CISA vs. Certificação Auditor Líder ISO 27001

Em um post anterior, falei sobre certificações pessoais ajudando a organização a estar em conformidade com a cláusula 7.2 da ISO 27001 (veja este post Como certificações pessoais podem ajudar o SGSI de sua organização). No post de hoje, mostrarei a você duas certificações pessoais específicas (CISA e Auditor Líder ISO 27001) e como elas podem ser usadas em conjunto para ajudar a melhorar a eficácia de uma das mais críticas etapas do Sistema de Gestão de Segurança da Informação: a auditoria do SGSI.

Para profissionais que têm reservas quanto aos méritos de certificações pessoais, tente ver este artigo pelo lado da obtenção de conhecimento, desconsiderando aspectos do processo de certificação. O principal ponto deste artigo é mostrar o conhecimento envolvido nestas certificações. Então, vamos a elas.

Uma visão geral da auditoria

O objetivo de uma auditoria é identificar e avaliar evidências para se determinar em que grau os critérios de auditoria estão sendo atendidos. Para fazer isso, você precisa de três coisas:

  1. Um processo sistemático de auditoria, para assegurar que todas as entradas de auditoria necessárias são consideradas e que os resultados da auditoria são sólidos e confiáveis, e podem apoiar os objetivos da auditoria;
  2. Conhecimento do alvo da auditoria (processo, produto ou serviço) e dos critérios de auditoria, para assegurar que etapas críticas do processo, ou componentes críticos do produto / serviço, são auditados adequadamente; e
  3. Experiência relacionada a prática de auditoria, uma vez que até mesmo os melhores planejamentos podem ser arruinados por eventos não previstos, ou por mudanças feitas pelo cliente / auditado durante a auditoria, e a auditoria ainda precisa entregar seus resultados propostos.

Assim, como certificações de auditor, especificamente a CISA e a Auditor Líder ISO 27001 Lead Auditor, ajudam você nesta situação?

Auditor de Sistemas de Informação Certificado (Certified Information System Auditor – CISA)

Concedida pela ISACA, uma associação independente sem fins lucrativos que advoga por profissionais envolvidos em segurança da informação, garantia, gestão de riscos e governança, a designação CISA reconhece profissionais que demonstraram experiência, habilidades e conhecimento para auditar sistemas de informação, considerando:

  1. O processo de auditoria de sistemas de informação
  2. A estrutura e processos de governança e gestão de TI
  3. O processo de aquisição, desenvolvimento e implementação de sistemas de informação
  4. A operação, manutenção e suporte a sistemas de informação
  5. A proteção de ativos de informação (políticas, normas, procedimentos e controles)

Auditor Líder ISO 27001 Certificado

Não sendo concedida por uma entidade específica, mas requerida para auditores trabalhando para organismos de certificação como o BSI, AENOR, SGS, Bureau Veritas, etc., a certificação Auditor Líder ISO 27001 reconhece auditores especializados em sistemas de gestão de segurança da informação (SGSI) baseados nas normas ISO/IEC 27001 e ISO/IEC 19011. Além disso, detentores desta certificação são reconhecidos por possuírem a competência necessária para gerenciar equipes de auditores pela aplicação de princípios, procedimentos e técnicas de auditoria amplamente reconhecidas. O corpo de conhecimento essencial para esta certificação considera:

  1. Princípios e conceitos fundamentais de segurança da informação
  2. Sistema de Gestão de Segurança da Informação (SGSI)
  3. Conceitos e princípios fundamentais de auditoria
  4. O processo de auditoria da ISO 27001 (preparação, realização e encerramento)
  5. A gestão do programa de auditoria da ISO 27001

Similaridades e diferenças

Por serem certificações de auditoria, ambas requerem, obviamente, conhecimentos relacionados a um processo de auditoria, permitindo a um indivíduo usar de forma eficaz uma referência definida para avaliar processos e reportar a situação de conformidade de uma organização. Neste ponto, a diferença entre estas duas certificações é que enquanto a de Auditor Líder da ISO 27001 foca na norma ISO 27001, a CISA está mais orientada a frameworks de TI, como ITIL e COBIT, opor exemplo.

Outra diferença significativa é que enquanto a certificação de Auditor Líder da ISO 27001 cobre todos os processos relacionados a um sistema de gestão de segurança da informação, e os controles do Anexo A da norma, a CISA é mais focada em aspectos relacionados a sistemas de informação. Por exemplo, a CISA não oferece muitos detalhes relacionados a Segurança de Recursos Humanos (Anexo A.7 da norma), ou Segurança Física (Anexo A.11). Por outro lado, ela prove informação detalhada sobre práticas relacionadas aos Anexos A.6 (Organização da segurança da informação), A.8 (Gestão de ativos), A.12 (Segurança das operações) e A.14 (Aquisição, desenvolvimento e manutenção de sistemas).

E agora – por qual optar?

O uso do conhecimento obtido destas certificações dependerá de seu papel no processo de auditoria. Caso você seja o auditor, o conhecimento da CISA pode prover a você uma percepção mais profunda de aspectos de sistemas de informação que podem tornar mais fácil para você identificar vulnerabilidades que podem comprometer o armazenamento / processamento de sistemas de informação, agregando mais valor ao seu trabalho de auditor.

Por outro lado, se você é um professional de TI, ou gestor de TI, o conhecimento de Auditor Líder da ISO 27001 pode oferecer a você uma visão melhor dos seguintes assuntos:

  • Como sistemas de informação se encaixam no contexto geral do negócio;
  • O papel dos sistemas na proteção da informação, e
  • Como outros elementos, muitos dos quais o pessoal de TI exerce pouco controle, podem afetar o desempenho dos sistemas

Todos estes aspectos podem permitir a equipe de TI trabalhar proativamente em melhorias e corrigir / proteger vulnerabilidades, ou se comunicar melhor com outras unidades organizacionais para entender / explicar seus requisitos.

O todo é mais do que a soma de suas partes – use ambas as certificações

Assim, trabalhar com o conhecimento das duas certificações pode permitir a um professional realizar uma avaliação mais profunda e precise dos impactos dos sistemas de informação no contexto do SGSI da organização. Tal abordagem pode melhorar o alinhamento entre controles de segurança (não apenas àqueles relacionados a TI) e as necessidades da organização, resultando em melhor proteção das informações, e na capacidade do SGSI em atender as estratégias e objetivos do negócio.

Para se familiarizar com o treinamento do Auditor Líder, veja este curso on-line gratuito: ISO 27001 Lead Auditor Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001