Quando uma empresa de tecnologia opera no coração da cadeia de suprimentos de um dos setores mais importantes da economia — o de energia —, a segurança da informação deixa de ser uma opção e passa a ser uma condição. Foi com essa convicção que a Petronect, plataforma B2B especializada em compras e contratações para o mercado nacional de energia, conduziu durante três anos um processo rigoroso de estruturação de seu Sistema de Gestão de Segurança da Informação. O resultado chegou com a certificação ISO 27001, emitida pela Bureau Veritas, líder mundial em serviços de teste, inspeção e certificação (TIC), e com o relatório aceito integralmente e zero não conformidades registradas.

O que é a ISO 27001?

A ISO/IEC 27001 é a principal norma internacional para sistemas de gestão de segurança da informação, reconhecida em mais de 150 países. Ela estabelece requisitos para implementação, manutenção e melhoria contínua de controles que protegem a confidencialidade, integridade e disponibilidade das informações. Segundo o ISO Survey 2023, mais de 70.000 certificados estavam vigentes globalmente — crescimento de 24% em dois anos. *Dado com base no ISO Survey 2023.

?

Para empresas que dependem de plataformas tecnológicas para processar contratos, dados sensíveis e transações de alto valor, a certificação representa a garantia formal, auditável e renovável de que o ambiente digital com o qual se relacionam opera com controles reconhecidos internacionalmente. Num cenário em que violações de dados no setor de energia custam, em média, mais de US$ 5 milhões por incidente, segundo o relatório IBM Cost of a Data Breach 2024, esse tipo de evidência passou a ser critério de qualificação, e não apenas diferencial.

?

"Somos uma empresa de tecnologia, e tecnologia que não se pode confiar não tem valor. A certificação ISO 27001 é a nossa forma de dizer ao mercado: auditamos, comprovamos, e seguimos operando com o mais alto padrão de segurança. Esse é a exigência do mercado, e é a exigência que estamos cumprindo", destaca o presidente da empresa.

?

Flavio Etrusco, presidente da Petronect (Divulgação/Assessoria Petronect)

A certificação não foi uma corrida de último minuto. O processo teve início em 2022, com um diagnóstico abrangente que mapeou processos internos e identificou lacunas por meio de frameworks de segurança consolidados no mercado. Cada ano seguinte representou um degrau de maturidade — até que em 2025 a empresa decidiu formalizar o que já havia construído.

• Fase 1: Mapeamento de processos e identificação de gaps via frameworks de segurança. Início formal da jornada de maturidade em segurança da informação.

• Fase 2: Implementação progressiva de melhorias e fortalecimento dos controles internos. Evolução contínua da cultura de segurança na organização.

• Fase 3: Análise formal de gaps e mapeamento de riscos. Estruturação e implementação oficial do SGSI: definição de controles, revisão de políticas e capacitação das equipes.

• Fase 4: Auditoria interna concluída. Oportunidades de melhoria identificadas e tratadas antes da auditoria externa.

• Fase 5: Auditoria externa por organismo certificador independente. Relatório aceito integralmente. ISO 27001 conquistada — sem registrar uma única não conformidade.

"Partimos de um diagnóstico honesto: onde estamos e o que precisamos construir. Foram três anos intensos, com método, rigor e com o envolvimento de todas as áreas da empresa. Quando a auditoria externa chegou, estávamos prontos", afirma Etrusco.

A norma exige que as organizações certificadas mantenham planos de resposta a incidentes, gestão de riscos estruturada e revisões periódicas dos controles. Isso exigiu que a Petronect estabelecesse um sistema vivo de gestão de segurança, que pudesse ser introduzido e replicado na estrutura da organização.

"A certificação abre portas, mas o que nos orgulha é o que ela representa internamente: uma cultura de segurança que foi construída de baixo para cima, com engajamento real de todas as áreas. Isso não se compra, se constrói", conclui o presidente.