Quando uma empresa de tecnologia opera no coração da cadeia de suprimentos de um dos setores mais importantes da economia — o de energia —, a segurança da informação deixa de ser uma opção e passa a ser uma condição. Foi com essa convicção que a Petronect, plataforma B2B especializada em compras e contratações para o mercado nacional de energia, conduziu durante três anos um processo rigoroso de estruturação de seu Sistema de Gestão de Segurança da Informação. O resultado chegou com a certificação ISO 27001, emitida pela Bureau Veritas, líder mundial em serviços de teste, inspeção e certificação (TIC), e com o relatório aceito integralmente e zero não conformidades registradas.
A ISO/IEC 27001 é a principal norma internacional para sistemas de gestão de segurança da informação, reconhecida em mais de 150 países. Ela estabelece requisitos para implementação, manutenção e melhoria contínua de controles que protegem a confidencialidade, integridade e disponibilidade das informações. Segundo o ISO Survey 2023, mais de 70.000 certificados estavam vigentes globalmente — crescimento de 24% em dois anos. *Dado com base no ISO Survey 2023.
Para empresas que dependem de plataformas tecnológicas para processar contratos, dados sensíveis e transações de alto valor, a certificação representa a garantia formal, auditável e renovável de que o ambiente digital com o qual se relacionam opera com controles reconhecidos internacionalmente. Num cenário em que violações de dados no setor de energia custam, em média, mais de US$5 milhões por incidente, segundo o relatório IBM Cost of a Data Breach 2024, esse tipo de evidência passou a ser critério de qualificação, e não apenas diferencial.
“Somos uma empresa de tecnologia, e tecnologia que não se pode confiar não tem valor. A certificação ISO 27001 é a nossa forma de dizer ao mercado: auditamos, comprovamos, e seguimos operando com o mais alto padrão de segurança. Esse é a exigência do mercado, e é a exigência que estamos cumprindo”, destaca Flavio Etrusco, presidente da Petronect.
Processo
A certificação não foi uma corrida de último minuto. O processo teve início em 2022, com um diagnóstico abrangente que mapeou processos internos e identificou lacunas por meio de frameworks de segurança consolidados no mercado. Cada ano seguinte representou um degrau de maturidade — até que em 2025 a empresa decidiu formalizar o que já havia construído.
- Fase 1: Mapeamento de processos e identificação de gaps via frameworks de segurança. Início formal da jornada de maturidade em segurança da informação.
- Fase 2: Implementação progressiva de melhorias e fortalecimento dos controles internos. Evolução contínua da cultura de segurança na organização.
- Fase 3: Análise formal de gaps e mapeamento de riscos. Estruturação e implementação oficial do SGSI: definição de controles, revisão de políticas e capacitação das equipes.
- Fase 4: Auditoria interna concluída. Oportunidades de melhoria identificadas e tratadas antes da auditoria externa.
- Fase 5: Auditoria externa por organismo certificador independente. Relatório aceito integralmente. ISO 27001 conquistada — sem registrar uma única não conformidade.
Gestão de riscos
“Partimos de um diagnóstico honesto: onde estamos e o que precisamos construir. Foram três anos intensos, com método, rigor e com o envolvimento de todas as áreas da empresa. Quando a auditoria externa chegou, estávamos prontos”, afirma Etrusco.
A norma exige que as organizações certificadas mantenham planos de resposta a incidentes, gestão de riscos estruturada e revisões periódicas dos controles. Isso exigiu que a Petronect estabelecesse um sistema vivo de gestão de segurança, que pudesse ser introduzido e replicado na estrutura da organização.
“A certificação abre portas, mas o que nos orgulha é o que ela representa internamente: uma cultura de segurança que foi construída de baixo para cima, com engajamento real de todas as áreas. Isso não se compra, se constrói”, conclui o presidente.
Leia também: O gigante do Recôncavo: como a Suerdieck virou potência e desapareceu
