Como integrar os frameworks COSO, COBIT e ISO 27001

Recentemente, a ISO (International Standardization Organization) atualizou a ISO 9001, ISO 14001 e a ISO 27001 para tornar mais fácil usá-las em conjunto. Mas, como elas interagem com práticas for a do mundo ISO?

Este artigo apresentará como a ISO 27001 pode ser usada com os frameworks COSO e COBIT para reduzir o esforço administrativo e aumentar os benefícios que cada um deles pode trazer às organizações.

O que é o COSO?

COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma iniciativa conjunta apoiada por cinco organizações do setor privado nos Estados Unidos para combater fraudes corporativas.

O framework COSO, atualmente na versão 2013, apoia gestores, conselhos de administração, e outras parte interessadas relevantes, desde o nível mais alto “entidade” até o mais baixo nível “função”, no entendimento sobre o que constitui um sistema de controle interno e quando um controle interno está sendo eficaz. Ele faz isso definindo 17 princípios de controle para atingir:

  • Eficácia e eficiência das operações da organização
  • Confiabilidade, oportunidade e transparência dos relatórios
  • Aderência a leis e regulamentações

Os 17 princípios de controle estão divididos nestes componentes:

  • Ambiente de controle: normas, processos e estrutura para a execução do controle interno;
  • Avaliação de risco: processo para identificação e avaliação dos riscos para o atingimento dos objetivos;
  • Atividades de controle: ações para assegurar que as diretivas da gestão estão sendo executadas;
  • Informação & comunicação: informação para apoiar os componentes do controle interno e comunicação para continuamente prover, compartilhar e obter a informação necessária;
  • Atividades de monitoramento: avaliação para verificar se cada componente e controle está presente e funcionando.

Para lidar com a velocidade da dinâmica do negócio e necessidade por respostas rápidas, o COSO enfatiza o julgamento e o bom senso da administração, sobre rigorosa aderência a políticas e procedimentos, para a tomada de decisão. Isto requer das partes interessadas um profundo entendimento do contexto organizacional para:

  • Determinar quanto controle é o suficiente
  • Selecionar, desenvolver e implementar controles em uma base diária
  • Monitorar e avaliar a eficácia dos controles

O que é o COBIT?

COBIT (Control Objectives for Information and Related Technologies) é um framework para gestão e governança de TI sob responsabilidade do ISACA (Information Systems Audit and Control Association). Ele prove controle implementáveis para tecnologia da informação, organizados em processos relacionados a TI, que apoiam o cumprimento destes requisitos de negócio:

  • Uso eficaz da informação, considerando relevância, tempo e condições de entrega
  • Alocação eficiente de recursos
  • Confidencialidade, para proteger a informação contra acesso e divulgação não autorizada
  • Integridade do conteúdo da informação
  • Disponibilidade quando demandada pelos processos do negócio
  • Conformidade com requisitos legais
  • Confiabilidade da informação usada para a tomada de decisão

O framework de processos do COBIT, atualmente na quinta versão, publicada em 2012, está dividido em quatro domínios:

  • Planejar e organizar: o uso da TI para ajudar a organização a atingir seus objetivos;
  • Adquirir e implementar: a aquisição de soluções de TI, a integração delas com os processos de negócio, e a manutenção requerida para assegurar que estas soluções se mantenham atendendo as necessidades de negócio;
  • Entregar e suportar: foca na execução das aplicações e seus resultados de uma forma eficaz e eficiente; ele também cobre necessidades de segurança e treinamento;
  • Monitorar e avaliar: provê garantia de que as soluções de TI estão atingindo seus objetivos e que estão em conformidade com as questões legais.

Para cada processo, o COBIT define entradas, saídas, atividades chave, objetivos, e medidas de desempenho. Embora o COBIT tenha mais detalhes em termos de processos, ainda faltam detalhes técnicos para apoiar a implementação.

E sobre a ISO 27001?

A ISO 27001 é a norma ISO que descreve como gerir a segurança da informação em uma organização. Ela consiste de 11 cláusulas na parte principal, e 114 controles de segurança agrupados em 14 seções no Anexo A. As cláusulas da parte principal da norma ISO 27001:2013 são:

  • 4 – Contexto da organização
  • 5 – Liderança
  • 6 – Planejamento
  • 7 – Suporte
  • 8 – Operação
  • 9 – Avaliação do desempenho
  • 10 – Melhoria contínua

O Anexo A da ISO 27001:2013 cobre controles relacionados a estrutura organizacional (física e lógica), recursos humanos, tecnologia da informação, gestão de fornecedores, etc.

Para informações detalhadas, leia: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.

Uma das limitações da ISO 27001 é que ela não prove detalhes sobre o que fazer para atender os requisitos ou implementar controles, apenas o que você precisa atingir. Para detalhes, você pode usar a ISO 27002 como guia. Para mais informação, leia: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.

Como a ISO 27001 pode interagir com o COSO e COBIT?

Basicamente, o COSO, COBIT, e a ISO 27001 têm estes aspectos em comum:

  • Dirigidos por objetivos. Enquanto o COSO e o COBIT possuem objetivos claramente definidos, a ISO 27001 requer que os objetivos de segurança da informação sejam definidos por cada organização de acordo com seu contexto em termos de confidencialidade, integridade e disponibilidade, para assegurar que a os processos de segurança e da organização estejam integrados.
  • Orientados a processos. Todos os três frameworks fazem uso de uma abordagem de processo para organizar suas atividades, e isto pode ser usado para formar uma visão sistêmica de como eles podem interagir.
  • Uso de controles. Enquanto que com o COSO os controles são mais genéricos, com o objetivo de cobrir tantos processos de negócio quanto possível, o COBIT reduz seu escopo para as tecnologias da informação, e a ISO 27001 para a segurança da informação. Isto resulta em oportunidades para sobrepô-los e otimizar as ações.

A relação entre eles pode ser vista como:

Relação entre o COSO, COBIT, e a ISO 27001

Figura 1: Relação entre o COSO, COBIT, e a ISO 27001

Aqui está como eu resumiria uma possível relação entre estes três frameworks:

“Confiabilidade do reporte” (COSO), suportado pelo “uso eficaz da informação” (COBIT) e controle de “integridade” e “disponibilidade” (ISO 27001).

Esta relação clara simplifica enormemente o trabalho de mostrar como a segurança da informação pode ser integrada ao negócio, não apenas em um nível operacional, mas até os mais altos níveis, incluindo através de outros processos organizacionais.

O todo é maior do que a soma de suas partes

Quando fazemos duas ou mais coisas trabalhem em conjunto de uma forma que resulta em um efeito maior do que a soma de cada contribuição individual, nós temos sinergia; e, ao entender quais aspectos da ISO 27001 podem ser usados para apoiar outros frameworks organizacionais, como o COSO e o COBIT, podemos descobrir novas formas de otimizar nossos recursos e, ao mesmo tempo, melhorar a segurança e o desempenho do negócio.

Para aprender mais sobre os requisitos da ISO 27001 e facilitar o processo de integração com outros frameworks, tente nosso treinamento online gratuito: ISO 27001:2013 Foundations Course.

Advisera Rhand Leal
Autor
Rhand Leal

Rhand Leal has more than 15 years of experience in information security, and for six years he continuously maintained а certified Information Security Management System based on ISO 27001.


Rhand holds an MBA in Business Management from Fundação Getúlio Vargas. Among his certifications are ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), and others. He is a member of the ISACA Brasília Chapter.


Tag: #ISO 27001