História real.
Um gestor de segurança que formei no ano passado contou-me o seguinte: estava na empresa há três meses. O seu antecessor saiu. A passagem de pasta foi uma pasta partilhada. Lá dentro: 200 documentos, um registo de riscos de 2022, uma política de segurança da informação que referenciava o GDPR mas não o ISO27001, e uma Declaração de Aplicabilidade com o nome de outra empresa no rodapé.
O seu chefe disse: "Temos a recertificação daqui a seis meses. És tu que a lideras."
Ele sorriu. Acenou com a cabeça. Foi para casa e começou a atualizar o LinkedIn.
Se já esteve perto de uma implementação de ISO27001, alguma versão desta história provavelmente soa familiar. Talvez não tenha herdado um caos. Talvez esteja a construir de raiz. Mas a sensação é a mesma: a norma diz-lhe o que tem de existir. Nunca diz como construir.
Este artigo fala sobre essa lacuna. E sobre como a fechar.
O documento que toda a gente finge perceber
A ISO/IEC 27001:2022 tem 30 páginas. É estruturada com clareza. Cláusulas 4 a 10, Anexo A, 93 controlos, 34 subcláusulas obrigatórias. Lê-se como um conjunto claro de instruções.
Até tentar seguí-las.
"A organização deve determinar as questões externas e internas relevantes para o seu propósito." Ótimo. Como é que isso se parece na prática? Um workshop? Uma análise PESTLE? Uma conversa com o CEO a tomar café? A norma não diz.
"A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação." Perfeito. Qualitativo ou quantitativo? Escala de três pontos ou de cinco? Como se define "provável" de forma a que TI e finanças concordem? Como se garante que a coluna de proprietário do risco não diz apenas "Dave" em tudo? A norma não diz.
"A organização deve produzir uma Declaração de Aplicabilidade." Excelente. Mas o que torna uma boa SoA? Qual o nível de detalhe das justificações? O que conta como evidência de implementação? Como se evita que se torne uma folha de cálculo de 93 linhas com "Sim, implementado" e nada por detrás? A norma absolutamente não diz.
Isto não é uma falha. A ISO27001 é deliberadamente neutra em termos de tecnologia, setor e dimensão. Tem de ser. Mas essa neutralidade cria uma lacuna entre quem compreende a norma e quem a consegue implementar na prática. E é nessa lacuna que as carreiras estagnam, os projetos falham e as auditorias correm mal.
Cinco formas como já vi implementações de ISO 27001 morrer
Sou CISO há tempo suficiente para ter visto os mesmos erros repetidamente. Não porque as pessoas sejam más no seu trabalho. Porque ninguém lhes ensinou a metodologia.
- O registo de riscos que é na verdade uma folha de cálculo de opiniões.
Toda a gente se senta numa sala. Alguém diz "ransomware" e todos acenam. Probabilidade: alta. Impacto: alto. Proprietário: TI. Próximo risco. Repete durante três horas. O resultado é uma lista de preocupações, pontuadas por instinto, sem nenhuma metodologia documentada por trás. O auditor pergunta "como definiu a sua escala de impacto?" e a sala fica em silêncio.
- A SoA copiada da internet.
Não estou a inventar. Já revi Declarações de Aplicabilidade em que a coluna de justificação diz "implementado" para todos os controlos, a coluna de evidências está em branco, e as propriedades do documento ainda mostram o autor original de uma empresa completamente diferente. A sua SoA é o primeiro ponto de análise do auditor. Se é um copiar e colar, a auditoria acabou antes de começar.
- O ISMS que vive numa pasta do SharePoint e em mais lado nenhum.
Políticas que ninguém leu. Procedimentos que ninguém segue. Um inventário de ativos ao qual faltam dois departamentos. Uma revisão de gestão que aconteceu uma vez, há dezoito meses, e nunca teve seguimento. Isto é conformidade em papel. Assinala caixas numa folha de cálculo mas desmorona-se no momento em que alguém pergunta: "mostre-me isto a funcionar na prática."
- A auditoria que apanha toda a gente desprevenida.
A Fase 1 é a revisão documental. A Fase 2 é a evidência operacional. A maioria das equipas prepara-se para uma e entra em pânico com a outra. Têm documentos impecáveis mas não conseguem demonstrar que os controlos estão a funcionar. Ou têm controlos a funcionar mas não conseguem produzir o rasto de evidências. O auditor não se importa com qual das lacunas tem: ambas são não conformidades.
- O conselho de administração que pensa que o ISO 27001 é uma firewall.
Pede orçamento. O CFO diz "já comprámos a firewall." Tenta explicar que o ISO 27001 é um sistema de gestão, não uma compra tecnológica. O CFO olha para o telemóvel. Isto é uma falha de adesão da liderança, e mata mais implementações do que qualquer lacuna técnica alguma vez matará.
O que realmente funciona
Todas as implementações de ISO 27001 bem-sucedidas de que fiz parte têm os mesmos ingredientes. Não é magia. É apenas metodologia.
Um âmbito claro com uma justificação documentada. Não "tudo" sem explicação. Não artificialmente estreito para evitar complexidade. Um âmbito que faça sentido para a organização, com fronteiras que se possam explicar a um auditor em dois minutos.
Uma metodologia de avaliação de riscos repetível e defensável. Escalas definidas. Critérios calibrados. Distinção clara entre ameaças, vulnerabilidades e riscos. Proprietários que compreendem genuinamente o que possuem. Documentação que um auditor possa seguir sem que esteja ao lado a explicar.
Uma SoA que conta uma história. Não um exercício de marcar caixas. Cada controlo tem uma justificação que remete para a avaliação de riscos. As exclusões são explicadas, não deixadas em branco. A evidência de implementação é referenciada, não assumida.
Uma liderança que compreende o que está a assinar. Revisões de gestão que produzem decisões, não apenas atas. Uma política de segurança que o CEO leu de facto. Uma alocação de recursos que reflete o âmbito do ISMS, não apenas o orçamento de TI.
Uma preparação para auditoria que começa no Dia 1, não na semana anterior. Cada documento, cada registo, cada processo concebido desde o início para produzir evidências. Porque se não conseguir provar que aconteceu, não aconteceu.
É para isso que servem os 5 dias
11 a 15 de maio. Online. Em inglês. Uma turma ao vivo, limitada a 6 participantes, construída em torno da metodologia de implementação que utilizo em projetos reais.
Isto não é uma visita guiada à norma. Pode ler a norma por si próprio. Isto é o sistema operativo que lhe está subjacente: como iniciar o projeto, como estruturar a avaliação de riscos, como redigir a SoA, como selecionar e implementar controlos, como configurar a monitorização e medição, como preparar a auditoria de certificação, tudo, passo a passo, com exercícios e casos práticos em cada etapa.
DiaFocoSegunda-feiraISO 27001 em contexto. Iniciar a implementação. Compreender a organização, o seu contexto e as partes interessadas. Definir e justificar o âmbito do ISMS.Terça-feiraObter o apoio da liderança. Analisar o que já existe. Redigir a política de segurança. Construir a metodologia de avaliação de riscos. A Declaração de Aplicabilidade.Quarta-feiraSelecionar e conceber os controlos do Anexo A. Implementar controlos adequados. Gestão documental. Comunicação, competência, sensibilização. Operacionalizar a segurança.Quinta-feiraMonitorização e medição. Auditoria interna. Revisão de gestão. Tratamento de não conformidades. Melhoria contínua. Preparação para a Fase 1 e a Fase 2.
Na sexta-feira, sai com uma metodologia que pode utilizar na semana seguinte e uma credencial que o comprova.
Quem leciona
Eu. Christophe. CISO em atividade, fundador da Cyber Academy.
Não ensino ISO 27001 porque li um livro sobre o assunto. Ensino porque o implemento. Quando falo de avaliação de riscos, é porque já estive em salas a facilitá-las. Quando falo de preparação para auditoria, é porque já preparei organizações para a Fase 1 e a Fase 2 e vi o que o auditor faz na prática. Quando alguém no curso diz "o meu registo de riscos é um desastre", não lhe dou uma resposta teórica. Dou-lhe o que faria se estivesse na sua cadeira na segunda-feira.
É essa a diferença entre formação e uma apresentação de diapositivos.
A garantia
Conclua o curso. Faça o exame. Se não passar, reembolsamos a taxa de formação.
Sem condições além de concluir o programa e fazer o exame. Sem letra pequena. Chamamos-lhe Certified or Refunded, e é a sério.
Porquê? Porque a metodologia funciona. A taxa de aprovação comprova-o. E se está a investir uma semana do seu tempo e o dinheiro da sua empresa, merece saber que o fornecedor está a apostar no mesmo resultado que você.
Os detalhes
Curso: ISO/IEC 27001:2022 Lead Implementer, PECB Certified
Datas: 11–15 de maio de 2026
Formato: Online ao vivo. Interativo. Sem gravação.
Língua: Inglês
CPD: 31 créditos
Repetição gratuita: Dentro de 12 meses
A sua vez
Se está no meio de uma implementação e está bloqueado, este é o curso que o desbloqueia.
Se lhe pediram para liderar um projeto e não tem uma metodologia, este dá-lhe uma.
Se é consultor e precisa da credencial para suportar o que já sabe, este certifica-o.
Se herdou uma pasta do SharePoint e uma prece, este é o seu plano de resgate de cinco dias.
Questões? Envie-me um e-mail diretamente. Sem equipa de vendas. Sem chatbot. Só eu.
Christophe
