ISO 27001 e Backup: O Que a Norma Exige para Proteção de Dados
A ISO 27001 é o padrão internacional de segurança da informação e exige controles rigorosos de backup. Saiba quais são os requisitos técnicos, como implementar e como a certificação complementa a LGPD.
O Que É ISO 27001 e Como Relaciona com Backup
A ISO 27001 é o padrão internacional mais reconhecido para Sistemas de Gestão de Segurança da Informação (SGSI). Publicada pela International Organization for Standardization (ISO) em conjunto com a International Electrotechnical Commission (IEC), a norma estabelece requisitos para implementar, manter e melhorar continuamente a proteção de informações dentro de uma organização.
A versão mais recente, a ISO/IEC 27001:2022, reorganizou os controles do Anexo A em quatro categorias: organizacionais, pessoais, físicos e tecnológicos. E o backup está presente de forma explícita e implícita em diversas dessas categorias.
Para empresas brasileiras, a ISO 27001 é especialmente relevante porque demonstra maturidade em segurança da informação perante clientes, parceiros, reguladores e o mercado. Em um cenário onde ataques cibernéticos crescem mais de 40% ao ano e a LGPD exige medidas técnicas de proteção, a certificação se tornou um diferencial competitivo e, em muitos setores, uma exigência contratual.
O backup corporativo está no centro dessa norma porque é a última linha de defesa. Sem backup adequado, todos os outros controles de segurança podem falhar em proteger o ativo mais importante: os dados. A ISO 27001 reconhece isso e dedica controles específicos para garantir que as organizações mantenham cópias de segurança confiáveis, testadas e protegidas.
Estrutura da ISO 27001 relevante para backup
A norma é dividida em duas partes principais:
- Cláusulas 4 a 10 (requisitos do SGSI): Definem o sistema de gestão — contexto, liderança, planejamento, suporte, operação, avaliação de desempenho e melhoria. São obrigatórias para certificação.
- Anexo A (controles de referência): Lista 93 controles de segurança organizados em 4 categorias. A organização seleciona os controles aplicáveis com base na análise de risco. Os controles relacionados a backup são obrigatórios para praticamente qualquer organização.
Controles da ISO 27001 Que Exigem Backup (Anexo A)
O Anexo A da ISO 27001:2022 contém diversos controles que impactam diretamente a estratégia de backup corporativo. Abaixo detalhamos os mais relevantes:
A.8.13 — Backup de informações
Este é o controle principal e mais direto. Ele exige que:
- Cópias de backup de informações, software e imagens de sistema sejam mantidas e testadas regularmente
- Uma política de backup formal seja definida, documentada e implementada
- A política cubra escopo, frequência, retenção, procedimentos de restauração e responsabilidades
- Testes de restauração sejam realizados periodicamente para garantir que os backups funcionam
A.8.14 — Redundância de recursos de processamento de informações
Exige que os recursos de processamento de informações sejam implementados com redundância suficiente para atender aos requisitos de disponibilidade. Isso se conecta diretamente ao RTO (Recovery Time Objective) e à capacidade de restaurar operações rapidamente.
A.5.29 — Segurança da informação durante disrupções
Exige que a organização planeje como manter a segurança da informação durante eventos disruptivos. O backup é componente essencial do plano de continuidade de negócios e disaster recovery.
A.5.30 — Prontidão de TIC para continuidade de negócios
Exige que a prontidão de TIC seja planejada, implementada, mantida e testada com base nos objetivos de continuidade de negócios e nos requisitos de continuidade de TIC. Backups testados e documentados são fundamentais para atender este controle.
A.8.10 — Exclusão de informações
Informações armazenadas em sistemas, dispositivos ou mídias devem ser excluídas quando não forem mais necessárias. Isso impacta diretamente a política de retenção dos backups.
A.8.24 — Uso de criptografia
Regras para o uso efetivo de criptografia devem ser definidas e implementadas. Backups contendo informações sensíveis devem ser criptografados tanto em trânsito quanto em repouso.
A tabela abaixo resume os controles e suas implicações para backup:
| Controle ISO 27001:2022 | Descrição | Implicação para Backup |
|---|---|---|
| A.8.13 | Backup de informações | Exige política de backup, execução regular e testes de restauração |
| A.8.14 | Redundância | Exige múltiplas cópias e disponibilidade conforme RTO definido |
| A.5.29 | Segurança durante disrupções | Backup como parte do plano de continuidade e resposta a incidentes |
| A.5.30 | Prontidão de TIC | Capacidade de restaurar sistemas dentro dos objetivos de continuidade |
| A.8.10 | Exclusão de informações | Política de retenção com prazos definidos e destruição segura |
| A.8.24 | Criptografia | Backups criptografados em trânsito (TLS) e em repouso (AES-256) |
| A.8.3 | Restrição de acesso à informação | Controle de acesso granular aos backups e logs de auditoria |
| A.8.15 | Log | Registro de todas as operações de backup, restauração e acesso |
| A.8.9 | Gestão de configuração | Configurações de backup documentadas e controladas |
| A.5.37 | Procedimentos operacionais documentados | Procedimentos de backup e restauração formalizados |
Requisitos Técnicos de Backup Segundo a ISO 27001
A ISO 27001 não prescreve tecnologias específicas, mas seus controles traduzem-se em requisitos técnicos claros. Abaixo detalhamos cada aspecto que uma solução de backup deve atender para estar em conformidade com a norma.
1. Política de backup formalizada
O controle A.8.13 exige uma política de backup documentada que inclua:
- Escopo: Quais sistemas, aplicações e dados são cobertos pelo backup
- Classificação: Nível de criticidade de cada dado/sistema (alinhado com a análise de risco do SGSI)
- Frequência: Periodicidade dos backups para cada nível de criticidade (diário, horário, contínuo)
- Retenção: Por quanto tempo cada backup é mantido antes da exclusão
- Tipo: Completo, incremental, diferencial — conforme necessidade
- Localização: Onde os backups são armazenados (local, nuvem, offsite)
- Responsabilidades: Quem executa, monitora, testa e aprova
- Procedimentos de restauração: Passo a passo documentado para cada cenário
2. Criptografia obrigatória
O controle A.8.24 exige proteção criptográfica adequada. Para backup, isso significa:
- Em trânsito: TLS 1.2 ou superior para transferência de dados de backup
- Em repouso: AES-256 para dados armazenados em qualquer mídia
- Gestão de chaves: Chaves de criptografia armazenadas separadamente dos dados, com rotação periódica
- Documentação: Registro de quais algoritmos e comprimentos de chave são utilizados
3. Controle de acesso e autenticação
Os controles A.8.3 e A.8.5 exigem:
- Princípio do menor privilégio: Apenas pessoal autorizado acessa os backups
- Autenticação forte: MFA (autenticação multifator) para acesso ao sistema de backup
- Contas dedicadas: Contas de serviço separadas das contas de usuário
- Segregação de funções: Quem administra o backup não deve ser o mesmo que aprova restaurações em produção
4. Logs e auditoria
O controle A.8.15 exige registro de eventos. Para backup:
- Log de todas as execuções de backup (sucesso e falha)
- Log de todas as restaurações realizadas
- Log de acessos ao sistema de backup e às mídias
- Retenção dos logs por período definido (tipicamente 12 meses ou mais)
- Proteção dos logs contra alteração (integridade garantida)
5. Testes de restauração documentados
Este é um dos pontos mais cobrados em auditorias. A ISO 27001 exige que os backups sejam testados regularmente. As evidências esperadas incluem:
- Cronograma de testes definido e aprovado
- Registro de cada teste: data, escopo, dados restaurados, tempo de restauração
- Resultado: sucesso ou falha, com plano de ação para falhas
- Comparação do tempo real de restauração com o RTO definido
- Assinatura do responsável pela validação
6. Proteção da integridade dos backups
A norma exige que a integridade dos dados seja mantida. Para backup, isso se traduz em:
- Verificação de integridade: Checksums ou hashes para validar que os dados não foram corrompidos
- Proteção contra alteração: Backup imutável (WORM) para dados críticos
- Proteção contra exclusão: Retenção obrigatória que impede exclusão prematura
- Proteção contra ransomware: Cópias offsite ou air-gapped que não podem ser alcançadas por malware
Como Implementar Backup Conforme a ISO 27001
A implementação de backup em conformidade com a ISO 27001 segue um processo estruturado que se integra ao SGSI da organização. Abaixo apresentamos um roteiro prático em seis etapas.
Etapa 1: Análise de risco e classificação dos dados
O SGSI da ISO 27001 é baseado em risco. Antes de definir a estratégia de backup, você precisa:
- Inventariar ativos de informação: Listar todos os sistemas, bancos de dados, aplicações e repositórios de arquivos
- Classificar por criticidade: Usar a análise de risco do SGSI para definir o nível de proteção necessário
- Definir RTO e RPO: Para cada ativo, estabelecer o tempo máximo de recuperação e a perda máxima aceitável de dados
- Identificar ameaças: Ransomware, falha de hardware, erro humano, desastres naturais, sabotagem
- Avaliar controles existentes: O que já está implementado e quais lacunas existem
Etapa 2: Definir a política de backup
Com base na análise de risco, documente a política de backup incluindo:
| Classificação do Dado | Frequência de Backup | Retenção | Tipo de Backup | Teste de Restauração |
|---|---|---|---|---|
| Crítico (Tier 1) | A cada 15 minutos (CDP) | 90 dias + anual por 7 anos | Contínuo + incremental | Mensal |
| Importante (Tier 2) | A cada 1-4 horas | 60 dias + anual por 5 anos | Incremental + completo semanal | Trimestral |
| Operacional (Tier 3) | Diário | 30 dias + anual por 3 anos | Incremental + completo semanal | Semestral |
| Baixa criticidade (Tier 4) | Semanal | 30 dias | Completo semanal | Anual |
Etapa 3: Implementar controles técnicos
Configure a infraestrutura de backup atendendo aos requisitos técnicos da norma:
- Criptografia AES-256 em todos os backups, com gestão de chaves separada
- Armazenamento seguindo a regra 3-2-1-1-0: 3 cópias, 2 mídias diferentes, 1 offsite, 1 imutável, 0 erros nos testes
- Controle de acesso com MFA para todas as operações administrativas
- Logs centralizados e protegidos contra alteração
- Backup imutável para dados críticos e regulatórios
- Segregação de rede para a infraestrutura de backup
Etapa 4: Documentar procedimentos operacionais
A ISO 27001 (controle A.5.37) exige procedimentos documentados. Crie documentação detalhada para:
- Execução e monitoramento de backups diários
- Procedimento de restauração para cada tipo de sistema
- Procedimento de teste de restauração
- Gestão de incidentes relacionados a falhas de backup
- Procedimento de exclusão segura de mídias de backup
- Escalação em caso de falha de backup crítico
Etapa 5: Implementar monitoramento e alertas
A melhoria contínua exigida pela ISO 27001 depende de monitoramento efetivo:
- Alertas automáticos para falhas de backup
- Dashboard de status com visibilidade para gestão
- Métricas de SLA: taxa de sucesso, tempo de restauração, conformidade com RPO
- Relatórios periódicos para revisão gerencial (cláusula 9.3 da norma)
Etapa 6: Realizar auditorias internas
A cláusula 9.2 exige auditorias internas regulares. Para backup, verifique:
- A política está sendo seguida conforme documentado?
- Os testes de restauração estão sendo realizados na frequência definida?
- Os logs estão completos e protegidos?
- Os controles de acesso estão adequados?
- As não conformidades anteriores foram corrigidas?
- Os riscos foram reavaliados desde a última auditoria?
ISO 27001 vs LGPD: Complementaridade
Empresas brasileiras frequentemente precisam atender tanto à LGPD quanto à ISO 27001. Embora sejam instrumentos diferentes — uma é lei, outra é certificação voluntária — elas se complementam de forma significativa quando se trata de backup e proteção de dados.
Comparativo ISO 27001 e LGPD no contexto de backup
| Aspecto | ISO 27001 | LGPD |
|---|---|---|
| Natureza | Padrão internacional voluntário | Lei federal brasileira obrigatória |
| Escopo | Toda informação da organização | Dados pessoais |
| Abordagem | Baseada em risco e melhoria contínua | Baseada em princípios e direitos dos titulares |
| Backup | Controle explícito (A.8.13) com requisitos detalhados | Implícito no Art. 46 (medidas técnicas de segurança) |
| Criptografia | Controle específico (A.8.24) com gestão de chaves | Expectativa da ANPD como medida de segurança |
| Retenção | Definida pela política do SGSI | Limitada à finalidade do tratamento (Art. 15-16) |
| Exclusão de dados | Controle A.8.10 (exclusão de informações) | Direito do titular à eliminação (Art. 18) |
| Testes | Exige testes regulares documentados | Não exige explicitamente, mas esperado pela ANPD |
| Penalidades | Perda da certificação + dano reputacional | Multas de até R$ 50 milhões por infração |
| Auditoria | Auditoria externa anual obrigatória | Fiscalização da ANPD (eventual) |
Como a ISO 27001 facilita a conformidade com a LGPD
Implementar a ISO 27001 cria uma base sólida para compliance LGPD por diversas razões:
- Framework de gestão: O SGSI da ISO 27001 fornece a estrutura organizacional que a LGPD espera mas não detalha
- Análise de risco: O processo de risk assessment da ISO 27001 atende ao RIPD (Relatório de Impacto à Proteção de Dados) da LGPD
- Evidências documentadas: A documentação exigida pela ISO 27001 serve como evidência de compliance para a ANPD
- Melhoria contínua: O ciclo PDCA (Plan-Do-Check-Act) da ISO 27001 garante evolução constante da proteção
- Auditoria interna: As auditorias internas da ISO 27001 identificam lacunas que também seriam problemas para a LGPD
Na prática, empresas certificadas ISO 27001 têm posição muito mais forte perante a ANPD em caso de incidentes. A certificação demonstra que a organização adotou medidas técnicas e administrativas proporcionais ao risco — exatamente o que o artigo 46 da LGPD exige.
Abordagem integrada recomendada
Para empresas que precisam atender ambos os requisitos, a abordagem mais eficiente é:
- Implementar o SGSI da ISO 27001 como framework principal
- Mapear os requisitos da LGPD dentro do SGSI, identificando controles que atendem ambos
- Adicionar controles LGPD-específicos onde necessário (ex: direitos dos titulares, DPO)
- Usar a documentação do SGSI como base para as evidências de compliance LGPD
- Integrar as auditorias internas para cobrir ambos os escopos
Como a DataBackup Facilita a Certificação ISO 27001
A DataBackup oferece soluções de backup corporativo projetadas para atender nativamente aos controles da ISO 27001, simplificando significativamente o processo de certificação e manutenção da conformidade.
Controles atendidos automaticamente
| Controle ISO 27001 | Como a DataBackup Atende |
|---|---|
| A.8.13 — Backup | Backup automatizado com política configurável por tipo de dado, frequência personalizada, retenção flexível e testes de restauração agendados |
| A.8.24 — Criptografia | Criptografia AES-256 em repouso e TLS 1.3 em trânsito, com gestão de chaves integrada |
| A.8.3 — Controle de acesso | RBAC (Role-Based Access Control) com MFA obrigatório e contas de serviço dedicadas |
| A.8.15 — Logs | Logs completos de todas as operações, exportáveis para SIEM, com retenção configurável e proteção contra alteração |
| A.8.14 — Redundância | Armazenamento geo-redundante com datacenters em múltiplas regiões e failover automático |
| A.5.29/A.5.30 — Continuidade | Integração com planos de disaster recovery, RTO/RPO monitorados e alertas de SLA |
Documentação pronta para auditoria
A plataforma DataBackup gera automaticamente a documentação necessária para auditorias ISO 27001:
- Relatórios de conformidade: Status de todos os backups, incluindo sucesso, falhas e ações corretivas
- Evidências de testes: Registro detalhado de cada teste de restauração com resultado, tempo e validação
- Logs de auditoria: Histórico completo de acessos, alterações de configuração e operações
- Métricas de SLA: Compliance com RTO e RPO definidos, com tendências históricas
- Inventário de ativos protegidos: Lista atualizada de todos os sistemas e dados cobertos pelo backup
Proteção avançada contra ameaças
Para atender às expectativas modernas dos auditores ISO 27001 em relação à proteção contra ransomware, a DataBackup oferece:
- Backup imutável: Dados que não podem ser alterados ou excluídos por nenhum processo, incluindo ransomware com credenciais administrativas
- Detecção de anomalias: Identificação automática de padrões indicativos de criptografia maliciosa
- Isolamento de rede: Infraestrutura de backup segregada da rede de produção
- Restauração granular: Capacidade de restaurar arquivos individuais, bancos de dados ou sistemas completos
Checklist ISO 27001 para backup
Use este checklist para verificar se seu backup atende aos requisitos da ISO 27001:
- Política de backup documentada e aprovada pela direção?
- Classificação de dados com RTO/RPO definidos por nível?
- Criptografia AES-256 em repouso e TLS em trânsito?
- Gestão de chaves de criptografia separada dos dados?
- Controle de acesso com MFA para administração do backup?
- Segregação de funções entre administração e aprovação de restaurações?
- Logs de auditoria habilitados, protegidos e retidos por 12+ meses?
- Testes de restauração realizados e documentados regularmente?
- Backup imutável implementado para dados críticos?
- Cópia offsite ou em nuvem para proteção contra desastres locais?
- Procedimentos operacionais documentados para backup e restauração?
- Monitoramento e alertas automáticos para falhas de backup?
- Análise de risco atualizada incluindo cenários de perda de dados?
- Auditorias internas regulares do processo de backup?
- Plano de melhoria contínua com ações corretivas registradas?
Conclusão
A ISO 27001 estabelece um framework robusto e abrangente para proteger informações, e o backup corporativo é um dos pilares dessa proteção. Com controles explícitos como o A.8.13 e requisitos complementares de criptografia, controle de acesso, logs e continuidade de negócios, a norma exige que as organizações tratem o backup como um processo crítico — não apenas como uma atividade técnica secundária.
Para empresas brasileiras, a ISO 27001 complementa a LGPD de forma natural. Enquanto a LGPD define obrigações legais sobre dados pessoais, a ISO 27001 fornece o framework operacional para cumpri-las. Juntas, elas criam uma postura de segurança da informação madura e auditável.
Implementar backup conforme a ISO 27001 não precisa ser um processo complexo ou demorado. Com a solução certa, os controles técnicos exigidos pela norma — criptografia, imutabilidade, controle de acesso, logs e testes — já vêm integrados, permitindo que sua equipe foque na gestão e melhoria contínua em vez de na infraestrutura.
Se a sua empresa está em processo de certificação ISO 27001 ou deseja elevar o nível de maturidade do backup corporativo, o primeiro passo é avaliar a situação atual. Fale com nossos especialistas via WhatsApp para uma avaliação gratuita de conformidade, ou conheça os planos da DataBackup com controles ISO 27001 nativos e comece a proteger seus dados com o padrão internacional de segurança da informação.