O pentest é obrigatório para a certificação ISO 27001?

A ISO 27001 não exige pentest como requisito mandatório explícito. No entanto, o controle A.12.6 (gestão de vulnerabilidades técnicas) e os controles de avaliação de risco do SGSI são comumente auditados através de evidências de pentest. Auditores de certificação esperam ver evidências de avaliação técnica ativa, e o pentest é o método mais aceito para isso.

Com que frequência o pentest deve ser feito para a ISO 27001?

A ISO 27001 não define frequência de pentest. A recomendação é alinhar a frequência ao ciclo de revisão do SGSI (anual) e sempre que houver mudanças no escopo da certificação. O plano de tratamento de riscos do SGSI deve incluir o pentest como controle recorrente, com evidências documentadas para apresentação ao auditor de certificação.

ISO 27001:2022

Pentest e ISO 27001

A ISO 27001:2022 é o padrão internacional para Sistemas de Gestão de Segurança da Informação (SGSI). O pentest é diretamente referenciado no controle A.12.6 (gestão de vulnerabilidades técnicas) e contribui para múltiplos controles do Anexo A que auditores verificam durante a certificação.

Controles relevantes

Controles ISO 27001 suportados pelo pentest

A.12.6.1

Gestão de vulnerabilidades técnicas

O controle mais diretamente relacionado ao pentest: exige identificação e avaliação periódica de vulnerabilidades técnicas nos sistemas da organização.

A.14.2.8

Teste de segurança de sistemas

Testes de segurança devem ser realizados durante o desenvolvimento e implantação de sistemas. O pentest antes de lançamentos atende diretamente este controle.

A.12.2.1

Controles contra malware

O pentest valida a efetividade dos controles contra malware avaliando se é possível implantar payloads e contornar defesas como antivírus e EDR.

A.9.4.1

Restrição de acesso à informação

Testes de autorização horizontal e vertical (IDOR, BFLA) validam se os controles de acesso estão funcionando conforme projetado.

A.13.1.3

Segregação de redes

O pentest de infraestrutura valida se as segmentações de rede implementadas são efetivas e se não existem rotas de bypass entre VLANs.

A.18.2.2

Conformidade com políticas de segurança

Documentação do pentest como evidência de conformidade para auditores internos e externos durante a avaliação do SGSI.

Escopo de pentest

Tipos de pentest para suportar a certificação ISO 27001

O escopo do SGSI define quais ativos precisam ser testados. A cobertura de pentest deve acompanhar o escopo da certificação.

Fortaleça seu SGSI com pentest profissional

Relatório mapeado para os controles do Anexo A da ISO 27001:2022.

Solicitar orçamento

Pentest e ISO 27001

Controles ISO 27001 suportados pelo pentest

Tipos de pentest para suportar a certificação ISO 27001

Pentest Web

Pentest de Infraestrutura

Pentest Cloud

Pentest Active Directory

Pentest API

Red Team

Fortaleça seu SGSI com pentest profissional