Frequentemente vejo pessoas procurando por listas de verificação para a ISO 27001 ou ISO 22301 para realizar a auditoria interna; contudo, elas esperam que estas listas os ajudem com, por exemplo, quais informações a organização tem, quem tem acesso a elas, como elas são protegidas, quão confidencial elas são, etc.
O problema é – estas coisas não são parte de uma auditoria interna; são parte da avaliação de riscos.
O propósito da avaliação de riscos
O propósito da avaliação de riscos é encontrar quais problemas podem acontecer as suas informações e/ou operações – isto é, o que pode por em risco a confidencialidade, integridade e disponibilidade de sua informação, ou o que pode ameaçar a continuidade de suas operações.
Como parte da avaliação de riscos você tem que fazer o seguinte:
- Identificar todos os riscos relacionados a sua informação
- Identificar os proprietários dos riscos
- Avaliar o impacto e a probabilidade dos riscos
- Determinar o nível dos riscos
- Decidir se o risco precisa ser tratado ou não
A avaliação de risco é parte do processo de gestão de riscos, e é a parte crucial da implementação da ISO 27001 e ISO 22301 – veja este artigo pata um explanação: A lógica básica da ISO 27001: Como a segurança da informação funciona?
Consequentemente, a avaliação de risco precisa ser feita no início do projeto da ISO 27001, enquanto que a auditoria interna é feita somente após a implementação ter sido concluída. Veja também: Como organizar a avaliação de riscos inicial de acordo com a ISO 27001 e ISO 22301.
Como a auditoria interna é diferente?
A auditoria interna, por outro lado, nada mais é do que fazer uma lista de todas a regras e requisitos e identificar se estas regras e requisitos estão sendo atendidos.
Tipicamente, regras e requisitos são os seguintes:
- Requisitos da ISO 27001, ISO 22301 (ou qualquer outra norma ISO)
- Requisitos de partes interessadas (veja: Como identificar partes interessadas de acordo com a ISO 27001 e ISO 22301)
- Regras definidas pelas próprias políticas e procedimentos da organização
Ao realizar uma auditoria interna, você precisa verificar se cada uma de todas as regras e requisitos estão sendo atendidos, em todo o escopo do seu sistema de gestão de segurança da informação ou sistema de gestão de continuidade de negócio.
Isto é feito por meio do uso de várias técnicas:
- Exame de todos os documentos e registros
- Entrevistas com empregados
- Observações pessoais (e.g., caminhando pelas instalações)
Veja também: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.
As principais diferenças entre as duas
Então, eu diria que uma das principais diferenças é o mentalidade: avaliação de risco tem em mente coisas (potenciais) que poderiam ocorrer no futuro, enquanto que a auditoria interna lida com como as coisas foram feitas no passado.
A segunda maior diferença é que a auditoria interna foca na conformidade com várias regras e requisitos, enquanto que a avaliação de risco nada mais é do que uma análise que provê uma base para a definição de certas regras.
A terceira diferença é que a avaliação de risco é feita antes de você iniciar a aplicação de controles de segurança, enquanto que a auditoria interna é realizada uma vez que estes já tenham sido implementados.
Não estou dizendo que uma é mais importante do que a outra – elas são ambas cruciais para a construção de sua segurança da informação e/ou continuidade de negócio. Contudo, elas tem uma coisa em comum: ambas são frequentemente negligenciadas em organizações porque são percebidas apenas como um exercício burocrático; mas isto é um tópico para um outro post deste blog…
Clique aqui para ver uma amostra da Checklist de auditoria interna para ver quão diferente ela é da Tabela de avaliação de riscos.
Nós agradecemos a Rhand Leal pela tradução para o português.