Treinamento de Auditor Interno da ISO 27001 – Ele é bom para a minha carreira?

Com os processos de negócio sob constante pressão de gestores, clientes e outras partes interessadas, proteger a informação exatamente como solicitado por meio de especificações técnicas, requisitos legais ou objetivos de negócio, e a maior complexidade e sofisticação das operações, o uso de conhecimentos de auditoria em segurança da informação está se tornando um ponto crítico para agregar valor para as organizações, e esta é uma grande oportunidade para desenvolvimento profissional.

Neste artigo mostrarei a você como o conhecimento de auditoria interna da ISO 27001 pode ajudar a impulsionar a carreira de um profissional, como uma ferramenta para promover segurança ada informação adequada, e melhor controle e melhoria contínua dos processos do negócio; eu também mostrarei a você os meios pelos quais você pode obter este conhecimento.

O que é a auditoria interna da ISO 27001?

Uma auditoria é um processo de coleta para obtenção e avaliação de evidência (informação que é relevante e verificável) para determinar a extensão em que os critérios de auditoria (e.g., um conjunto de políticas, procedimentos ou requisitos) são atendidos. O termo “interna” significa que a auditoria é realizada dentro dos limites e regras da própria organização, não envolvendo partes externais tais como clientes, fornecedores ou organismos de certificação.

Especificamente, para uma auditoria interna da ISO 27001, seus resultados ajudam a alta administração a responder três questões:

  1. A organização está em conformidade como todos os requisitos considerados relevantes (e.g., objetivos de negócio, necessidades de clientes e leis)?
  2. As salvaguardas de segurança da informação estão sendo adequadamente executadas (e.g., no momento certo, pelas pessoas certas e da forma certa)?
  3. Os resultados esperados da segurança da informação estão sendo atingidos (e.g., menos quedas de sistemas, aumento da receita, etc.)?

De acordo com a norma ISO 27001, o processo de auditoria interna deve ser sistemático, i.e., planejado, executado, verificado e melhorado, de forma definida e bem conhecida, com pessoal treinado adequadamente, seja internamente ou por meio de treinamento pessoal externo contratado.

Para mais informações sobre treinamento de auditoria, leia este artigo: Qualificações para um auditor interno da ISO 27001.

Benefício da auditoria interna

Muito embora o processo de auditoria interna da ISO 27001 possa ser considerado apenas como mais um controle, e em alguns casos até mesmo uma perda de tempo (veja este artigo para mais informações: Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2), os benefícios que ele pode entregar quando executado de forma adequada são maiores do que os custos potenciais, tanto para a organização quanto para o auditor.

Durante a implementação da ISO 27001, o conhecimento de auditoria pode ajudar a organização a identificar o que precisa ser feito para estar em conformidade com a norma, minimizando os custos de implementação ao evitar retrabalho e a criação de controles desnecessários. Em adição aos requisitos da norma, ele pode ajudar na avaliação dos contratos de clientes e fornecedores, assim como na avaliação de regulamentações e leis aplicáveis, assegurando que os requisitos de segurança da informação estabelecidos nestes também sejam considerados no Sistema de Gestão de Segurança da Informação (SGSI).

Durante atividades de auditoria interna, o conhecimento de auditoria interna pode prover benefício como:

  • Melhoria no plano de tratamento de risco: com um melhor entendimento de não conformidades potenciais e de oportunidades de melhoria, as pessoas que executam o processo podem agir mais preventivamente, através do plano de tratamento de riscos, para prevenir problemas menores de se tornarem não conformidades.
  • Redução dos custos de auditoria interna: um dos critérios para definir o programa de auditoria é o resultado das auditorias anteriores. Caso um processo tenha demonstrado ser capaz de identificar e tratar adequadamente não conformidades por conta própria (poucas ou nenhuma não conformidade identificada pela auditoria interna, além daquelas já identificadas e tratadas pelas pessoas que executam o processo auditado), a frequência com a qual o processo deve ser auditado pode ser reduzida.

E para auditores de segurança da informação, o conhecimento de auditoria pode prover boas ideias sobre como elaborar e aplicar checklists de segurança para avaliar a conformidade e desempenho de processos. Isto tornará o trabalho deles mais fácil e direcionado a objetivos, aumentando as chances da organização de identificar problemas e oportunidades de melhoria e trata-las adequadamente. Para mais informações sobre sobre checklists de segurança, leia este artigo: Como fazer uma Lista de Verificação para Auditoria Interna da ISO 27001 / ISO 22301.

E para outros profissionais de segurança da informação (e.g., administradores de sistemas, gerentes de incidente, etc.), o conhecimento de auditoria pode prover a eles um diferencial profissional em termos de reconhecimento organizacional e conhecimento sistêmico dos processos do negócio.

Obtendo conhecimento de auditoria interna

Muito embora este conhecimento possa ser obtido através de auto estudo (e.g., leitura de livros e artigos) e pela observação de uma auditoria (quando autorizada pela organização), participar de um curso (provido pela organização ou por um terceiro) é a forma mais recomendada de se aprender sobre auditoria interna. Isto porque a norma requer evidências de treinamento, e a menos que você tenha um considerável número de horas de auditoria, participar de um curso é a forma mais eficaz de se obter a evidência (o certificado) sobre o conhecimento.

Para informações sobre treinamentos e provedores certificados, leia estes artigos: Como aprender sobre a ISO 27001 e a BS 25999-2 e Acreditação vs. certificação vs. registro no mundo ISO.

Aumente seu conjunto de ferramentas de conhecimento disponível

É mais fácil fazer as coisas certas quando você entende as regas do jogo. Ao aprender como realizar adequadamente uma auditoria interna da ISO 27001, você basicamente entenderá o processo e critérios usados para ajudar a organização a decidir se as medidas para proteger a informação estão bem planejadas, implementadas, avaliadas e melhoradas para atingir os resultados esperados. Adicionalmente, este conhecimento pode ter um grande impacto positivo em sua carreira, com novas oportunidades e desafios.

Assim, mesmo que você não esteja considerando se tornar um auditor interno, pense sobre aprender como este processo é executado. Se adequadamente aplicado, seus métodos e práticas podem trazer a você e a sua organização mitos benefícios na implementação e manutenção do SGSI.

Para aprender sobre o processo de auditoria interna, por favor veja este curso online gratuito: ISO 27001:2013 Internal Auditor Course.

Nós agradecemos a Rhand Leal pela tradução para o português.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.