Empresa de software em Curitiba, 78 funcionários, faturamento R$ 22 milhões. Cliente enterprise exigiu ISO 27001 em 18 meses. Receberam três orçamentos de consultoria: R$ 180 mil, R$ 220 mil, R$ 290 mil.

O CTO me chamou pra opinar. Olhei a equipe deles: dois sysadmins seniores, um arquiteto de software, um analista de dados, um head de TI que já tinha trabalhado com auditoria. Disse pra ele: "vocês têm time pra fazer sozinhos."

Eu entrei como mentor: 3 horas por semana de orientação, revisão de documentos, simulação de auditoria. Honorário total: R$ 38 mil em 14 meses. Eles fizeram o resto. Certificaram no mês 15.

Vou te mostrar como.

O SGSI na prática: o que você precisa construir

Sistema de Gestão de Segurança da Informação parece nome rebuscado, mas na essência são quatro coisas:

Tudo o resto é apoio a esses quatro pilares. Se sua empresa não tem isso funcionando, não tem SGSI.

Por onde começar? Pela política e pelo escopo. Sem isso definido, todo o resto fica fluido.

A política não precisa ser longa. Eu prefiro políticas curtas (3-6 páginas) que dizem o essencial: comprometimento da direção, princípios de segurança, escopo do SGSI, responsabilidades, processo de revisão. O auditor não pesa por quilo.

O erro inicial de muitas empresas: comecar pela documentacao

Vejo empresas que comecam ISO 27001 redigindo politica, procedimentos, formularios — sem antes mapear riscos e ativos. Resultado: documentos genericos que nao refletem a realidade da empresa.

A ordem que funciona: contexto -> escopo -> ativos -> riscos -> controles -> documentacao. Documentacao vem por ultimo, porque ela so faz sentido depois que voce sabe o que precisa proteger e como.

Quem inverte essa ordem retrabalha tudo no meio do projeto.

Avaliação de riscos: como fazer sem ser especialista em segurança

A avaliação de riscos é o coração da ISO 27001. E é onde mais empresa trava sem consultor.

O método mais simples que funciona:

Passo 1: Lista de ativos. Identifique os ativos de informação críticos. Não precisa ser 800 ativos. Pra empresa de software média, costuma ficar entre 40 e 80. Inclui: aplicação principal, banco de dados de clientes, repositório de código, ambiente de produção, ambiente de homologação, base de RH, sistema financeiro, contratos com terceiros, etc.

Passo 2: Lista de ameaças. Pra cada ativo, quais ameaças são realistas? Acesso indevido, vazamento, indisponibilidade, alteração não autorizada. A norma sugere até umas categorias. Não invente. Use os clássicos.

Passo 3: Lista de vulnerabilidades. Onde está fraco? Senhas compartilhadas? Falta de MFA? Backup sem teste? Servidor sem patch?

Passo 4: Probabilidade e impacto. Pra cada combinação ativo-ameaça-vulnerabilidade, dá uma nota de 1-5 pra probabilidade e 1-5 pro impacto. Multiplica. Sai o nível de risco.

Passo 5: Plano de tratamento. Riscos altos viram plano de ação. Médios entram em monitoramento. Baixos são aceitos formalmente.

Esse processo, feito numa planilha, em workshops de meia jornada com cada gestor, leva entre 4 e 8 semanas pra empresa de médio porte. Resultado: matriz de risco viva, defensável, base pra todo o restante do SGSI.

Numero de riscos: quanto e demais, quanto e de menos

Empresa de médio porte costuma terminar com 80-150 riscos identificados. Menos de 50, está provavelmente raso. Mais de 250, está provavelmente fragmentado demais.

Cada risco é formado por: ativo + ameaça + vulnerabilidade. Agrupar bem essas combinações é o segredo. Em vez de listar 30 riscos de "servidor X exposto a ameaça Y", liste 1 risco de "servidores críticos expostos a ataques de rede" e detalhe no plano de tratamento.

Risco gerencial bem agrupado é mais útil que risco granular fragmentado.

O metodo que substitui consultor caro

O método de 5 passos que descrevi acima é exatamente o que consultores cobram R$ 60-100 mil para entregar. A diferença: feito internamente, ele fica vivo. Feito por consultor, vira documento que ninguém entende depois.

Empresa que faz internamente economiza dinheiro e ganha autonomia. Consultor mentor (3-5h/semana) custa fração e entrega o mesmo resultado.

Os controles que sua empresa provavelmente já tem

A boa notícia: quando você lista os 93 controles do Anexo A e cruza com o que sua empresa já faz, é comum descobrir que 40-60% já estão (parcialmente) implementados. Você só não documentou ainda.

Exemplos do que sua empresa quase certamente já faz:

O trabalho aqui não é implementar do zero — é formalizar o que já existe. Documentar o procedimento, atribuir responsável, definir frequência de revisão, gerar evidência.

Esse é o atalho que a consultoria não te conta: ISO 27001 muitas vezes é mais sobre formalização do que sobre invenção. Empresa que já tem cultura de TI razoável tem 60% do caminho andado.

O atalho de fazer benchmarking interno entre areas

Tem outro atalho que poucos exploram: dentro da mesma empresa, diferentes areas costumam ter maturidades diferentes. A area de desenvolvimento de software ja faz code review, controle de acesso a repos, gestao de secrets. A area administrativa ainda compartilha senha de pasta.

Pegar as praticas boas que ja existem em uma area e replicar nas outras e muito mais rapido que importar metodologia externa. E gera engajamento — as pessoas veem que voce nao esta inventando, esta levando o que ja existe internamente.

Mapeie suas lacunas antes de começar com o checklist gratuito.

Fazer o Checklist ISO 27001 →

Documentação mínima para passar na auditoria

A documentação obrigatória da ISO 27001 não é tão extensa quanto parece. A norma explicita o que precisa ter:

Onze documentos obrigatórios. Mais alguns procedimentos específicos por controle aplicável (gestão de mudanças, gestão de incidentes, gestão de acessos).

Total: entre 25 e 40 documentos pra empresa de médio porte. Não os 200 que a consultoria às vezes monta. Documentação enxuta e viva é melhor que documentação vasta e morta.

Como organizar a documentacao para auditoria fluida

A organização da documentação faz diferença gigante na auditoria. Padrão que funciona:

Empresa com isso bem feito responde requisições do auditor em minutos. Empresa que improvisa demora horas e perde pontos.

As 4 semanas antes da auditoria de certificação

O sprint final é onde muita empresa derrapa. Vou te mostrar o roteiro que entrego pros meus clientes.

Semana -4: Auditoria interna completa. Roda o ciclo inteiro. Auditor interno (que pode ser alguém da empresa, capacitado, mas não envolvido na implementação) revisa tudo. Lista todas as não-conformidades encontradas.

Semana -3: Correções. Foco nas não-conformidades maiores. Atualização de documentação. Aprovações formais que faltavam. Treinamentos pendentes.

Semana -2: Revisão pela direção. Reunião formal da diretoria revisando o SGSI. Ata produzida e arquivada. Esse é um requisito que muita empresa esquece e que reprova auditoria.

Semana -1: Preparação das pessoas. Quem vai ser entrevistado pelo auditor? Treinamento desses funcionários (geralmente 8-15 pessoas). Eles precisam saber: qual a política de segurança, qual o procedimento da área deles, onde encontrar a documentação, o que fazer em caso de incidente.

Empresa que segue esse protocolo entra na auditoria de certificação confiante. Sem surpresas. Sem correria.

A empresa de Curitiba que mencionei? Auditou-se em outubro. Resultado: 3 não-conformidades menores (todas tratáveis em plano de ação), 0 maiores. Certificada em dezembro. Custo total final, incluindo organismo certificador: R$ 71 mil. Contra os R$ 220-290 mil dos orçamentos iniciais.

A diferença não foi sorte. Foi método e dedicação da equipe interna.

A reuniao de revisao pela direcao: a mais esquecida

A revisao pela direcao e item explicito da norma e e o que mais reprova nas auditorias quando bem auditado. Por que? Porque a maioria das empresas faz como teatro: reuniao curta, ata padrao, decisoes vagas. Auditor le e ve que e fachada.

Revisao pela direcao real tem: dados de desempenho do SGSI dos ultimos meses, status dos incidentes, status do plano de tratamento de riscos, mudancas no contexto externo, oportunidades de melhoria, decisoes formais sobre alocacao de recursos.

Empresa que faz reuniao verdadeira por 90 minutos com diretoria envolvida demonstra maturidade. Auditor reconhece.

Veja também

Guia Completo

ISO 27001: o que ninguém te conta antes de você começar o projeto de certificação

A certificação ISO 27001 demora mais do que o consultor diz, custa mais do que o orçamento previsto e exige mais da equipe interna do que qualquer um planeja. Aqui está o que é real.

 Riscos

Os controles ISO 27001 que mais falham em auditorias reais — e por quê

Não é falta de política. É falta de evidência. Os controles que mais reprovam na auditoria ISO 27001 são os que parecem simples mas nunca ficam prontos de verdade.

Perguntas frequentes

É possível implementar ISO 27001 com equipe interna sem consultoria?

Sim, para empresas que já têm maturidade em segurança da informação. O que a equipe interna precisa: alguém com conhecimento profundo da norma (IRCA Lead Implementer ou equivalente), capacidade de conduzir análise de risco formal e tempo dedicado. Estima-se 1 FTE por 12-18 meses. A vantagem é custo menor; a desvantagem é risco de pontos cegos que um auditor externo detectaria.

Quais são os controles mais difíceis de implementar na ISO 27001?

Os controles do Anexo A que mais geram dificuldade: A.8 (gestão de ativos — inventário completo é mais complexo do que parece), A.9 (controle de acesso — segregação de funções em sistemas legados), A.12 (segurança operacional — gestão de vulnerabilidades e patches), e A.17 (continuidade da segurança da informação — BCP testado).

Qual a diferença entre ISO 27001 e SOC 2?

ISO 27001 é uma certificação internacional (norma ISO) que exige auditoria por organismo acreditado e tem validade global. SOC 2 é um relatório americano (AICPA) mais comum no mercado americano e de SaaS B2B. Para empresas brasileiras que vendem no Brasil e América Latina, ISO 27001 tem mais reconhecimento. Para exportar para EUA/Canadá, SOC 2 pode ser exigido.

O escopo: a decisão que define o sucesso do projeto

A primeira decisão crítica da implementação ISO 27001 é o escopo. Definir mal aqui custa caro depois. Escopo amplo demais infla custo e prazo. Escopo restrito demais reduz valor de mercado da certificação.

O escopo certo é aquele que cobre os processos críticos para os clientes que vão valorizar a certificação. Pra empresa de SaaS B2B, tipicamente toda a plataforma e os processos de desenvolvimento, operação e suporte. Pra empresa industrial, frequentemente apenas a área de TI corporativa, deixando OT/automação fora num primeiro momento. Pra empresa de serviços financeiros, todo o ambiente que toca dados de cliente.

Erro frequente: certificar "toda a empresa" sem necessidade — gera complexidade desnecessária. Outro erro: certificar apenas um data center isolado — o mercado percebe a limitação e dá pouco peso ao certificado.

O critério prático: o escopo precisa fazer sentido na declaração de aplicabilidade (SoA) e ser defensável em conversa comercial. Se o cliente perguntar "o que exatamente está certificado?", a resposta tem que ser clara em uma frase.

Análise de riscos: o coração do sistema

A análise de riscos é o documento mais importante de toda a implementação. Tudo o resto deriva dela. Empresa que faz análise de riscos genérica acaba com sistema de gestão genérico — e auditor experiente identifica isso de imediato.

O processo que funciona: identificação detalhada de ativos (informação, sistemas, processos, pessoas, instalações); identificação de ameaças relevantes para cada ativo; avaliação de vulnerabilidades existentes; cálculo de probabilidade × impacto; priorização do risco residual após controles existentes; decisão de tratamento para cada risco (mitigar, transferir, aceitar, evitar).

O resultado típico para empresa de médio porte: 200-500 riscos catalogados, sendo 30-80 classificados como altos ou críticos. Esses são os que demandam controle adicional. Os demais são monitorados.

O esforço para uma análise de riscos séria: 200-400 horas iniciais, com revisão semestral de 40-80 horas. Empresa que economiza nesse esforço paga depois — auditoria identifica análise superficial como achado material.

A declaração de aplicabilidade que sobrevive a auditor

A SoA (Statement of Applicability) é o documento que conecta a análise de riscos aos controles do anexo A da norma. Cada controle precisa estar marcado como aplicável ou não aplicável, com justificativa. A SoA é o primeiro documento que o auditor pede — e o que mais revela o nível de maturidade do sistema.

SoA bem feita tem três características: justificativa específica para cada controle (não genérica), referência ao risco que o controle endereça, indicação de quem é responsável e como o controle é evidenciado. Quando um controle está marcado como "não aplicável", a justificativa precisa ser tecnicamente defensável.

Erro recorrente: marcar controles como aplicáveis sem ter o controle realmente implementado. Auditor pergunta evidência. Empresa não tem. Ressalva imediata. Pior cenário: SoA copiada de template, com justificativas genéricas que não conversam com a realidade da empresa. O auditor identifica em 15 minutos de leitura e o pesadelo começa.

Tempo para produzir SoA defensável: 80-160 horas, distribuídas entre CISO, donos de controles e responsáveis pela governança. Investimento que se paga na auditoria.