Rhand Leal Com os processos de negócio sob constante pressão de gestores, clientes e outras partes interessadas, proteger a informação exatamente como solicitado por meio de especificações técnicas, requisitos legais ou objetivos de negócio, e a maior complexidade e sofisticação das operações, o uso de conhecimentos de auditoria em segurança da informação está se tornando um ponto crítico para agregar valor para as organizações, e esta é uma grande oportunidade para desenvolvimento profissional.
Neste artigo mostrarei a você como o conhecimento de auditoria interna da ISO 27001 pode ajudar a impulsionar a carreira de um profissional, como uma ferramenta para promover segurança ada informação adequada, e melhor controle e melhoria contínua dos processos do negócio; eu também mostrarei a você os meios pelos quais você pode obter este conhecimento.
O que é a auditoria interna da ISO 27001?
Uma auditoria é um processo de coleta para obtenção e avaliação de evidência (informação que é relevante e verificável) para determinar a extensão em que os critérios de auditoria (e.g., um conjunto de políticas, procedimentos ou requisitos) são atendidos. O termo “interna” significa que a auditoria é realizada dentro dos limites e regras da própria organização, não envolvendo partes externais tais como clientes, fornecedores ou organismos de certificação.
Especificamente, para uma auditoria interna da ISO 27001, seus resultados ajudam a alta administração a responder três questões:
- A organização está em conformidade como todos os requisitos considerados relevantes (e.g., objetivos de negócio, necessidades de clientes e leis)?
- As salvaguardas de segurança da informação estão sendo adequadamente executadas (e.g., no momento certo, pelas pessoas certas e da forma certa)?
- Os resultados esperados da segurança da informação estão sendo atingidos (e.g., menos quedas de sistemas, aumento da receita, etc.)?
De acordo com a norma ISO 27001, o processo de auditoria interna deve ser sistemático, i.e., planejado, executado, verificado e melhorado, de forma definida e bem conhecida, com pessoal treinado adequadamente, seja internamente ou por meio de treinamento pessoal externo contratado.
Para mais informações sobre treinamento de auditoria, leia este artigo: Qualificações para um auditor interno da ISO 27001.
Benefício da auditoria interna
Muito embora o processo de auditoria interna da ISO 27001 possa ser considerado apenas como mais um controle, e em alguns casos até mesmo uma perda de tempo (veja este artigo para mais informações: Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2), os benefícios que ele pode entregar quando executado de forma adequada são maiores do que os custos potenciais, tanto para a organização quanto para o auditor.
Durante a implementação da ISO 27001, o conhecimento de auditoria pode ajudar a organização a identificar o que precisa ser feito para estar em conformidade com a norma, minimizando os custos de implementação ao evitar retrabalho e a criação de controles desnecessários. Em adição aos requisitos da norma, ele pode ajudar na avaliação dos contratos de clientes e fornecedores, assim como na avaliação de regulamentações e leis aplicáveis, assegurando que os requisitos de segurança da informação estabelecidos nestes também sejam considerados no Sistema de Gestão de Segurança da Informação (SGSI).
Durante atividades de auditoria interna, o conhecimento de auditoria interna pode prover benefício como:
- Melhoria no plano de tratamento de risco: com um melhor entendimento de não conformidades potenciais e de oportunidades de melhoria, as pessoas que executam o processo podem agir mais preventivamente, através do plano de tratamento de riscos, para prevenir problemas menores de se tornarem não conformidades.
- Redução dos custos de auditoria interna: um dos critérios para definir o programa de auditoria é o resultado das auditorias anteriores. Caso um processo tenha demonstrado ser capaz de identificar e tratar adequadamente não conformidades por conta própria (poucas ou nenhuma não conformidade identificada pela auditoria interna, além daquelas já identificadas e tratadas pelas pessoas que executam o processo auditado), a frequência com a qual o processo deve ser auditado pode ser reduzida.
E para auditores de segurança da informação, o conhecimento de auditoria pode prover boas ideias sobre como elaborar e aplicar checklists de segurança para avaliar a conformidade e desempenho de processos. Isto tornará o trabalho deles mais fácil e direcionado a objetivos, aumentando as chances da organização de identificar problemas e oportunidades de melhoria e trata-las adequadamente. Para mais informações sobre sobre checklists de segurança, leia este artigo: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.
E para outros profissionais de segurança da informação (e.g., administradores de sistemas, gerentes de incidente, etc.), o conhecimento de auditoria pode prover a eles um diferencial profissional em termos de reconhecimento organizacional e conhecimento sistêmico dos processos do negócio.
Obtendo conhecimento de auditoria interna
Muito embora este conhecimento possa ser obtido através de auto estudo (e.g., leitura de livros e artigos) e pela observação de uma auditoria (quando autorizada pela organização), participar de um curso (provido pela organização ou por um terceiro) é a forma mais recomendada de se aprender sobre auditoria interna. Isto porque a norma requer evidências de treinamento, e a menos que você tenha um considerável número de horas de auditoria, participar de um curso é a forma mais eficaz de se obter a evidência (o certificado) sobre o conhecimento.
Para informações sobre treinamentos e provedores certificados, leia estes artigos: Como aprender sobre a ISO 27001 e a BS 25999-2 e Acreditação vs. certificação vs. registro no mundo ISO.
Aumente seu conjunto de ferramentas de conhecimento disponível
É mais fácil fazer as coisas certas quando você entende as regas do jogo. Ao aprender como realizar adequadamente uma auditoria interna da ISO 27001, você basicamente entenderá o processo e critérios usados para ajudar a organização a decidir se as medidas para proteger a informação estão bem planejadas, implementadas, avaliadas e melhoradas para atingir os resultados esperados. Adicionalmente, este conhecimento pode ter um grande impacto positivo em sua carreira, com novas oportunidades e desafios.
Assim, mesmo que você não esteja considerando se tornar um auditor interno, pense sobre aprender como este processo é executado. Se adequadamente aplicado, seus métodos e práticas podem trazer a você e a sua organização mitos benefícios na implementação e manutenção do SGSI.
Para aprender sobre o processo de auditoria interna, por favor veja este curso online gratuito: ISO 27001:2013 Internal Auditor Course.
Nós agradecemos a Rhand Leal pela tradução para o português.
