Na era dos ataques de Supply Chain, ISO 27001 determina decisões do CISO em relação a MSSPs
Os ataques de Supply Chain sofridos por organizações brasileiras em 2025 atestam a íntima dependência entre a empresa usuária e seu provedor de serviços digitais. As vulnerabilidades dos ambientes dos prestadores de serviços são alvo constante de exploits que, por meio da Supply Chain, buscam atingir as aplicações críticas das organizações. É nesse contexto que mais e mais CISOs estão exigindo que seus prestadores de serviços digitais apresentem a credencial de cybersecurity ISO 27001. Este selo tem se tornado um requisito fundamental e, muitas vezes, eliminatório em concorrências privadas (B2B) e governamentais no Brasil. É uma tendência impulsionada também pela necessidade de conformidade à Lei Geral de Proteção de Dados.
No setor privado, data centers, instituições financeiras, gigantes do agronegócio e do setor elétrico estão no topo da lista de empresas que exigem a certificação de seus fornecedores. No setor público, são agências voltadas para TI e Tecnologia, serviços de saúde e de energia as organizações que mais exigem essa certificação em suas concorrências. Isso inclui, ainda, bancos públicos que orbitam o Banco Central do Brasil. As forças armadas também têm demandado cada vez mais esse diferencial de seus provedores de serviços.
Para os MSSPs (Managed Security Services Providers) brasileiros, esse quadro representa uma grande oportunidade de negócios. A busca do selo ISO 27001 eleva a empresa a uma categoria onde o tradicional discurso “confie em nós” dá lugar a uma governança rastreável. Em vez de garantias informais, o CISO da empresa usuária passa a receber evidências documentadas e testáveis que resistem aos escrutínios. Fica mais fácil comprovar, a partir de análises de terceiros – a entidade certificadora – como as decisões do MSSP são tomadas, verificadas e aprimoradas ao longo do tempo.
Para isso, a ISO 27001 introduz no cotidiano do MSSP disciplinas como:
- Avaliações de risco documentadas vinculadas a controles classe mundial.
- Auditorias internas que testam se os controles estão funcionando conforme o esperado.
- Revisões de gestão em que a liderança analisa as questões de segurança juntamente com outras métricas de negócios.
- Registros estruturados de incidentes, quase acidentes e ações corretivas.
Vigilância sobre os processos internos do MSSP
A vigilância sobre os processos internos do MSSP representa um grande diferencial de mercado. As evidências geradas pela governança baseada na ISO 27001 tornam mais fácil o acesso a clientes maiores e mais estruturados, algo que impacta diretamente a rentabilidade e os custos internos do MSSP. Quanto mais básica a cultura de cybersecurity do cliente, maiores os desafios da entrega de Security as a Service.
É árduo o caminho em direção à conquista e à manutenção do selo ISO 27001. Em geral, o custo da ISO 27001 para MSSPs tem três componentes: despesas externas (principalmente auditorias de organismos de certificação e consultorias especializadas neste modelo de governança), tempo interno (liderança, equipe técnica e operacional) e ferramentas ou plataformas que dão suporte ao novo modelo de governança de cybersecurity.
Estratégias para reduzir o custo da ISO 27001
Mesmo num mercado sensível a preço como o Brasil, tenho visto MSSPs se organizarem para lidar com esse desafio. É comum que o time interno passe por treinamentos e certificações para se tornarem stakeholders críticos do processo. A contratação de consultorias especializadas e auditorias de organismos de certificação segue acontecendo, mas busca-se limitar essa despesa. Em todos os casos, a alta direção do MSSP tem de estar profundamente engajada neste processo. A certificação ISO 27001 é algo vivo, que exige que o provedor de serviços de segurança se transforme de fato, não só no papel.
A valorização dos MSSPs é um fenômeno global – segundo estudo da MarketandMarkets, esse segmento deve faturar US$ 52,9 bilhões até 2028. Ainda assim, cada MSSP vive o desafio de, num mercado cada vez mais competitivo, fugir da armadilha da comoditização de serviços de cybersecurity e provar seu valor para o CISO.
Essa jornada envolve identificar, entre os vários fornecedores do mercado, quem efetivamente compreende a força do MSSP e trabalha pela expansão desse segmento. São fornecedores que se destacam pela inovação e resiliência de tecnologias baseadas em Inteligência Artificial consagradas pelo mercado. É uma oferta ágil, segura e escalável, que multiplica a produtividade e eficácia dos experts em cybersecurity do MSSP, qualquer que seja o volume de ativos digitais sendo protegidos.
O mercado conta com fornecedores que jamais competem com o MSSP e, além disso, oferecem produtos elásticos: diferentes “tamanhos” que se ajustam à realidade do prestador de serviços. A meta é evitar que o MSSP faça investimentos superdimensionados, liberando capital para reinventar seus processos, algo crítico na busca da ISO 27001. Somam-se forças para que o MSSP – inclusive com a conquista desta certificação – evolua continuamente. Com isso, ganha a organização usuária, ganha o Brasil.
*Juan Alejandro Aguirre é Diretor de Soluções de Engenharia da SonicWall América Latina.
