One control, six frameworks: how cross-mapping really works

Porque a arquitetura centrada em controlos supera ferramentas de norma única — explicado com um exemplo prático de autenticação multifator.

Equipa iComply
Governance de IA

A maioria das ferramentas de compliance organiza-se em torno de uma única norma. Compra uma para a ISO 27001, outra para o SOC 2, uma folha de cálculo para a NIS2, e a mesma evidência é carregada três vezes. O mapeamento cruzado quebra esse padrão ao tornar o controlo — e não o framework — a unidade de trabalho.

Os frameworks sobrepõem-se muito mais do que divergem

ISO 27001, NIS2, DORA, SOC 2, o RGPD e o AI Act foram escritos por entidades diferentes por razões diferentes, mas pedem muitas das mesmas coisas: controlo de acessos, encriptação, logging, resposta a incidentes, gestão de fornecedores. A redação difere; o controlo subjacente é o mesmo.

Um exemplo prático: MFA

Considere um único controlo — “Autenticação multifator imposta para todos os acessos privilegiados.” Implemente-o uma vez e satisfaz, em simultâneo:

  • ISO 27001 — objetivos de controlo de acessos do Anexo A.
  • NIS2 — medidas de gestão de risco de cibersegurança.
  • DORA — requisitos de acesso e autenticação TIC.
  • SOC 2 — critérios de acesso lógico.
  • RGPD — segurança do tratamento nos termos do Artigo 32.º.

Um controlo, uma evidência, cinco frameworks satisfeitos. Numa ferramenta de norma única, acompanharia isto cinco vezes.

A arquitetura que o torna possível

O mapeamento cruzado precisa de um modelo partilhado: leis e normas mapeiam para uma biblioteca comum de controlos; os controlos ligam-se a riscos e a evidência. Quando anexa um documento a um controlo, todos os requisitos que o referenciam herdam a evidência — com o histórico de versões intacto.

O que ganha

  • Zero trabalho duplicado — implemente e evidencie uma vez.
  • Auditorias mais rápidas — os auditores veem o mesmo controlo mapeado ao seu framework.
  • Cobertura honesta — as lacunas são visíveis em todos os frameworks de uma só vez.
  • Expansão mais barata — adicionar uma nova norma reutiliza controlos que já corre.

É a arquitetura sobre a qual assentam as melhores plataformas GRC do mundo — e é o núcleo da iComply.

Veja como a iComply operacionaliza isto

Uma plataforma para cada norma, lei e risco — centrada em controlos e nativa em IA.