Rhand Leal
outubro 11, 2016
Recentemente, a ISO (International Standardization Organization) atualizou a ISO 9001, ISO 14001 e a ISO 27001 para tornar mais fácil usá-las em conjunto. Mas, como elas interagem com práticas for a do mundo ISO?
Este artigo apresentará como a ISO 27001 pode ser usada com os frameworks COSO e COBIT para reduzir o esforço administrativo e aumentar os benefícios que cada um deles pode trazer às organizações.
COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma iniciativa conjunta apoiada por cinco organizações do setor privado nos Estados Unidos para combater fraudes corporativas.
O framework COSO, atualmente na versão 2013, apoia gestores, conselhos de administração, e outras parte interessadas relevantes, desde o nível mais alto “entidade” até o mais baixo nível “função”, no entendimento sobre o que constitui um sistema de controle interno e quando um controle interno está sendo eficaz. Ele faz isso definindo 17 princípios de controle para atingir:
Os 17 princípios de controle estão divididos nestes componentes:
Para lidar com a velocidade da dinâmica do negócio e necessidade por respostas rápidas, o COSO enfatiza o julgamento e o bom senso da administração, sobre rigorosa aderência a políticas e procedimentos, para a tomada de decisão. Isto requer das partes interessadas um profundo entendimento do contexto organizacional para:
COBIT (Control Objectives for Information and Related Technologies) é um framework para gestão e governança de TI sob responsabilidade do ISACA (Information Systems Audit and Control Association). Ele prove controle implementáveis para tecnologia da informação, organizados em processos relacionados a TI, que apoiam o cumprimento destes requisitos de negócio:
O framework de processos do COBIT, atualmente na quinta versão, publicada em 2012, está dividido em quatro domínios:
Para cada processo, o COBIT define entradas, saídas, atividades chave, objetivos, e medidas de desempenho. Embora o COBIT tenha mais detalhes em termos de processos, ainda faltam detalhes técnicos para apoiar a implementação.
A ISO 27001 é a norma ISO que descreve como gerir a segurança da informação em uma organização. Ela consiste de 11 cláusulas na parte principal, e 114 controles de segurança agrupados em 14 seções no Anexo A. As cláusulas da parte principal da norma ISO 27001:2013 são:
O Anexo A da ISO 27001:2013 cobre controles relacionados a estrutura organizacional (física e lógica), recursos humanos, tecnologia da informação, gestão de fornecedores, etc.
Para informações detalhadas, leia: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.
Uma das limitações da ISO 27001 é que ela não prove detalhes sobre o que fazer para atender os requisitos ou implementar controles, apenas o que você precisa atingir. Para detalhes, você pode usar a ISO 27002 como guia. Para mais informação, leia: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.
Basicamente, o COSO, COBIT, e a ISO 27001 têm estes aspectos em comum:
A relação entre eles pode ser vista como:
Figura 1: Relação entre o COSO, COBIT, e a ISO 27001
Aqui está como eu resumiria uma possível relação entre estes três frameworks:
“Confiabilidade do reporte” (COSO), suportado pelo “uso eficaz da informação” (COBIT) e controle de “integridade” e “disponibilidade” (ISO 27001).
Esta relação clara simplifica enormemente o trabalho de mostrar como a segurança da informação pode ser integrada ao negócio, não apenas em um nível operacional, mas até os mais altos níveis, incluindo através de outros processos organizacionais.
Quando fazemos duas ou mais coisas trabalhem em conjunto de uma forma que resulta em um efeito maior do que a soma de cada contribuição individual, nós temos sinergia; e, ao entender quais aspectos da ISO 27001 podem ser usados para apoiar outros frameworks organizacionais, como o COSO e o COBIT, podemos descobrir novas formas de otimizar nossos recursos e, ao mesmo tempo, melhorar a segurança e o desempenho do negócio.
Para aprender mais sobre os requisitos da ISO 27001 e facilitar o processo de integração com outros frameworks, tente nosso treinamento online gratuito: ISO 27001:2013 Foundations Course.