outubro 11, 2016
Recentemente, a ISO (International Standardization Organization) atualizou a ISO 9001, ISO 14001 e a ISO 27001 para tornar mais fácil usá-las em conjunto. Mas, como elas interagem com práticas for a do mundo ISO?
Este artigo apresentará como a ISO 27001 pode ser usada com os frameworks COSO e COBIT para reduzir o esforço administrativo e aumentar os benefícios que cada um deles pode trazer às organizações.
O que é o COSO?
COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma iniciativa conjunta apoiada por cinco organizações do setor privado nos Estados Unidos para combater fraudes corporativas.
O framework COSO, atualmente na versão 2013, apoia gestores, conselhos de administração, e outras parte interessadas relevantes, desde o nível mais alto “entidade” até o mais baixo nível “função”, no entendimento sobre o que constitui um sistema de controle interno e quando um controle interno está sendo eficaz. Ele faz isso definindo 17 princípios de controle para atingir:
- Eficácia e eficiência das operações da organização
- Confiabilidade, oportunidade e transparência dos relatórios
- Aderência a leis e regulamentações
Os 17 princípios de controle estão divididos nestes componentes:
- Ambiente de controle: normas, processos e estrutura para a execução do controle interno;
- Avaliação de risco: processo para identificação e avaliação dos riscos para o atingimento dos objetivos;
- Atividades de controle: ações para assegurar que as diretivas da gestão estão sendo executadas;
- Informação & comunicação: informação para apoiar os componentes do controle interno e comunicação para continuamente prover, compartilhar e obter a informação necessária;
- Atividades de monitoramento: avaliação para verificar se cada componente e controle está presente e funcionando.
Para lidar com a velocidade da dinâmica do negócio e necessidade por respostas rápidas, o COSO enfatiza o julgamento e o bom senso da administração, sobre rigorosa aderência a políticas e procedimentos, para a tomada de decisão. Isto requer das partes interessadas um profundo entendimento do contexto organizacional para:
- Determinar quanto controle é o suficiente
- Selecionar, desenvolver e implementar controles em uma base diária
- Monitorar e avaliar a eficácia dos controles
O que é o COBIT?
COBIT (Control Objectives for Information and Related Technologies) é um framework para gestão e governança de TI sob responsabilidade do ISACA (Information Systems Audit and Control Association). Ele prove controle implementáveis para tecnologia da informação, organizados em processos relacionados a TI, que apoiam o cumprimento destes requisitos de negócio:
- Uso eficaz da informação, considerando relevância, tempo e condições de entrega
- Alocação eficiente de recursos
- Confidencialidade, para proteger a informação contra acesso e divulgação não autorizada
- Integridade do conteúdo da informação
- Disponibilidade quando demandada pelos processos do negócio
- Conformidade com requisitos legais
- Confiabilidade da informação usada para a tomada de decisão
O framework de processos do COBIT, atualmente na quinta versão, publicada em 2012, está dividido em quatro domínios:
- Planejar e organizar: o uso da TI para ajudar a organização a atingir seus objetivos;
- Adquirir e implementar: a aquisição de soluções de TI, a integração delas com os processos de negócio, e a manutenção requerida para assegurar que estas soluções se mantenham atendendo as necessidades de negócio;
- Entregar e suportar: foca na execução das aplicações e seus resultados de uma forma eficaz e eficiente; ele também cobre necessidades de segurança e treinamento;
- Monitorar e avaliar: provê garantia de que as soluções de TI estão atingindo seus objetivos e que estão em conformidade com as questões legais.
Para cada processo, o COBIT define entradas, saídas, atividades chave, objetivos, e medidas de desempenho. Embora o COBIT tenha mais detalhes em termos de processos, ainda faltam detalhes técnicos para apoiar a implementação.
E sobre a ISO 27001?
A ISO 27001 é a norma ISO que descreve como gerir a segurança da informação em uma organização. Ela consiste de 11 cláusulas na parte principal, e 114 controles de segurança agrupados em 14 seções no Anexo A. As cláusulas da parte principal da norma ISO 27001:2013 são:
- 4 – Contexto da organização
- 5 – Liderança
- 6 – Planejamento
- 7 – Suporte
- 8 – Operação
- 9 – Avaliação do desempenho
- 10 – Melhoria contínua
O Anexo A da ISO 27001:2013 cobre controles relacionados a estrutura organizacional (física e lógica), recursos humanos, tecnologia da informação, gestão de fornecedores, etc.
Para informações detalhadas, leia: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.
Uma das limitações da ISO 27001 é que ela não prove detalhes sobre o que fazer para atender os requisitos ou implementar controles, apenas o que você precisa atingir. Para detalhes, você pode usar a ISO 27002 como guia. Para mais informação, leia: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.
Como a ISO 27001 pode interagir com o COSO e COBIT?
Basicamente, o COSO, COBIT, e a ISO 27001 têm estes aspectos em comum:
- Dirigidos por objetivos. Enquanto o COSO e o COBIT possuem objetivos claramente definidos, a ISO 27001 requer que os objetivos de segurança da informação sejam definidos por cada organização de acordo com seu contexto em termos de confidencialidade, integridade e disponibilidade, para assegurar que a os processos de segurança e da organização estejam integrados.
- Orientados a processos. Todos os três frameworks fazem uso de uma abordagem de processo para organizar suas atividades, e isto pode ser usado para formar uma visão sistêmica de como eles podem interagir.
- Uso de controles. Enquanto que com o COSO os controles são mais genéricos, com o objetivo de cobrir tantos processos de negócio quanto possível, o COBIT reduz seu escopo para as tecnologias da informação, e a ISO 27001 para a segurança da informação. Isto resulta em oportunidades para sobrepô-los e otimizar as ações.
A relação entre eles pode ser vista como:
Figura 1: Relação entre o COSO, COBIT, e a ISO 27001
Aqui está como eu resumiria uma possível relação entre estes três frameworks:
“Confiabilidade do reporte” (COSO), suportado pelo “uso eficaz da informação” (COBIT) e controle de “integridade” e “disponibilidade” (ISO 27001).
Esta relação clara simplifica enormemente o trabalho de mostrar como a segurança da informação pode ser integrada ao negócio, não apenas em um nível operacional, mas até os mais altos níveis, incluindo através de outros processos organizacionais.
O todo é maior do que a soma de suas partes
Quando fazemos duas ou mais coisas trabalhem em conjunto de uma forma que resulta em um efeito maior do que a soma de cada contribuição individual, nós temos sinergia; e, ao entender quais aspectos da ISO 27001 podem ser usados para apoiar outros frameworks organizacionais, como o COSO e o COBIT, podemos descobrir novas formas de otimizar nossos recursos e, ao mesmo tempo, melhorar a segurança e o desempenho do negócio.
Para aprender mais sobre os requisitos da ISO 27001 e facilitar o processo de integração com outros frameworks, tente nosso treinamento online gratuito: ISO 27001:2013 Foundations Course.