦

Setor financeiro e fintechs

Bancos, corretoras e plataformas de serviços financeiros que precisam demonstrar conformidade com regulações do BACEN e exigências de parceiros internacionais.

🏥

Saúde e grupos hospitalares

Organizações de saúde que tratam dados sensíveis e precisam estruturar a segurança para conformidade com LGPD e acreditações setoriais.

Energia e infraestrutura crítica

Empresas de distribuição e geração de energia que precisam integrar segurança em ambientes de TI e OT com foco em resiliência operacional.

🏭

Indústria e manufatura

Fabricantes que recebem exigências de certificação de clientes corporativos ou que participam de cadeias de suprimentos com requisitos documentados.

💼

Prestadores de serviços de TI

Empresas de tecnologia que precisam da certificação para contratos com clientes corporativos, licitações públicas ou processos de due diligence.

🌾

Agronegócio e fundos de investimento

Organizações do agro e fundos que precisam estabelecer padrões de segurança aplicáveis ao portfólio ou às operações com dados críticos de negócio.

Por que a IT SECURE

Expertise que se prova no campo

Não terceirizamos a entrega. Os sócios com CISSP, CDPSE e certificações ISO participam diretamente de cada projeto.

Sócios em campo, sem intermediários

Os mesmos profissionais que assinam a proposta conduzem o projeto. Você fala diretamente com quem tem a expertise e a certificação.

Orientação técnica sem conflito de interesse

Não vendemos tecnologia nem somos parceiros de fabricantes. Nossas especificações são neutras — focadas no que a norma exige, não no que gera comissão.

Mais de uma década de projetos reais

Desde 2015, com engajamentos em 8+ setores — do mercado financeiro à saúde e infraestrutura crítica.

Abordagem people centric

Integramos capacitação e cultura de segurança à orientação técnica — para que sua equipe execute com convicção, não por obrigação.

Professores e instrutores

Os sócios atuam em instituições de ensino como FGV, ABNT, Instituto Mauá de Tecnologia e TIExames, garantindo conhecimento técnico atualizado e em profundidade.

Integração com outras normas

Cada serviço é construído para ser compatível com ISO 27701, 42001, 22301 e frameworks NIST — evitando retrabalho desde o início.

Experiência comprovada

Projetos conduzidos em contextos reais

Em conformidade com o Código de Ética ISC2, preservamos a confidencialidade dos clientes. Os casos abaixo descrevem contextos e entregas de forma a transmitir a profundidade do trabalho realizado.

⚡ Energia Elétrica · Infraestrutura Crítica

Mapeamento de riscos e Plano Diretor de Segurança da Informação para empresa líder em distribuição de energia

ISO 27005NIST CSFTI/OTPDSIRisk Assessment
🏥 Saúde · Grupo Hospitalar

Estruturação da área de segurança da informação em grupo hospitalar de grande porte com orientação normativa

ISO 27001Estruturação de ÁreaWhite Label
🏦 Serviços Financeiros · Fintech

Avaliação de riscos e conformidade regulatória para homologação pelo BACEN — plataforma atualmente em operação

BACENRisk AssessmentConformidade RegulatóriaHomologação
Ver todos os cases →
Perguntas frequentes

Dúvidas sobre a implementação

A IT SECURE mexe diretamente na nossa infraestrutura de TI?
Não. Nossa atuação é consultiva: definimos quais controles técnicos precisam ser implantados e como devem atender à norma. A execução técnica é feita pela equipe de TI do cliente. Quando não há essa capacidade interna, elaboramos as RFPs para contratação dos fornecedores adequados e podemos apoiar na avaliação das propostas recebidas.
O que é uma RFP e quando vocês elaboram uma?
RFP (Request for Proposal) é o documento técnico que especifica o que sua organização precisa contratar — seja um firewall de nova geração, uma solução de SIEM, uma ferramenta de gestão de identidade ou um serviço de SOC. Elaboramos a RFP quando um controle técnico exige tecnologia que o cliente ainda não possui, garantindo que as propostas dos fornecedores sejam comparáveis e que o contratado atenda efetivamente aos requisitos da norma.
Quanto tempo leva para implementar a ISO 27001?
O prazo médio é de 6 a 12 meses, dependendo do porte da organização, da complexidade do escopo e do nível de maturidade já existente. Organizações com equipe de TI ativa e práticas básicas estruturadas costumam completar o processo em menos tempo.
A IT SECURE atua junto ao organismo certificador?
Sim. Apoiamos o cliente até a auditoria de certificação — preparamos a equipe, simulamos a auditoria interna e orientamos as respostas às não conformidades. A escolha e contratação do organismo certificador é feita pelo cliente; indicamos opções acreditadas pelo INMETRO.
A ISO 27001 cobre a conformidade com a LGPD?
A ISO 27001 cobre os aspectos de segurança da informação que são parte dos requisitos técnicos da LGPD. Para conformidade completa com a lei — incluindo bases legais, direitos dos titulares e o papel do DPO — ela é complementada pela ISO 27701, que integramos ao projeto quando necessário.
Nossa empresa é pequena. Faz sentido implementar a ISO 27001?
Depende do contexto. Para empresas com clientes corporativos, contratos públicos ou que tratam dados sensíveis, a certificação gera retorno claro. Para empresas menores sem essa pressão externa, pode ser mais adequado um programa estruturado de segurança sem certificação formal — que também oferecemos.

Pronto para iniciar sua jornada ISO 27001?

Fale diretamente com nossos sócios. A conversa inicial é sem custo e sem compromisso — e já nos permite identificar o caminho mais eficiente para a sua organização.

Diagnóstico inicial sem custo
Proposta personalizada para o seu contexto
Contato direto com os sócios
Fale com nossos sócios
Contato direto — sem formulários, sem triagem
✉️
E-mail
contato@itsecure.com.br
🔒 Suas informações são tratadas com sigilo absoluto — em conformidade com a LGPD e com nossos próprios padrões de privacidade.