Como Conduzir um Gap Analysis para ISO/IEC 27001

🎬 Aula completa com o Prof. Daniel Cadorin. Assista para complementar a leitura deste artigo.

1. O diagnóstico que define tudo

Um gap analysis bem feito poupa meses de trabalho depois. Um mal feito faz um projeto de 12 meses virar 24. E há uma coisa que a maioria das empresas e dos consultores só descobre quando já é tarde: a etapa mais crítica de um projeto de certificação não é a implementação, nem a documentação, nem a auditoria de terceira parte. É o diagnóstico.

Um gap bem conduzido permite dimensionar o projeto com realismo, construir uma proposta fundamentada, priorizar o que importa e entregar um resultado que a organização consegue sustentar depois que o consultor vai embora. Feito às pressas, com checklist genérico e sem entender o negócio, ele produz o que o mercado chama de “consultor kit”: pacote pronto, resultado duvidoso.

O termo aparece de várias formas no mercado: assessment de conformidade, diagnóstico de conformidade, avaliação de aderência, levantamento de lacunas. Independente do nome, a pergunta é sempre a mesma: como a organização está em relação ao que uma norma ou framework exige?

Este artigo é um guia prático, baseado em vivência real de mercado, sobre como fazer o gap analysis de verdade para a ISO/IEC 27001:2022: para que serve, quando aplicar, quais normas o sustentam, quais escalas usar, como conduzir as etapas e os cuidados que separam o diagnóstico honesto do relatório de prateleira.

2. O que é um Gap Analysis (e o que ele definitivamente não é)

O gap analysis é uma fotografia do estado atual de conformidade de uma organização em relação a um referencial normativo, que neste artigo é a ISO/IEC 27001:2022. Ele mapeia a distância entre onde a organização está e onde ela precisa chegar para se certificar. Vale reter essa palavra: fotografia. O gap retrata um momento. Passados três, cinco meses, essa foto já pode estar desatualizada, e isso tem implicações comerciais que veremos adiante.

O resultado concreto de um gap analysis é:

Um mapa de lacunas entre o que existe e o que a norma exige
A priorização das ações necessárias para fechar essas lacunas
A base para o plano de implementação e para o cronograma realista
O insumo quantificado para a proposta comercial. Sem ele, a proposta é um chute

⚠️ O erro mais comum que o diagnóstico revela

Muitas organizações chegam para a certificação com dezenas de políticas criadas, inclusive com ajuda de inteligência artificial, para responder a algum questionário de due diligence de um cliente. Parecem bem documentadas. Mas quando o consultor avança um pouco, descobre que nenhuma delas foi implementada, comunicada ou operacionalizada. “Temos tudo documentado” não é a mesma coisa que “atendemos o requisito”. O gap analysis distingue o que existe no papel do que funciona na prática.

Outro padrão recorrente no mercado: empresas sem nenhum sistema de gestão costumam atender razoavelmente bem os controles técnicos do Anexo A (firewall, EDR, backup), mas falham nos requisitos das cláusulas 4 a 10, onde frequentemente não têm quase nada. É comum encontrar uma organização que “faz segurança” tecnicamente, mas não tem contexto definido, análise crítica, gestão de riscos formal ou melhoria contínua. É o sistema de gestão, o PDCA rodando, que garante que esses controles continuem eficazes amanhã, num ambiente de ameaças que muda rápido.

Agora, é igualmente importante entender o que o gap analysis não é:

Não é uma penalização nem um julgamento. É um diagnóstico colaborativo, cujo objetivo é ajudar a organização a melhorar
Não é uma auditoria interna nem uma auditoria de certificação (distinção detalhada na próxima seção)
Não é uma pré-auditoria da certificadora, e não substitui a auditoria interna obrigatória
Não substitui a análise de riscos nem a Declaração de Aplicabilidade (SoA): são entregáveis distintos, ainda que possam ser contratados em conjunto
Não pressupõe busca por certificação. Uma empresa pode contratar um gap só para se adequar a uma boa prática, sem intenção de certificar

3. Gap Analysis vs. Auditoria Interna vs. Pré-auditoria vs. Certificação

Um dos pontos de confusão mais frequentes na certificação ISO 27001 é não saber exatamente qual instrumento serve para quê. São quatro atividades distintas, com propósitos, posturas e consequências diferentes. Confundi-las gera expectativas erradas e problemas reais no projeto.

Dimensão	Gap Analysis	Auditoria Interna (1ª parte)	Pré-auditoria (opcional)	Auditoria de Certificação (3ª parte)
Quem conduz	Normalmente um consultor externo — uma visão de fora enxerga o que a empresa não percebe	Auditor interno ou consultor contratado para este fim — com independência da área auditada	A própria certificadora, como serviço opcional contratado pela organização	Organismo de Certificação (CB) acreditado — totalmente independente
Momento	Antes e durante a implementação	Após a implementação — antes de chamar o CB	Antes da Fase 1, para sondar prontidão junto à certificadora	Após a implementação — Fase 1 (documental) e Fase 2 (operacional)
É obrigatório pela norma?	Não — é uma boa prática de gestão do projeto	Sim — exigido pela cláusula 9.2. Sem auditoria interna, não há certificação	Não — e não substitui a auditoria interna obrigatória	Sim — é o processo que emite o certificado
Postura	Colaborativa — feito com a organização para identificar lacunas	Independente mas interna — verifica se o SGSI funciona conforme planejado	Consultiva — indicação prévia do que pode gerar NC	Totalmente independente — verifica conformidade para fins de certificação
Resultado de uma lacuna	Ação de adequação planejada no roadmap do projeto	Não-conformidade interna com plano de ação corretiva	Apontamento informal para correção antes da auditoria oficial	NC maior ou menor — pode bloquear ou condicionar a emissão do certificado
Quem escolhe a evidência	O consultor, junto com a organização	O auditor interno — com base no plano de auditoria	O auditor da certificadora	O auditor do CB — sempre. Prerrogativa exclusiva dele.

Por que essa distinção importa na prática

O gap analysis e a auditoria interna são complementares, não substituíveis. O gap diz o que precisa ser feito; a auditoria interna diz se o que foi feito está funcionando. Sem gap, o projeto começa sem bússola. Sem auditoria interna, o CB reprova na Fase 1: a cláusula 9.2 é um dos primeiros pontos verificados, e sua ausência é causa automática de não-conformidade maior.

💡 Atenção ao papel da pré-auditoria

A pré-auditoria é uma etapa opcional que a organização pode contratar da própria certificadora antes de entrar na Fase 1, para sondar como está em relação ao que será exigido. Na prática, ela é pouco usada: o caminho mais comum é gap inicial → implementação → auditoria interna → auditoria de certificação. O ponto crítico: a pré-auditoria não conta como auditoria interna. A organização continua obrigada a realizar a auditoria interna da cláusula 9.2, tenha ou não contratado a pré-auditoria.

🚫 Na auditoria de certificação, quem escolhe a evidência é o auditor, não o auditado

Esta é a diferença mais contraintuitiva entre a auditoria ISO e outros tipos de auditoria. O auditor do CB pode ignorar qualquer evidência pré-organizada pela organização e pedir o que quiser ver, no momento em que quiser. A auditoria ISO é ao vivo, em tempo real. Isso muda a forma como as organizações se preparam, e ajuda a entender por que algumas promessas de plataformas de GRC precisam ser lidas com cautela (ver seção 12).

4. Quando aplicar o Gap Analysis (e os dois modelos comerciais)

O gap analysis não é um evento único no início do projeto. Dependendo do momento, ele tem objetivos e profundidades diferentes:

Pré-projeto: antes de qualquer proposta

Este é o uso principal. Antes de elaborar qualquer proposta de implementação, o consultor precisa entender de onde a organização parte. Um projeto estimado sem diagnóstico é uma aposta, e as consequências chegam no meio do caminho, quando o escopo estoura e o cliente questiona por que o prazo está atrasando. O gap pré-projeto responde às perguntas essenciais: quantas lacunas existem? Qual é a maturidade atual? Quanto esforço será necessário?

Durante a implementação, e em paralelo a ela

Na prática, parte das ações não precisa esperar o gap terminar. Se a experiência já indica que a empresa não tem política de segurança, ou não tem inventário de ativos de informação, esses trabalhos podem começar imediatamente, em paralelo à coleta. Não adianta gastar uma reunião de duas horas para confirmar a ausência de algo que já se sabe que será necessário construir. Revisões parciais ao longo do projeto também permitem recalibrar o cronograma antes que o atraso se torne irreversível.

Em empresas já certificadas: aprofundamento pontual

Uma organização que já possui o certificado normalmente não contrata um novo gap geral, porque esse papel passa a ser da auditoria interna, que percorre todos os processos. Mas faz sentido contratar um gap pontual e aprofundado de um processo crítico específico, usando a 27002 no detalhe, para elevar a maturidade daquele controle muito além do mínimo que garantiu a certificação.

📋 Os dois modelos comerciais, e por que vale o pacote fechado

Existem dois modelos. No primeiro, o gap analysis é vendido como serviço separado: o cliente contrata o diagnóstico e só depois decide sobre a implementação. No segundo, o gap já vem embutido em um projeto fechado de implementação, com prazo e valor definidos.

A experiência de mercado favorece o projeto fechado com o gap embutido, e por uma razão concreta. Um caso real: uma empresa contratou apenas o gap, recebeu um diagnóstico detalhado com cronograma e plano de ação, e então decidiu fazer a implementação sozinha. Levou cerca de dois anos para se certificar, muito mais tempo (e custo real) do que se tivesse seguido com apoio. O gap entregue isoladamente diz o que fazer; o passo a passo, o como, vive na implementação. Quando os dois andam juntos, o projeto já executa as ações óbvias desde o primeiro dia, sem esperar o relatório ficar pronto.

5. A estrutura do Gap Analysis para ISO 27001:2022

A ISO/IEC 27001:2022 está organizada em dois níveis de exigência, e o gap analysis precisa cobrir os dois de forma separada:

Requisitos mandatórios: Cláusulas 4 a 10

São os requisitos do sistema de gestão. Sem atendê-los integralmente, não há certificação possível. As cláusulas vão de 4.1 (contexto da organização) até 10.2 (não-conformidade e ação corretiva), cobrindo liderança, planejamento, apoio, operação, avaliação de desempenho e melhoria. É aqui que as empresas imaturas mais falham, e onde nascem as não-conformidades maiores: não fez auditoria interna, não fez análise crítica pela direção, não definiu escopo, não tem engajamento da liderança.

🚫 Atenção: “Não Aplicável” não existe para as Cláusulas 4 a 10

Este é um erro frequente em gap analysis mal conduzidos. Os requisitos de gestão se aplicam a qualquer organização, independente de porte, segmento ou tipo de negócio. O status “Não Aplicável” é exclusivo dos controles do Anexo A, nunca dos requisitos mandatórios.

Controles de segurança: Anexo A (93 controles)

O Anexo A reúne 93 controles organizados em 4 seções: organizacionais (37 controles), pessoas (8 controles), físicos (14 controles) e tecnológicos (34 controles). Aqui sim, o status “Não Aplicável” é válido, e precisa ser justificado na Declaração de Aplicabilidade (SoA), documento obrigatório para a certificação.

💡 Exemplo prático de aplicabilidade

Uma empresa 100% remota não tem instalações físicas relevantes: os controles A.7.1 (perímetros físicos), A.7.2 (entrada física), A.7.3 (segurança de escritórios) e A.7.4 (monitoramento físico) podem ser declarados não aplicáveis, com justificativa documentada. Mas A.7.7 (mesa limpa e tela limpa) continua valendo. Outro exemplo da prática: se a organização não terceiriza desenvolvimento de software, o controle correspondente não é aplicável, e não adianta gastar tempo de entrevista detalhando algo que não existe no contexto. É o consultor quem faz essa distinção, e ela importa.

📋 Atualização importante: versão 2022

Profissionais que trabalharam com projetos de ISO 27001:2013 precisam atualizar seus modelos. A versão 2022 reestruturou o Anexo A: de 114 controles em 14 seções para 93 controles em 4 seções, com 11 controles inteiramente novos. A 27002:2022 ainda introduziu as capacidades operacionais, um eixo de agrupamento dos controles que, como veremos na seção 7, é muito útil para estruturar o gap. Usar um checklist da versão anterior numa auditoria da versão atual é um risco concreto.

6. As normas que sustentam um gap de qualidade

Um erro comum de quem está começando é basear o gap analysis apenas na ISO/IEC 27001. O problema: a 27001 declara o objetivo de cada controle, mas não detalha como ele é implementado. Para um diagnóstico com profundidade, é preciso apoiar-se em outras normas da família. Esta é a base de referência que recomendamos:

Norma	Para que serve no gap
ISO/IEC 27001	O critério da certificação: requisitos (cláusulas 4 a 10) e os controles do Anexo A. É a norma verificada na auditoria.
ISO/IEC 27002	O detalhamento de como implementar cada controle. Indispensável para descer ao nível prático e para entender as capacidades operacionais.
ISO/IEC 27003	Diretrizes de implementação do SGSI. Boa base para quem está estruturando o projeto e quer entender a sequência lógica de construção.
ISO/IEC 27007	Diretrizes para auditoria do SGSI. O gap não é uma auditoria, mas o processo é muito parecido: a 27007 ajuda a planejar o que perguntar e observar em cada requisito e controle. Excelente base para o roteiro.
ISO/IEC 27005	Gestão de riscos de segurança da informação. Para gaps com foco aprofundado em riscos, vai muito além do mínimo que a 27001 exige.
ISO/IEC 27017 / 27018	Controles para serviços em nuvem e proteção de dados pessoais em nuvem. Relevantes quando o escopo envolve ambientes cloud.
ISO/IEC 27701	Gestão de privacidade. Desde a separação recente, não exige mais a 27001 como pré-requisito de certificação. Para gaps relacionados à LGPD, é a referência central: trata privacidade com muito mais profundidade que a 27001 e indica o mínimo de segurança necessário para sustentá-la.
Família 27035 / 27036	Gestão de incidentes e gestão de segurança na relação com fornecedores. Para aprofundar processos específicos em empresas mais maduras.
NIST CSF / CIS Controls	Frameworks de referência que podem ser usados como critério do gap ou para aprimorar a profundidade da análise técnica.

✅ Dica para quem está começando

Como base inicial para conduzir gaps de ISO 27001, foque em quatro normas: 27001 (o critério), 27002 (o detalhe dos controles), 27003 (a implementação) e 27007 (o que observar, como numa auditoria). Esse conjunto já dá uma base sólida. Ajuste a profundidade à maturidade da empresa: numa organização que não tem nem o básico, não adianta aprofundar; numa empresa madura, suba a régua com as normas complementares. E lembre-se: a base do conhecimento não pode ser “o que eu acho correto”. O profissional sério fundamenta cada constatação em um critério normativo.

7. Como conduzir o Gap Analysis na prática

Um gap analysis eficaz segue uma sequência lógica que começa muito antes de abrir qualquer checklist. Mas, antes das etapas, um ponto de método que faz diferença na prática:

💡 Avalie por processo, não controle por controle

Muitos consultores percorrem a norma controle por controle, perguntando “como vocês implementam este? E este?”. Na prática, isso gera dois problemas: a pessoa entrevistada raramente domina todos os controles, e o mesmo controle costuma ser relevante para várias áreas. A abordagem mais eficiente é agrupar requisitos e controles por processo (gestão de pessoas, de mudanças, de incidentes, de acessos, do contexto, liderança), aproveitando as capacidades operacionais da 27002:2022 como ponto de partida. Assim fica claro quem é o responsável por cada conversa, e uma mesma capacidade operacional pode ser avaliada em mais de um processo, capturando informação que a abordagem “por controle” deixaria escapar.

Conversa preliminar e preparação antes de qualquer checklist

A etapa que a maioria pula, e que determina a qualidade de tudo que vem depois. Antes das entrevistas formais, uma reunião inicial para entender: qual é o escopo pretendido? O que motivou a busca pela ISO 27001 agora? Quantos colaboradores e sites estão no escopo? Há data center próprio, colocation ou nuvem? A empresa já possui outras certificações (uma 9001, por exemplo, já indica maturidade de sistema de gestão)? Existe regulação setorial (fintech, telecom, saúde)? Houve tentativa anterior? Qual é o prazo? Antes dessa fase, com contrato e NDA assinados, faça a leitura prévia da documentação: chegar às entrevistas já conhecendo as políticas permite verificar se elas são realmente seguidas e conhecidas.

Engajamento da liderança e comunicação interna prévia

O sucesso de um gap depende de as pessoas falarem abertamente o que a empresa realmente tem. Por isso, antes de começar, comunique os envolvidos: explique o objetivo, como serão as entrevistas e peça que “abram o coração”, porque informação omitida distorce a foto. O engajamento do sponsor (a alta direção) é o ponto principal: a liderança precisa dar o exemplo, idealmente abrindo um workshop inicial em que pede o engajamento de todos. Defina também um ponto focal interno para orquestrar agendas, já que conciliar a disponibilidade de consultor e cliente é uma das partes mais complexas da logística.

Entrevistas com os stakeholders certos e walk-through técnico

Alta direção, TI (subdividida em infraestrutura, desenvolvimento, SRE), jurídico, RH, compras e homologação de fornecedores, compliance. O roteiro segue os processos e os controles da norma, não um questionário genérico. Cada área tem responsabilidades próprias: o jurídico sabe das cláusulas contratuais; o RH, da triagem e dos termos de contratação; o TI, dos controles técnicos. Depois da análise documental, o walk-through técnico (que pode ser remoto) verifica o que os documentos dizem contra o que realmente existe: servidores, backups, controle de acesso, configurações de rede, monitoramento.

Análise, classificação e priorização

Com as informações coletadas, o consultor classifica o status de cada item, identifica as lacunas e define ações de adequação priorizadas por risco e por esforço. É aqui que se separa o que vem antes do que vem depois: o inventário de ativos, por exemplo, já pode ter começado em paralelo; a gestão de auditorias, ao contrário, fica para o final. Uma ação que normalmente se antecipa: orientar o cliente a buscar uma certificadora cedo, porque há mais demanda que auditores no mercado e agendar a auditoria pode levar meses.

Relatório e apresentação

O entregável não é um checklist de “sim/não”. É um relatório com a constatação (o que existe), a avaliação (o status) e a recomendação (o que fazer). O formato típico combina um relatório executivo (cerca de 10 páginas, para a alta direção) com um relatório técnico detalhado por área. A planilha de trabalho do gap costuma ficar com o consultor: ela é transformada em relatório antes da entrega. Sempre apresente e tire dúvidas, alinhando antes para quem os achados serão demonstrados (muitas vezes só a alta direção, não toda a empresa). Entregar um PDF e sumir é um erro clássico.

“Em geral você nunca vai chegar numa organização completamente zerada. Já tem alguma coisa funcionando que atende o que a norma pede. A habilidade do consultor é fazer essa tradução, associar o que a empresa já faz ao que a norma exige.”

8. Escalas de avaliação: a escolha que define a qualidade do diagnóstico

A pergunta central do gap analysis para ISO 27001

Antes de discutir escalas, é preciso entender o que o gap analysis está realmente medindo:

“O consultor não está medindo maturidade em cinco níveis. Ele está verificando conformidade. A pergunta central é: você tem evidência?”

Para a certificação ISO 27001, a pergunta fundamental é quase binária: o requisito está implementado e há evidência de que está operando? Essa distinção determina qual escala usar, e explica por que escalas complexas demais criam mais trabalho analítico do que clareza. Vale lembrar que a empresa precisa atender minimamente os controles e integralmente os requisitos para se certificar; a perfeição vem depois, na melhoria contínua.

A escala CMMI: origem, aplicação e limitação no contexto ISO 27001

O Capability Maturity Model Integration (CMMI), criado pelo SEI (Software Engineering Institute), define cinco níveis de maturidade de processos:

Nível 1 — Inicial: processos ad hoc, imprevisíveis
Nível 2 — Gerenciado: processos planejados e rastreados
Nível 3 — Definido: processos documentados e padronizados
Nível 4 — Quantitativamente Gerenciado: processos medidos e controlados
Nível 5 — Em Otimização: foco em melhoria contínua e inovação

O CMMI foi adaptado para avaliar maturidade de processos de segurança e é referência em frameworks como o NIST CSF. É uma ferramenta legítima para organizações que querem mapear sua evolução ao longo do tempo.

⚠️ Limitação crítica no contexto ISO/IEC 27001

Esta norma não exige maturidade; exige conformidade. Um processo totalmente ad hoc (nível 1 no CMMI) pode passar numa auditoria ISO se houver evidência de que funciona. Já um processo bem documentado e maduro (nível 3 no CMMI) pode reprovar se não houver registro de operação. Usar a escala CMMI num gap pré-certificação adiciona complexidade sem necessariamente adicionar clareza para as decisões do projeto. Ela é mais indicada para organizações que já possuem a certificação e querem planejar a evolução da maturidade.

Escalas simplificadas: o que o mercado pratica

A maioria dos consultores experientes usa escalas de 3 ou 4 categorias porque o objetivo é acionável, não acadêmico. A mesma classificação pode aparecer em duas nomenclaturas equivalentes: “não atende / atende parcialmente / atende totalmente / não aplicável” ou “não conforme / parcialmente conforme / conforme / não aplicável”. A segunda é a mesma usada nas auditorias interna e de certificação, e não há certo ou errado entre elas.

A escala adotada no modelo TIexames

🔴 Não atende

Lacuna completa: o requisito não existe na organização. Não há política, processo, prática ou evidência de qualquer natureza. Precisa ser implementado do zero.

🟠 Atende Parcialmente

Existe prática informal ou parcial, mas sem documentação sistemática ou sem evidência de operação regular. A prática existe; a conformidade, ainda não.

🟢 Atende Totalmente

Implementado, documentado e com evidências de operação. Um auditor da certificadora encontraria conformidade plena neste ponto.

⚪ Não Aplicável

Fora do escopo definido. Apenas para controles do Anexo A. Deve ser justificado na Declaração de Aplicabilidade (SoA). Não pode ser usado para cláusulas 4 a 10.

🟣 Em Melhoria

Categoria adicional para organizações mais maduras: o controle está implementado e a organização está ativamente refinando-o. Reconhece evolução em curso.

💡 A régua é uma decisão do consultor, e precisa ser consistente

Imagine uma política criada há dois anos pelo time de TI, aprovada informalmente por e-mail, sem evidência de aprovação pela direção, sem ciclo de análise crítica, publicada no portal interno, mas que seis de oito entrevistados nem sabiam existir. Numa auditoria de certificação, isso provavelmente seria não-conformidade, já que a norma exige que políticas sejam comunicadas e revisadas. Num gap, dependendo da régua que você definir, pode ser classificado como “atende parcialmente”. Não existe um veredito único; o que não pode faltar é clareza sobre o critério que você usa e consistência em aplicá-lo.

9. Ferramentas, IA e troca segura de documentos

Consultoria é tempo, e tempo é finito. Quanto mais otimizada a metodologia e melhores as ferramentas, mais valor o consultor entrega na mesma janela. Dois temas práticos merecem atenção especial.

Assistentes de IA nas entrevistas

Com a maioria das reuniões de gap acontecendo remotamente, assistentes de IA que transcrevem e resumem a conversa têm se mostrado bastante úteis. O ganho é concreto: em vez de cortar o fluxo da entrevista para anotar, o consultor usa o tempo conversando e perguntando, e a ferramenta registra os detalhes. Isso melhora a qualidade do relatório e libera atenção para o raciocínio.

🚫 Cuidados inegociáveis ao usar IA

O uso de IA em gap e auditoria lida com dados sensíveis e reuniões sigilosas, o que exige atenção redobrada. Antes de ligar qualquer assistente: verifique se o contrato e o NDA permitem; confirme se a organização aceita a gravação da reunião; e cheque se há política interna do cliente restringindo o uso de IA, porque cada vez mais empresas limitam isso formalmente. Escolha uma ferramenta confiável, que tenha certificações e descreva como armazena os dados. Ferramentas de IA gratuitas servem para algumas coisas, mas quando se trabalha profissionalmente com dados de clientes, o cuidado precisa ser outro.

Troca segura de documentação

A documentação de um gap é sensível por definição. Trafegar arquivos por e-mail já é crítico; por WhatsApp, nem pensar. O ideal é um repositório com controle de acesso adequado, em uma de três configurações:

A organização dá acesso ao próprio sistema onde a documentação já reside;
A organização compartilha um diretório dedicado (Google Drive, OneDrive, Dropbox, SharePoint) com os usuários específicos do projeto;
O consultor disponibiliza um ambiente próprio (SharePoint ou aplicação dedicada), com dados criptografados e acesso restrito a quem participa do projeto.

⚠️ Detalhes que evitam vazamentos

Compartilhe sempre com usuários específicos, nunca por “link público”, porque aí qualquer pessoa com o link teria acesso. Consultores independentes sem ferramenta corporativa podem contratar uma licença (ex.: Google Workspace) e criar pastas separadas por cliente, com usuário dedicado por pasta. E ao encerrar o projeto, na hora de destruir o diretório, lembre-se de que plataformas como o SharePoint mantêm itens na lixeira e no repositório por alguns dias, então a exclusão definitiva exige esse cuidado extra. Vale também avaliar um NDA específico antes mesmo do contrato, só para a troca inicial de informações.

10. Cuidados que separam o bom consultor do “consultor kit”

O “consultor kit” é aquele que tem o pacote pronto, vende o pacote pronto e não se preocupa muito em saber se aquilo atende a necessidade específica do negócio. O bom consultor faz o oposto. Os cuidados abaixo mostram onde essa diferença aparece na prática.

📄

Não confundir “tem documento” com “atende o requisito”

Documento criado, assinado e arquivado sem nunca ter sido comunicado ou implementado não atende o requisito da norma. O consultor precisa verificar se a política existe, se ela funciona e se as pessoas a conhecem. São perguntas diferentes.

🔍

Nunca confiar só no que o cliente diz: pedir a evidência

A organização não mente. Ela genuinamente não sabe associar o que já faz ao que a norma pede. Mas o consultor precisa ver o processo funcionando: “legal, me mostra como você faz”. Sem evidência objetiva, o que numa auditoria viraria não-conformidade passa despercebido no gap.

🚫

Adaptar as políticas à organização, nunca copiar templates genéricos

Um caso real: três organizações auditadas usando a mesma plataforma de GRC, com políticas praticamente idênticas, só mudaram o nome da empresa. Resultado: não-conformidade, porque nenhuma conseguia demonstrar que a política se aplicava ao seu contexto. Template é ponto de partida, não entregável. Adaptar um documento existente, porém, é bem mais rápido do que criá-lo do zero, e essa base reutilizável acelera os projetos seguintes.

🗣️

Respeitar o idioma e a cultura da organização

O consultor experiente traduz o “isonês” para a linguagem que a organização usa no dia a dia. Isso inclui o formato da documentação: se a empresa trabalha com Notion, o procedimento vai para o Notion; se usa Word, vai para Word. Impor uma estrutura documental estranha à cultura da empresa cria resistência e garante que ninguém vai usar os documentos depois.

⏱️

Não subestimar o esforço interno do cliente, nem o tempo de coleta

A coleta é a fase mais cara em horas. Além dela, fechar as lacunas consome tempo da equipe interna: entrevistas, aprovações, treinamentos, evidências. Esse tempo tem custo que quase ninguém contabiliza, mas que determina o ritmo real do projeto. Lembre-se de que a empresa não para para se certificar; é um avião voando enquanto se trocam peças, e o consultor precisa ser objetivo e ágil.

📅

Entender por que prazos curtos são inviáveis, e saber explicar isso

A certificadora exige um período mínimo de sistema em operação gerando evidências antes da Fase 2, e o ciclo do PDCA precisa fechar pelo menos uma volta (auditoria interna, análise crítica, tratamento de NCs). Por isso prazos de três ou seis meses costumam ser inviáveis para empresas imaturas: o resultado seria uma certificação frágil, que acumula não-conformidades nas auditorias de vigilância. Obter o certificado é a parte mais fácil; sustentar a melhoria contínua é onde “começa a brincadeira”. Saber comunicar isso faz parte do trabalho.

⚖️

Ser honesto mesmo quando a realidade é melhor do que o esperado

O gap analysis precisa retratar a realidade, não o que vende mais horas de implementação nem o que o cliente quer ouvir. E o consultor não “ganha” por encontrar não-conformidades: ele está ali para ajudar a empresa a melhorar. O diagnóstico honesto, mesmo quando a situação é melhor do que a imaginada, é o que constrói credibilidade de longo prazo.

🤝

Nunca menosprezar o trabalho de outro consultor

É comum encontrar decisões questionáveis de consultores anteriores (“o backup era para ser feito num HD externo”). A postura correta não é criticar; é mostrar o seu diferencial e o valor que você agrega. Esse mercado é pequeno: auditores recomendam consultores e vice-versa, e cada empresa tem complexidades que justificam escolhas que de fora parecem estranhas.

11. Ética, independência e quando recusar um projeto

Em consultoria, o ativo mais valioso é o próprio nome. Por isso, dois temas, conflito de interesse e seleção de clientes, merecem o mesmo rigor técnico aplicado ao gap em si.

Quem pode fazer o quê

Quem faz o gap analysis pode implementar o sistema de gestão; é a prática comum e não configura conflito. O que muda é a auditoria:

🚫 Independência na auditoria não é opcional

Quem prestou consultoria em um processo não pode auditar esse mesmo processo na auditoria interna. Dois motivos: primeiro, quem construiu o processo tende a não enxergar as próprias falhas, e uma visão de fora encontra o que você não vê; segundo, é conflito de interesse, e um auditor pode registrar isso como não-conformidade, eventualmente uma NC maior que invalida a auditoria interna. Por isso muitas empresas contratam auditores externos para conduzir a auditoria interna. E o caso mais grave: o auditor da certificadora jamais pode auditar uma empresa da qual foi consultor. É conflito direto, vedado pela ISO/IEC 17021, e pode gerar problema com a própria certificadora.

Saber recusar um projeto ruim

Recusar é tão importante quanto saber vender. Alguns perfis de projeto tendem a dar mais dor de cabeça do que o valor justifica:

O cliente que só quer o certificado, sem comprometimento real com a melhoria. Sem mudança de cultura e sem liderança engajada, a certificação não se sustenta, e o consultor herda o problema.
O cliente com expectativa de prazo impossível (três, seis meses para uma empresa imatura). Melhor dizer “não dá” do que assumir um compromisso que vai falhar.
O cliente cujo relacionamento já começa complicado. Quando o perfil sinaliza atrito desde a negociação, o desgaste futuro raramente compensa o honorário.
O cliente que busca apenas o menor preço. O mais barato muitas vezes se torna o mais caro depois, e nem todo cliente está alinhado a um trabalho de qualidade.

Recusar com respeito e educação preserva a relação: a amizade continua, e um dia, quando a expectativa estiver alinhada, o cliente pode voltar.

12. O alerta sobre ferramentas de GRC

Plataformas de Governance, Risk and Compliance (GRC) são ferramentas úteis, e têm lugar certo no projeto. O problema é quando aparecem como atalhos para a certificação ou como substitutos do diagnóstico.

Algumas plataformas prometem automatizar desde a criação de políticas até a geração de evidências. Essa promessa precisa ser lida com cautela, por duas razões:

🚫 O auditor ISO escolhe a evidência, não o auditado

Em uma auditoria ISO, diferente de outros tipos de auditoria, quem decide o que será analisado é o auditor. Ele pode ignorar todas as evidências pré-organizadas dentro de uma plataforma e pedir o que quiser ver, no momento em que quiser. A auditoria ISO é ao vivo. Depositar evidências numa plataforma não garante que o auditor vá avaliá-las.

🚫 Políticas genéricas não passam em auditoria

Plataformas de GRC costumam vir com modelos prontos de políticas. Esses modelos são genéricos por definição: ponto de partida, não entregável. Um auditor experiente identifica uma política de template que nunca foi adaptada à realidade do negócio. E a consequência é não-conformidade.

✅ Quando faz sentido usar uma plataforma

A recomendação prática: comece com planilhas estruturadas e documentação adaptada para a primeira certificação, com menos fricção e mais foco no que importa. Migre para uma plataforma de GRC quando a organização já tiver o certificado e quiser elevar a maturidade, estruturar a rastreabilidade de evidências ou gerenciar múltiplos sites com alta rotatividade. A plataforma potencializa um SGSI maduro; não substitui a construção da maturidade.

13. Dimensionamento, prazo e investimento

Não existe valor “de tabela” para um gap analysis: tudo depende do escopo, do número de sites, da existência de visita física, da maturidade da empresa e de quantos consultores atuam em paralelo. Ainda assim, dá para partir de faixas de referência. As estimativas abaixo não estão “escritas em pedra”, mas dão uma dimensão razoável para planejar:

Porte da organização	Esforço estimado	Prazo aproximado
Microempresa (até 50 pessoas)	40 a 60 horas	3 a 4 semanas
Pequena (50 a 200 pessoas)	—	4 a 6 semanas
Média (até 1.000 pessoas)	—	6 a 10 semanas
Grande (acima de 1.000)	Avaliação caso a caso. Depende fortemente do escopo, do número de sites e de consultores alocados

💡 Como precificar: a lógica base

O raciocínio é direto: estime quantas horas vai gastar, multiplique pelo valor da sua hora e acrescente os custos envolvidos, como impostos, deslocamento, hospedagem e alimentação quando houver visita física. Se gastar mais horas do que planejou, fica no prejuízo, e é a experiência que calibra essa estimativa. Como referência de mercado, gaps observados variam tipicamente de cerca de R$ 8.000 a R$ 25.000, conforme escopo e porte. Delimite também o pós-entrega: atender dúvidas por até 30 dias após o relatório, por exemplo, porque o gap é a foto de um momento e meses depois ela já pode estar diferente.

⚠️ O risco do projeto fechado para quem está começando

No modelo de projeto fechado (gap + implementação por valor único), quem ainda não tem experiência corre o risco de subdimensionar e ter muito mais trabalho do que imaginava. É um risco calculado, não um salto no escuro, e a melhor forma de adquirir a calibragem é executar quantos gaps for possível, inclusive os primeiros como investimento em aprendizado. Faça um para uma empresa conhecida (não precisa ser de tecnologia: toda empresa hoje tem sistemas, servidores e riscos). O retorno inicial vem em conhecimento, e é ele que sustenta as estimativas dos projetos seguintes.

14. Gap Analysis como base da proposta comercial

O gap analysis não é só um entregável técnico; é o fundamento de qualquer proposta de implementação que mereça ser levada a sério. Uma proposta bem construída deixa explícitos o objetivo, o escopo (o que entra e o que não entra), a metodologia, as normas de referência e as condições de acesso à documentação e às pessoas. Dizer claramente o que não está incluído é tão importante quanto descrever o que está, porque é isso que evita falsas expectativas.

Com o diagnóstico em mãos, o consultor consegue:

Dimensionar as horas por fase com base nas lacunas identificadas, não em estimativas genéricas de mercado
Priorizar as ações por impacto na certificação: Crítica (sem ela não se certifica), Alta, Média, Baixa
Construir um cronograma macro realista, porque o cliente precisa ver o fim antes de assinar o contrato
Justificar o investimento para a alta direção com dados concretos, não argumentos genéricos sobre segurança
Identificar ferramentas necessárias: quais controles demandam solução tecnológica que o cliente ainda não tem

Sem gap analysis, a proposta é uma estimativa. Com gap analysis, é um projeto. A diferença aparece no meio do caminho, quando já é tarde para corrigir, e aparece também na reputação que o consultor constrói ou destrói ao longo do trabalho.

“O certificado é o destino. Mas tudo começa com um diagnóstico honesto, realista e completo.”

📊

Modelo de Gap Analysis ISO/IEC 27001:2022

Planilha completa com as cláusulas 4 a 10, os 93 controles do Anexo A com texto literal da norma, dashboard automático por status e estimativa de esforço integrada. Desenvolvida pela TI Exames, gratuita para uso profissional.

⬇ Baixar gratuitamente

Formação Profissional

ISO/IEC 27001 Lead Implementer

Esteja preparado para liderar projetos de certificação ISO 27001 do gap analysis à auditoria de terceira parte. Metodologia baseada no ciclo PDCA, casos práticos e certificado internacional pela Exemplar Global.

✓ 10 aulas ao vivo ✓ 30 horas de carga horária ✓ Certificado Acreditado Exemplar Global ✓ Acesso às gravações por 12 meses

Conhecer a formação →

Próximas turmas disponíveis · Início imediato por gravações