• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Treinamento de Auditor Interno da ISO 27001 – Ele é bom para a minha carreira?

    Com os processos de negócio sob constante pressão de gestores, clientes e outras partes interessadas, proteger a informação exatamente como solicitado por meio de especificações técnicas, requisitos legais ou objetivos de negócio, e a maior complexidade e sofisticação das operações, o uso de conhecimentos de auditoria em segurança da informação está se tornando um ponto crítico para agregar valor para as organizações, e esta é uma grande oportunidade para desenvolvimento profissional.

    Neste artigo mostrarei a você como o conhecimento de auditoria interna da ISO 27001 pode ajudar a impulsionar a carreira de um profissional, como uma ferramenta para promover segurança ada informação adequada, e melhor controle e melhoria contínua dos processos do negócio; eu também mostrarei a você os meios pelos quais você pode obter este conhecimento.

    O que é a auditoria interna da ISO 27001?

    Uma auditoria é um processo de coleta para obtenção e avaliação de evidência (informação que é relevante e verificável) para determinar a extensão em que os critérios de auditoria (e.g., um conjunto de políticas, procedimentos ou requisitos) são atendidos. O termo “interna” significa que a auditoria é realizada dentro dos limites e regras da própria organização, não envolvendo partes externais tais como clientes, fornecedores ou organismos de certificação.

    Especificamente, para uma auditoria interna da ISO 27001, seus resultados ajudam a alta administração a responder três questões:

    1. A organização está em conformidade como todos os requisitos considerados relevantes (e.g., objetivos de negócio, necessidades de clientes e leis)?
    2. As salvaguardas de segurança da informação estão sendo adequadamente executadas (e.g., no momento certo, pelas pessoas certas e da forma certa)?
    3. Os resultados esperados da segurança da informação estão sendo atingidos (e.g., menos quedas de sistemas, aumento da receita, etc.)?

    De acordo com a norma ISO 27001, o processo de auditoria interna deve ser sistemático, i.e., planejado, executado, verificado e melhorado, de forma definida e bem conhecida, com pessoal treinado adequadamente, seja internamente ou por meio de treinamento pessoal externo contratado.

    Para mais informações sobre treinamento de auditoria, leia este artigo: Qualificações para um auditor interno da ISO 27001.

    Benefício da auditoria interna

    Muito embora o processo de auditoria interna da ISO 27001 possa ser considerado apenas como mais um controle, e em alguns casos até mesmo uma perda de tempo (veja este artigo para mais informações: Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2), os benefícios que ele pode entregar quando executado de forma adequada são maiores do que os custos potenciais, tanto para a organização quanto para o auditor.

    Durante a implementação da ISO 27001, o conhecimento de auditoria pode ajudar a organização a identificar o que precisa ser feito para estar em conformidade com a norma, minimizando os custos de implementação ao evitar retrabalho e a criação de controles desnecessários. Em adição aos requisitos da norma, ele pode ajudar na avaliação dos contratos de clientes e fornecedores, assim como na avaliação de regulamentações e leis aplicáveis, assegurando que os requisitos de segurança da informação estabelecidos nestes também sejam considerados no Sistema de Gestão de Segurança da Informação (SGSI).

    Durante atividades de auditoria interna, o conhecimento de auditoria interna pode prover benefício como:

    • Melhoria no plano de tratamento de risco: com um melhor entendimento de não conformidades potenciais e de oportunidades de melhoria, as pessoas que executam o processo podem agir mais preventivamente, através do plano de tratamento de riscos, para prevenir problemas menores de se tornarem não conformidades.
    • Redução dos custos de auditoria interna: um dos critérios para definir o programa de auditoria é o resultado das auditorias anteriores. Caso um processo tenha demonstrado ser capaz de identificar e tratar adequadamente não conformidades por conta própria (poucas ou nenhuma não conformidade identificada pela auditoria interna, além daquelas já identificadas e tratadas pelas pessoas que executam o processo auditado), a frequência com a qual o processo deve ser auditado pode ser reduzida.

    E para auditores de segurança da informação, o conhecimento de auditoria pode prover boas ideias sobre como elaborar e aplicar checklists de segurança para avaliar a conformidade e desempenho de processos. Isto tornará o trabalho deles mais fácil e direcionado a objetivos, aumentando as chances da organização de identificar problemas e oportunidades de melhoria e trata-las adequadamente. Para mais informações sobre sobre checklists de segurança, leia este artigo: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

    E para outros profissionais de segurança da informação (e.g., administradores de sistemas, gerentes de incidente, etc.), o conhecimento de auditoria pode prover a eles um diferencial profissional em termos de reconhecimento organizacional e conhecimento sistêmico dos processos do negócio.

    Obtendo conhecimento de auditoria interna

    Muito embora este conhecimento possa ser obtido através de auto estudo (e.g., leitura de livros e artigos) e pela observação de uma auditoria (quando autorizada pela organização), participar de um curso (provido pela organização ou por um terceiro) é a forma mais recomendada de se aprender sobre auditoria interna. Isto porque a norma requer evidências de treinamento, e a menos que você tenha um considerável número de horas de auditoria, participar de um curso é a forma mais eficaz de se obter a evidência (o certificado) sobre o conhecimento.

    Para informações sobre treinamentos e provedores certificados, leia estes artigos: Como aprender sobre a ISO 27001 e a BS 25999-2 e Acreditação vs. certificação vs. registro no mundo ISO.

    Aumente seu conjunto de ferramentas de conhecimento disponível

    É mais fácil fazer as coisas certas quando você entende as regas do jogo. Ao aprender como realizar adequadamente uma auditoria interna da ISO 27001, você basicamente entenderá o processo e critérios usados para ajudar a organização a decidir se as medidas para proteger a informação estão bem planejadas, implementadas, avaliadas e melhoradas para atingir os resultados esperados. Adicionalmente, este conhecimento pode ter um grande impacto positivo em sua carreira, com novas oportunidades e desafios.

    Assim, mesmo que você não esteja considerando se tornar um auditor interno, pense sobre aprender como este processo é executado. Se adequadamente aplicado, seus métodos e práticas podem trazer a você e a sua organização mitos benefícios na implementação e manutenção do SGSI.

    Para aprender sobre o processo de auditoria interna, por favor veja este curso online gratuito: ISO 27001:2013 Internal Auditor Course.

    Nós agradecemos a Rhand Leal pela tradução para o português.

    Advisera Rhand Leal
    Autor
    Rhand Leal
    Rhand Leal tem 10 anos de experiência em segurança da informação, e por 6 anos manteve um sistema de gestão de segurança da informação baseado na ISO 27001. Rhand possui uma especialização em Gestão de Negócios pela Fundação Getúlio Vargas. Entre suas certificações estão: ISO 27001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), entre outras. Ele é membro do Capítulo Brasília do ISACA.