Nina Ugrinoska
agosto 31, 2016
Nos últimos quatro anos tenho preparado e ministrado muitos treinamentos de Auditor Líder da ISO 27001. Ao final, os participantes entendem que este é apenas o começo da jornada para alcançar o “fim da escada”, e se tornar um auditor profissional de SGSI (Sistema de Gestão de Segurança da Informação). Este treinamento não como muitos outros, onde você complete o treinamento, recebe seu certificado, e está feito – você é o maioral. O treinamento de Auditor Líder precisa mais do que isso: muita experiência, muitos enganos, e muito trabalho duro para se tornar um verdadeiro profissional em auditoria de SGSI.
Primeiro de tudo, você começará aprendendo e entendendo o significado de sistemas de gestão. Geralmente, o participante tem uma abordagem e ideias muito diferentes sobre como tais sistemas funcionam. Esta é a principal coisa se você quer continuar com o desenvolvimento de sua carreira em sistemas de gestão. É uma forma simples de se fazer negócios sob certas regras e orientações, políticas e procedimentos documentados, responsabilidades e autoridades.
Além disso, você aprenderá sobre a Estrutura de Alto Nível (High Level Structure – HLS) dos sistemas de gestão, requisitos obrigatórios, e a abordagem baseada em risco. Use este Lista de verificação de Documentos Obrigatórios Requeridos pela ISO 27001 (versão 2013) gratuito para ver documentos obrigatórios requeridos pela norma.
Ele continuará com os controles do Anexo A.
Finalmente, ao final, os participantes lidarão com técnicas de auditoria juntamente com os requisitos de auditoria para cumprir a auditoria de forma profissional.
Note que existe treinamento de Implementador Líder, que é similar ao treinamento de Auditor Líder. Contudo, existem diferenças significativas entre eles, e você pode aprender sobre elas no artigo Curso de Auditor Líder vs. Curso de Implementador Líder – Por qual optar?
Geralmente, este treinamento dura cinco dias, com o exame no último dia, que é obrigatório para obter o certificado. Os exames podem variar entre provedores de treinamento.
O treinamento é organizado mais ou menos como se segue (e pode diferir com base no provedor de treinamento):
Dia 1 – Introdução da ISO 27001:2013, princípios básicos, definições e entendimento do SGSI como um ambiente complexo, considerando uma abordagem baseada em risco (i.e., resultados de avaliações de risco são entradas para a implementação de certos controles).
Dia 2 – O treinamento continua com o esclarecimento dos requisitos da ISO 27001:2013 seguido por explicação do Anexo A – Objetivos de controle e controles de referência. O Anexo A consiste de 14 domínios e 114 controles. Nesta sessão os participantes entenderão a Declaração de aplicabilidade (Statement of Applicability – SoA) e como identificar exclusões. Leia o artigo Visão geral do Anexo A da ISO 27001:2013 para se familiarizar com o Anexo A.
Dia 3 – Inicia com definições de auditoria, planejamento de auditoria e preparação de auditoria, competência e responsabilidades dos Auditores Líderes. Ele continua com princípios éticos e comportamento profissional (pessoal), conhecimento e habilidades de Auditores Líderes.
Dia 4 – Os seguinte tópicos serão atividades de auditoria cobertas: uso de listas de verificação, reuniões de abertura e análise crítica inicial dos documentos, coleta e verificação de informações juntamente com técnicas de auditoria, como escolher a equipe de auditoria e lidar com reuniões da equipe de auditoria, como identificar e avaliar constatações de auditoria (como não conformidades), observações e boas práticas, e o processo para comunica-las para o auditado (usando evidências objetivas).
Dia 5 – O último dia cobre o julgamento e reporte das constatações de auditoria, como realizar a reunião de encerramento, como preparar e distribuir o relatório de auditoria, como completar a auditoria e definir requisitos para acompanhamento (follow-up) de auditorias, como preparar um sumário com pontos chave de aprendizado e objetivos, como documentar o retorno dos participantes e – o exame final.
Durante este treinamento você terá (no mínimo) três sessões de atividades por dia, seguindo tópicos da agenda. Esteja preparado para participar ativamente nos workshops, uma vez que será muito útil para entender a vida real dentro do SGSI. Workshops de Auditores ajudarão você a se comportar a fazer questionamentos de uma forma profissional, assim como a forma de praticar escuta ativa.
A coisa mais importante é dar uma chance aos princípios do Sistema de Gestão de Segurança da Informação e acreditar que ele traz benefícios e valor para qualquer organização. É uma vantagem ter habilidades em TIC, um papel de gestão anterior, e participação em Sistemas de Segurança da Informação como parte do envolvimento profissional.
Acontece que tive participantes que não acreditavam nestes princípios, e participavam apenas porque seus chefes ou suas organizações precisavam de um empregado com o certificado. É muito difícil lidar com este tipo de pessoa, tentando ensiná-los e atingir o nível de conhecimento e crença de que este sistema pode ajudar qualquer organização a ter sucesso e obter o máximo do SGSI. Se você faz parte deste grupo – apenas abra sua mente, escute seu instrutor, e identifique requisitos aplicáveis ao seu SGSI. Ao invés de se esforçar para encontrar fatos contra, tente se concentrar em fatos que irão ajudar na melhoria de seu SGSI. Confie em mim: isto ajudará você e entender e atingir os mais altos níveis de benefícios deste treinamento.
Você estará elegível para seguir em frente com sua carreia profissional em implementações, operações e consultoria em segurança da informação, e na área de auditoria do SGSI. Este será um ponto de partida para sua futura promoção, capacidade e conhecimento para ter sucesso no mundo da segurança da informação e para ser parte da comunidade de auditoria. Auditores de SGSI são bem reconhecidos e necessários no século 21, uma vez que esta é a era da informação. Porque ter a informação certa no momento certo leva ao sucesso (assim como à destruição se em mão erradas), nós precisamos protegê-la da melhor forma possível. Auditoria do SGSI é obrigatória e Auditores Líderes (Internos) são as posições mais requeridas.
Por que não frequentar o curso completamente grátis? Você pode fazer isso com este curso gratuito ISO 27001 Lead Auditor course.
Nós agradecemos a Rhand Leal pela tradução para o português.