Como integrar os frameworks COSO, COBIT e ISO 27001

Recentemente, a ISO (International Standardization Organization) atualizou a ISO 9001, ISO 14001 e a ISO 27001 para tornar mais fácil usá-las em conjunto. Mas, como elas interagem com práticas for a do mundo ISO?

Este artigo apresentará como a ISO 27001 pode ser usada com os frameworks COSO e COBIT para reduzir o esforço administrativo e aumentar os benefícios que cada um deles pode trazer às organizações.

O que é o COSO?

COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma iniciativa conjunta apoiada por cinco organizações do setor privado nos Estados Unidos para combater fraudes corporativas.

O framework COSO, atualmente na versão 2013, apoia gestores, conselhos de administração, e outras parte interessadas relevantes, desde o nível mais alto “entidade” até o mais baixo nível “função”, no entendimento sobre o que constitui um sistema de controle interno e quando um controle interno está sendo eficaz. Ele faz isso definindo 17 princípios de controle para atingir:

• Eficácia e eficiência das operações da organização
• Confiabilidade, oportunidade e transparência dos relatórios
• Aderência a leis e regulamentações

Os 17 princípios de controle estão divididos nestes componentes:

• Ambiente de controle: normas, processos e estrutura para a execução do controle interno;
• Avaliação de risco: processo para identificação e avaliação dos riscos para o atingimento dos objetivos;
• Atividades de controle: ações para assegurar que as diretivas da gestão estão sendo executadas;
• Informação & comunicação: informação para apoiar os componentes do controle interno e comunicação para continuamente prover, compartilhar e obter a informação necessária;
• Atividades de monitoramento: avaliação para verificar se cada componente e controle está presente e funcionando.

Para lidar com a velocidade da dinâmica do negócio e necessidade por respostas rápidas, o COSO enfatiza o julgamento e o bom senso da administração, sobre rigorosa aderência a políticas e procedimentos, para a tomada de decisão. Isto requer das partes interessadas um profundo entendimento do contexto organizacional para:

• Determinar quanto controle é o suficiente
• Selecionar, desenvolver e implementar controles em uma base diária
• Monitorar e avaliar a eficácia dos controles

O que é o COBIT?

COBIT (Control Objectives for Information and Related Technologies) é um framework para gestão e governança de TI sob responsabilidade do ISACA (Information Systems Audit and Control Association). Ele prove controle implementáveis para tecnologia da informação, organizados em processos relacionados a TI, que apoiam o cumprimento destes requisitos de negócio:

• Uso eficaz da informação, considerando relevância, tempo e condições de entrega
• Alocação eficiente de recursos
• Confidencialidade, para proteger a informação contra acesso e divulgação não autorizada
• Integridade do conteúdo da informação
• Disponibilidade quando demandada pelos processos do negócio
• Conformidade com requisitos legais
• Confiabilidade da informação usada para a tomada de decisão

O framework de processos do COBIT, atualmente na quinta versão, publicada em 2012, está dividido em quatro domínios:

• Planejar e organizar: o uso da TI para ajudar a organização a atingir seus objetivos;
• Adquirir e implementar: a aquisição de soluções de TI, a integração delas com os processos de negócio, e a manutenção requerida para assegurar que estas soluções se mantenham atendendo as necessidades de negócio;
• Entregar e suportar: foca na execução das aplicações e seus resultados de uma forma eficaz e eficiente; ele também cobre necessidades de segurança e treinamento;
• Monitorar e avaliar: provê garantia de que as soluções de TI estão atingindo seus objetivos e que estão em conformidade com as questões legais.

Para cada processo, o COBIT define entradas, saídas, atividades chave, objetivos, e medidas de desempenho. Embora o COBIT tenha mais detalhes em termos de processos, ainda faltam detalhes técnicos para apoiar a implementação.

E sobre a ISO 27001?

A ISO 27001 é a norma ISO que descreve como gerir a segurança da informação em uma organização. Ela consiste de 11 cláusulas na parte principal, e 114 controles de segurança agrupados em 14 seções no Anexo A. As cláusulas da parte principal da norma ISO 27001:2013 são:

• 4 – Contexto da organização
• 5 – Liderança
• 6 – Planejamento
• 7 – Suporte
• 8 – Operação
• 9 – Avaliação do desempenho
• 10 – Melhoria contínua

O Anexo A da ISO 27001:2013 cobre controles relacionados a estrutura organizacional (física e lógica), recursos humanos, tecnologia da informação, gestão de fornecedores, etc.

Para informações detalhadas, leia: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.

Uma das limitações da ISO 27001 é que ela não prove detalhes sobre o que fazer para atender os requisitos ou implementar controles, apenas o que você precisa atingir. Para detalhes, você pode usar a ISO 27002 como guia. Para mais informação, leia: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.

Como a ISO 27001 pode interagir com o COSO e COBIT?

Basicamente, o COSO, COBIT, e a ISO 27001 têm estes aspectos em comum:

• Dirigidos por objetivos. Enquanto o COSO e o COBIT possuem objetivos claramente definidos, a ISO 27001 requer que os objetivos de segurança da informação sejam definidos por cada organização de acordo com seu contexto em termos de confidencialidade, integridade e disponibilidade, para assegurar que a os processos de segurança e da organização estejam integrados.
• Orientados a processos. Todos os três frameworks fazem uso de uma abordagem de processo para organizar suas atividades, e isto pode ser usado para formar uma visão sistêmica de como eles podem interagir.
• Uso de controles. Enquanto que com o COSO os controles são mais genéricos, com o objetivo de cobrir tantos processos de negócio quanto possível, o COBIT reduz seu escopo para as tecnologias da informação, e a ISO 27001 para a segurança da informação. Isto resulta em oportunidades para sobrepô-los e otimizar as ações.

A relação entre eles pode ser vista como:

Figura 1: Relação entre o COSO, COBIT, e a ISO 27001

Aqui está como eu resumiria uma possível relação entre estes três frameworks:

“Confiabilidade do reporte” (COSO), suportado pelo “uso eficaz da informação” (COBIT) e controle de “integridade” e “disponibilidade” (ISO 27001).

Esta relação clara simplifica enormemente o trabalho de mostrar como a segurança da informação pode ser integrada ao negócio, não apenas em um nível operacional, mas até os mais altos níveis, incluindo através de outros processos organizacionais.

O todo é maior do que a soma de suas partes

Quando fazemos duas ou mais coisas trabalhem em conjunto de uma forma que resulta em um efeito maior do que a soma de cada contribuição individual, nós temos sinergia; e, ao entender quais aspectos da ISO 27001 podem ser usados para apoiar outros frameworks organizacionais, como o COSO e o COBIT, podemos descobrir novas formas de otimizar nossos recursos e, ao mesmo tempo, melhorar a segurança e o desempenho do negócio.

Para aprender mais sobre os requisitos da ISO 27001 e facilitar o processo de integração com outros frameworks, tente nosso treinamento online gratuito: ISO 27001:2013 Foundations Course.