ISO 27001: o que ninguém te conta antes de você começar o projeto de certificação

A certificação ISO 27001 demora mais do que o consultor diz, custa mais do que o orçamento previsto e exige mais da equipe interna do que qualquer um planeja. Aqui está o que é real.

Um CIO de uma empresa de tecnologia em Florianópolis me ligou em desespero ano passado. Estava no mês 13 de um projeto de ISO 27001 que tinha sido orçado em 8 meses. Já tinha torrado R$ 240 mil em consultoria. A auditoria de certificação tinha sido remarcada três vezes. O conselho começava a perguntar onde estava o certificado prometido.

A frase dele foi: "Anderson, o consultor falou que ia ser tranquilo. Acabou."

Não foi tranquilo porque ISO 27001 não é tranquila. Quem te disse que ia ser, ou não fez certificação de verdade, ou está vendendo um sonho.

Vou abrir aqui as coisas que ninguém te conta antes de você assinar o contrato com a consultoria.

Por que os projetos de ISO 27001 atrasam (dado real)

Eu acompanhei (direta ou indiretamente) 47 projetos de ISO 27001 nos últimos 8 anos. O atraso médio em relação ao prazo planejado é de 4,2 meses. Mais de 70% dos projetos atrasam.

Os motivos reais — não os da apresentação comercial:

Estimativa otimista de horas necessárias da equipe interna
Subestimação da complexidade de mapear ativos e processos
Política aprovada num documento mas não implementada na prática
Não-conformidades encontradas em auditoria interna que exigem reorganização
Dependência de outras áreas (RH, jurídico, facilities) que não compraram o projeto
Saída de pessoas-chave durante o projeto

O quinto item é o mais comum. RH não atualiza a política de acordo de confidencialidade. Jurídico demora 60 dias pra revisar contratos com fornecedores. Facilities não implementa controle de acesso físico. E enquanto isso, o projeto não anda.

Quem assume que ISO 27001 é projeto de TI está errado. É projeto organizacional inteiro.

O efeito dominó das dependencias internas

Em ISO 27001, mais que em outras certificacoes, a TI depende de areas externas pra fechar controles. Treinamento de conscientizacao depende do RH. Contratos de fornecedor dependem do juridico. Controle fisico depende de facilities. Avaliacao de fornecedor critico depende de compras.

Quando uma dessas areas nao prioriza, o projeto trava. Vi cliente esperar 4 meses pelo juridico atualizar 12 contratos de cloud com clausulas LGPD/27001.

Como mitigar: uptime.com.br/" style="color:#1a365d;text-decoration:underline;font-weight:500;">SLA interno formal entre TI e areas dependentes. Patrocinio executivo forte que destrava conflitos de prioridade. Comite quinzenal com representante de cada area chave.

O que o escopo define — e o que ele esconde

O escopo da certificação é a primeira decisão estratégica do projeto. E é onde mais gente erra.

O escopo define quais áreas, processos, pessoas e ativos estão dentro do SGSI (Sistema de Gestão de Segurança da Informação). Tudo o que está dentro precisa atender a norma. Tudo o que está fora não é certificado.

Tem dois extremos:

Escopo amplo: empresa inteira, todos os processos, todas as filiais. Vantagem: certificação corporativa, sem ambiguidade. Desvantagem: 3x mais trabalho, 2x mais custo, prazo dobrado.

Escopo restrito: só a área de desenvolvimento, ou só o data center, ou só uma unidade. Vantagem: rápido e barato. Desvantagem: cláusula contratual com cliente pode exigir escopo maior. Confusão na comunicação.

O ponto que ninguém te conta: o cliente que está pedindo a certificação muitas vezes não aceita escopo restrito. Ele quer ver na declaração de escopo a empresa toda, ou ao menos a área de negócio que atende ele. Se você fizer escopo restrito demais, você certifica mas perde o contrato mesmo assim.

Antes de definir escopo, eu sempre pergunto ao cliente: "para quem você está fazendo essa certificação?" Se a resposta é "para um contrato específico", peço o edital ou cláusula contratual. Lê com atenção. Escopo que serve.

O exercicio que evita escopo errado

O exercicio que recomendo antes de fechar escopo: pegar o contrato (ou edital) do cliente que esta exigindo, ler com atencao a clausula sobre certificacao, e perguntar formalmente ao cliente: "a clausula X aceita certificacao com escopo restrito a area Y, ou exige certificacao corporativa?"

Em 60% dos casos, o cliente aceita escopo restrito. Em 40%, exige amplo. Saber a resposta antes de comecar muda completamente o orcamento e o prazo do projeto.

Empresa que assume e segue sem perguntar costuma se queimar.

Os 93 controles: quais realmente importam para o seu setor

A versão atual da ISO 27001 (revisão 2022) tem 93 controles no Anexo A, organizados em 4 temas: organizacional, pessoas, físico, tecnológico.

Tem consultor vendendo projeto pra implementar os 93 controles do zero. Não precisa.

A norma é clara: você implementa os controles aplicáveis ao seu contexto de risco. A Declaração de Aplicabilidade (SoA) é o documento onde você lista cada controle e diz se aplica ou não. Controles não aplicáveis ficam fora do escopo de implementação.

Pra empresa de SaaS B2B, por exemplo, os controles mais críticos costumam ser:

Gestão de identidade e acesso (A.5.15 a A.5.18)
Criptografia (A.8.24)
Backup e recuperação (A.8.13)
Logging e monitoramento (A.8.15 a A.8.17)
Gestão de mudanças (A.8.32)
Desenvolvimento seguro (A.8.25 a A.8.31)

Pra empresa de manufatura com chão de fábrica conectado, os críticos mudam: segurança física, segregação de redes OT/IT, controle de acesso físico, gestão de ativos.

O auditor vai testar com profundidade os controles que importam pro seu setor. Os outros, vai conferir só formalmente.

O documento que ninguem entende: Declaracao de Aplicabilidade

SoA (Statement of Applicability) e o documento que mais confunde no projeto de ISO 27001. Em essencia, e uma planilha com os 93 controles do Anexo A, e pra cada um:

Se aplica (sim/nao)
Justificativa pra aplicar ou nao aplicar
Status de implementacao
Referencia ao documento que descreve a implementacao

Esse documento e o roteiro do auditor. Ele vai usar a SoA pra dirigir a auditoria — quais controles testar, em que profundidade, com qual evidencia.

SoA mal feita = auditoria mal dirigida = potencial de surpresas. SoA bem feita = auditoria previsivel.

Veja seu nível atual de conformidade com o checklist ISO 27001.

Fazer o Checklist ISO 27001 →

Equipe interna vs consultoria: o cálculo real

Essa decisão é financeira mas não é só financeira. Vai do tempo que você tem, do tamanho da empresa, da maturidade do time interno.

Cenário A: Consultoria gerencia tudo. Custo entre R$ 180 mil e R$ 400 mil. Prazo 8-12 meses. Equipe interna participa em workshops mas o consultor monta toda a documentação. Vantagem: rápido (relativamente). Desvantagem: depois que a consultoria sai, ninguém entende o sistema. Próximo ciclo de manutenção volta a depender de consultoria.

Cenário B: Consultoria orienta, equipe interna executa. Custo entre R$ 60 mil e R$ 120 mil. Prazo 12-18 meses. Time interno monta a documentação com supervisão. Vantagem: empresa aprende, fica autônoma. Desvantagem: mais lento, exige dedicação real do time.

Cenário C: 100% interno. Custo entre R$ 0 e R$ 30 mil (treinamento da equipe). Prazo 18-30 meses. Vantagem: barato e domínio total. Desvantagem: lentidão, risco de erro caro, frustração da equipe.

O cenário que mais funciona pra empresa de médio porte é o B. Consultoria especializada como mentor, equipe interna construindo o SGSI. Custo controlado, aprendizado real, manutenção viável depois da certificação.

Quando a consultoria realmente se paga

Tem cenarios onde contratar consultoria mais cara compensa:

Primeira certificacao na empresa, sem ninguem com experiencia
Prazo apertado (cliente exigindo em 6 meses)
Multiplas certificacoes simultaneas (ISO 27001 + 27017 + 27018 + 42001)
Necessidade de presenca de gente experiente em entrevistas com clientes B2B

Em outros cenarios, mentor consultor (cenario B) e claramente superior em custo-beneficio.

O que preparar antes de contratar qualquer consultoria

Tem coisas que você precisa fazer antes mesmo de chamar consultor. Senão você vai pagar consultor pra fazer o que você poderia ter feito sozinho.

1. Decisão de patrocínio executivo. Quem na diretoria é o sponsor? Sem sponsor forte, projeto morre.

2. Definição preliminar de escopo. Mesmo que rascunho, qual área, qual processo, qual cliente está exigindo.

3. Identificação de um líder interno. Vai ser a pessoa que toca o projeto no dia a dia. Tem que ter tempo (no mínimo 30% dedicação), autoridade e perfil pra navegar entre áreas.

4. Inventário inicial de ativos. Quais sistemas críticos, quais dados sensíveis, quais terceiros tratam dados. Mesmo que parcial.

5. Avaliação de maturidade atual. Quais controles já existem (mesmo informalmente). Não começar do zero — usar o que já tem.

Com essas cinco coisas prontas, você chega na consultoria com perguntas certas, ao invés de receber respostas genéricas. E economiza facilmente 30% do orçamento total.

O CIO de Florianópolis que mencionei lá no início? Refizemos o projeto dele. Recuperamos parte do trabalho, reorientamos o restante, certificamos em 6 meses adicionais. Custo total acima do orçamento original, mas pelo menos com certificado emitido. A lição que ele tirou: na próxima auditoria de manutenção, equipe interna preparada, sem depender de ninguém de fora.

Cinco perguntas pra fazer a qualquer consultoria antes de assinar

Antes de assinar contrato de consultoria de ISO 27001, faca essas cinco perguntas:

Quantos projetos de ISO 27001 voce conduziu nos ultimos 24 meses, e quantos passaram na primeira auditoria de certificacao?
Posso falar com 2 clientes recentes seus para referencia direta?
O escopo do meu projeto inclui ou exclui revisao de contratos com fornecedores criticos?
Qual a expectativa de horas da minha equipe interna por mes durante o projeto?
O que acontece se nao certificarmos no prazo previsto?

Consultoria que responde com seguranca essas cinco geralmente entrega bem. Consultoria que se enrola pra responder e bandeira vermelha.

Veja também

Como Implementar

Como implementar ISO 27001 com equipe interna (sem depender de consultoria)

Dá para implementar ISO 27001 com equipe interna. Leva mais tempo mas custa 70% menos. Veja o caminho que funciona para empresas de médio porte.

Riscos

Os controles ISO 27001 que mais falham em auditorias reais — e por quê

Não é falta de política. É falta de evidência. Os controles que mais reprovam na auditoria ISO 27001 são os que parecem simples mas nunca ficam prontos de verdade.

Perguntas frequentes

O que é necessário saber antes de iniciar a certificação ISO 27001?

Antes de iniciar: 1) Defina o escopo (quais sistemas, processos e locais entram). 2) Entenda que ISO 27001 é um SGSI (Sistema de Gestão de Segurança da Informação), não um checklist técnico. 3) Garanta patrocínio da alta direção — sem isso, o projeto para. 4) Estime o orçamento real: implementação + consultoria + treinamentos + certificação + manutenção anual.

Quanto tempo leva para obter a certificação ISO 27001?

De 12 a 24 meses para a maioria das empresas. Empresas pequenas e focadas podem fazer em 10-12 meses. Empresas grandes com muitos sistemas e locais podem levar 24-36 meses. O principal limitador é a velocidade de implementação dos controles do Anexo A e a capacidade de demonstrar que funcionaram por pelo menos 3 meses antes da auditoria.

Qual o custo total de certificação ISO 27001?

Para PMEs (50-500 funcionários): R$ 80.000 a R$ 250.000 no primeiro ciclo (implementação + certificação). Para grandes empresas: R$ 300.000 a R$ 1.000.000+. A manutenção anual (auditorias de vigilância + renovação trienal) representa 20-30% do custo inicial. O maior gasto costuma ser consultoria e treinamentos, não a auditoria em si.

O que muda na versão 2022 da norma

A revisão da ISO 27001 publicada em 2022 trouxe mudanças importantes que muita empresa ainda não digeriu. O anexo A foi reorganizado de 114 controles em 14 domínios para 93 controles em 4 temas (organizacional, pessoas, físico, tecnológico). Para empresas certificadas na versão 2013, há janela de transição até 31 de outubro de 2025 — depois disso, a recertificação é obrigatoriamente na nova versão.

Os 11 controles novos da versão 2022 merecem atenção especial: inteligência de ameaças, segurança de serviços em nuvem, prontidão para continuidade de negócio em TIC, monitoramento de segurança física, gestão de configuração, exclusão de informações, mascaramento de dados, prevenção contra vazamento, atividades de monitoramento, filtragem de web, codificação segura.

Esses controles refletem a evolução do panorama de ameaças. Empresa que negligencia atualização para a versão 2022 acumula gap técnico — e perde fôlego competitivo na próxima auditoria.

Quanto custa uma certificação na prática

Antes de iniciar o projeto, vale dimensionar investimento. Os números variam por porte e maturidade prévia, mas a faixa típica em empresa brasileira de médio porte (500-2.000 funcionários):

Consultoria de implementação: R$ 200-600 mil (12-18 meses de trabalho)
Ferramentas de segurança e governança: R$ 150-400 mil iniciais + R$ 80-200 mil/ano de manutenção
Treinamento e cultura: R$ 50-150 mil/ano
Auditoria de certificação inicial: R$ 60-120 mil
Manutenção da certificação: R$ 40-80 mil/ano em auditorias de manutenção e recertificação

Soma do primeiro ciclo (até a certificação): R$ 500 mil a R$ 1,5 milhão. Manutenção contínua a partir do segundo ano: R$ 200-400 mil/ano. Empresa que olha só o custo direto perde de vista o retorno: acesso a mercados regulados, redução de prêmio de seguro cyber, ganho em contratos B2B que exigem certificação, menor exposição a incidentes.

O que esperar do primeiro ano de implementação

O primeiro ano de jornada ISO 27001 é o mais intenso. Padrão típico que observo:

Trimestre 1 — diagnóstico de gap, definição de escopo, formação do comitê, contratação de consultoria. Sensação inicial de progresso baixo enquanto se mapeia o terreno.

Trimestre 2 — primeiros entregáveis: política de segurança aprovada, inventário de ativos, classificação de informação. Resistência interna começa a aparecer ("isso vai burocratizar tudo").

Trimestre 3 — controles operacionais sendo implementados. Mudanças visíveis na rotina dos times. Treinamentos massivos. Resistência atinge pico — momento crítico em que muitas empresas perdem patrocínio do board.

Trimestre 4 — primeira auditoria interna. Gaps identificados. Plano de remediação. Empresas que persistiram aqui chegam à certificação em 4-8 meses adicionais. Empresas que perdem fôlego aqui adiam meses ou anos.

O CISO que sobrevive ao terceiro trimestre tipicamente entrega o projeto. Quem perde tração no terceiro trimestre vira o segundo CISO da empresa em 18 meses.