O que exige o controlo 6.3 da ISO 27001:2022 sobre sensibilização e como demonstrá-lo

Pasillo de un archivo moderno bañado por luz cálida de media tarde, con largas filas de carpetas y cajones etiquetados perfectamente ordenados, que transmite trazabilidad y registro completo

O que exige o controlo 6.3 da ISO 27001:2022 sobre sensibilização e como demonstrá-lo

A revisão de outubro de 2022 da ISO/IEC 27001 reorganizou por completo o Anexo A, e o prazo para que as organizações certificadas migrassem da versão 2013 terminou a 31 de outubro de 2025. Quem hoje se certifica ou renova fá-lo já sobre a versão nova. Nessa reorganização, o controlo de sensibilização mudou de número, de agrupamento e, sobretudo, de exigência probatória.

Este artigo não explica o que é a ISO 27001 nem como obter a certificação. Parte do princípio de que esse terreno já está coberto. Concentra-se em algo mais circunscrito, que é o que diz o controlo 6.3 sobre a sensibilização do pessoal, o que mudou face a 2013 e o que uma organização tem de conseguir mostrar quando o auditor começa a pedir evidência.

O que exige o controlo 6.3 da ISO 27001:2022 sobre sensibilização?

O controlo 6.3 do Anexo A, «Information security awareness, education and training», exige que todo o pessoal da organização (e, quando aplicável, os terceiros relevantes) receba formação adequada e atualizada sobre as políticas de segurança e sobre o seu papel nelas. Está dentro do tema Pessoas, um dos quatro agrupamentos da norma nova.

O peso está em três palavras do enunciado. «Adequada» significa que o conteúdo tem de corresponder à função de cada pessoa e aos riscos reais do posto, não a um programa genérico. «Atualizada» implica que a formação acompanha o ritmo das mudanças nas políticas e no panorama de ameaças. E «todo o pessoal» fecha a porta a programas que só alcançam uma parte do quadro. O controlo descreve um processo vivo, sustentado no tempo e revisto sempre que o contexto muda.

O 6.3 também não vive isolado. Apoia-se no controlo 6.2, que regula os termos e condições da relação de trabalho, e nas políticas de segurança que a direção aprova ao abrigo do controlo 5.1. A formação é o mecanismo pelo qual essas políticas deixam de ser um documento e se tornam comportamento. Um auditor que analisa o 6.3 quase sempre verifica, em paralelo, que existe uma política a que a formação remete e que essa política está em vigor.

A quem se aplica a formação do controlo 6.3?

A todo o pessoal da organização, independentemente da função ou da antiguidade, e aos terceiros com acesso à informação ou aos sistemas quando esse acesso o justifique. O controlo não admite a lógica de formar apenas as equipas técnicas ou quem lida com dados sensíveis. A sensibilização entende-se como uma camada de proteção que cobre a organização inteira.

Há três grupos que convém tratar de forma diferenciada, porque são os que o auditor analisa com mais detalhe. O pessoal geral precisa de uma base comum sobre políticas, ameaças habituais e como reportar um incidente. Os perfis de maior exposição, como administração de sistemas, finanças ou apoio ao cliente, requerem conteúdo específico para os riscos da sua função. E a direção entra numa categoria própria, porque aprova as políticas e responde por elas, pelo que a sua formação tem de ir além da mensagem geral. Deixar a camada de direção fora do programa é uma das lacunas que uma auditoria deteta mais depressa.

O que mudou entre a ISO 27001:2013 e a versão 2022 na sensibilização?

O requisito de fundo não se transformou, mas a sua localização e a sua leitura sim. Em 2013, a sensibilização vivia no controlo A.7.2.2, dentro de um domínio dedicado aos recursos humanos. Em 2022 passou a ser o controlo 6.3 do tema Pessoas, uma reorganização que a aproxima de outros controlos sobre comportamento e responsabilidade individual.

Aspeto ISO 27001:2013 ISO 27001:2022
Controlo de sensibilização A.7.2.2 6.3
Agrupamento Domínio 7, segurança ligada aos recursos humanos Tema Pessoas
Total de controlos do Anexo A 114 93 (11 deles novos)
Estrutura do Anexo A 14 domínios 4 temas

A mudança que mais importa para um programa de sensibilização não está no texto do 6.3, mas no contexto. A versão 2022 incorporou controlos novos orientados para a conduta e para o uso da tecnologia, e isso eleva a expetativa do auditor sobre o que significa «sensibilizar». Demonstrar que as pessoas sabem já não basta quando a norma, no seu conjunto, vira para o poder demonstrar que as pessoas agem de forma diferente.

Como se evidencia o cumprimento do controlo 6.3 numa auditoria?

Um auditor não se contenta em ver que existe um curso. Pede rasto. A evidência que sustenta o controlo 6.3 costuma apoiar-se nestes elementos:

  • Registo de quem recebeu formação, quando e sobre o quê, com cobertura de todo o quadro e não de uma amostra.
  • Conteúdos ligados de forma explícita às políticas da organização e aos riscos de cada função.
  • Uma cadência definida e sustentada no tempo, não um único curso no momento da integração.
  • Provas de compreensão, como avaliações ou resultados de simulações, que vão além da mera assiduidade.
  • Prova de que a direção e os perfis de maior exposição receberam formação adequada à sua responsabilidade.

O ponto mais frágil é quase sempre o mesmo: a organização tem a atividade, mas não tem a rastreabilidade. Por isso convém desenhar o programa desde o início a pensar em que dado vai ficar registado, uma ideia que desenvolvemos em se o teu programa de sensibilização mede o que importa. O mesmo princípio de evidência aparece noutras normas europeias, como nas obrigações de formação previstas na Diretiva NIS2.

Como cumpre o controlo 6.3 um programa de sensibilização moderno?

Cumprir o 6.3 com uma palestra anual e uma folha de assinaturas é possível no papel, mas deixa a organização exposta no dia em que o auditor puxa o fio da rastreabilidade. Um programa que cumpre sem sobressaltos partilha alguns traços: é contínuo em vez de pontual, segmenta o conteúdo por função e por risco, combina formatos para sustentar a atenção e regista de forma automática cada interação para a converter em evidência.

As simulações de phishing cumprem aqui um papel duplo. Por um lado treinam o reflexo do quadro perante um ataque realista; por outro, geram o dado de comportamento que o auditor valoriza mais do que qualquer folha de assinaturas, porque mostra como as pessoas reagem e não apenas o que lhes foi contado. Essa evolução medida no tempo é a resposta mais sólida à pergunta de se o programa muda alguma coisa.

Essa automatização é o que separa cumprir de o poder demonstrar. A SMARTFENSE, como plataforma de sensibilização presente na América Latina e em Espanha, está construída em torno dessa ideia: cada simulação, cada conteúdo entregue e cada avaliação fica registado e disponível como prova auditável, sem que a equipa de segurança tenha de reconstruir o rasto à mão antes de cada auditoria. O controlo 6.3 deixa de ser uma corrida contra o relógio e passa a ser um relatório que já existe. Podes ver como se articula na plataforma de sensibilização da SMARTFENSE.

A sensibilização deixou de ser comunicação interna no dia em que a norma a transformou num controlo auditável. A revisão de 2022 reforçou essa premissa ao rodear o 6.3 de controlos de conduta. Perante uma auditoria, o que conta é a evidência que o programa consegue pôr em cima da mesa, e aí a rastreabilidade pesa mais do que o número de horas dadas.

Andrea Sona

Da anni nel settore informatico, Analista Informatica di professione, negli ultimi anni specializzata in cybersecurity awareness e formazione digitale, attualmente collaborando in SMARTFENSE. Con esperienza nel supportare aziende e organizzazioni nella diffusione della cultura della sicurezza informatica. Appassionata di innovazione e comunicazione tecnologica, contribuisce attivamente al dibattito sulla sicurezza digitale attraverso contenuti divulgativi.

Deixe um comentário