• (0)
    ISO-27001-ISO-22301-blog

    Blog ISO 27001 e ISO 22301

    Como integrar os frameworks COSO, COBIT e ISO 27001

    Recentemente, a ISO (International Standardization Organization) atualizou a ISO 9001, ISO 14001 e a ISO 27001 para tornar mais fácil usá-las em conjunto. Mas, como elas interagem com práticas for a do mundo ISO?

    Este artigo apresentará como a ISO 27001 pode ser usada com os frameworks COSO e COBIT para reduzir o esforço administrativo e aumentar os benefícios que cada um deles pode trazer às organizações.

    O que é o COSO?

    COSO (Committee of Sponsoring Organizations of the Treadway Commission) é uma iniciativa conjunta apoiada por cinco organizações do setor privado nos Estados Unidos para combater fraudes corporativas.

    O framework COSO, atualmente na versão 2013, apoia gestores, conselhos de administração, e outras parte interessadas relevantes, desde o nível mais alto “entidade” até o mais baixo nível “função”, no entendimento sobre o que constitui um sistema de controle interno e quando um controle interno está sendo eficaz. Ele faz isso definindo 17 princípios de controle para atingir:

    • Eficácia e eficiência das operações da organização
    • Confiabilidade, oportunidade e transparência dos relatórios
    • Aderência a leis e regulamentações

    Os 17 princípios de controle estão divididos nestes componentes:

    • Ambiente de controle: normas, processos e estrutura para a execução do controle interno;
    • Avaliação de risco: processo para identificação e avaliação dos riscos para o atingimento dos objetivos;
    • Atividades de controle: ações para assegurar que as diretivas da gestão estão sendo executadas;
    • Informação & comunicação: informação para apoiar os componentes do controle interno e comunicação para continuamente prover, compartilhar e obter a informação necessária;
    • Atividades de monitoramento: avaliação para verificar se cada componente e controle está presente e funcionando.

    Para lidar com a velocidade da dinâmica do negócio e necessidade por respostas rápidas, o COSO enfatiza o julgamento e o bom senso da administração, sobre rigorosa aderência a políticas e procedimentos, para a tomada de decisão. Isto requer das partes interessadas um profundo entendimento do contexto organizacional para:

    • Determinar quanto controle é o suficiente
    • Selecionar, desenvolver e implementar controles em uma base diária
    • Monitorar e avaliar a eficácia dos controles

    O que é o COBIT?

    COBIT (Control Objectives for Information and Related Technologies) é um framework para gestão e governança de TI sob responsabilidade do ISACA (Information Systems Audit and Control Association). Ele prove controle implementáveis para tecnologia da informação, organizados em processos relacionados a TI, que apoiam o cumprimento destes requisitos de negócio:

    • Uso eficaz da informação, considerando relevância, tempo e condições de entrega
    • Alocação eficiente de recursos
    • Confidencialidade, para proteger a informação contra acesso e divulgação não autorizada
    • Integridade do conteúdo da informação
    • Disponibilidade quando demandada pelos processos do negócio
    • Conformidade com requisitos legais
    • Confiabilidade da informação usada para a tomada de decisão

    O framework de processos do COBIT, atualmente na quinta versão, publicada em 2012, está dividido em quatro domínios:

    • Planejar e organizar: o uso da TI para ajudar a organização a atingir seus objetivos;
    • Adquirir e implementar: a aquisição de soluções de TI, a integração delas com os processos de negócio, e a manutenção requerida para assegurar que estas soluções se mantenham atendendo as necessidades de negócio;
    • Entregar e suportar: foca na execução das aplicações e seus resultados de uma forma eficaz e eficiente; ele também cobre necessidades de segurança e treinamento;
    • Monitorar e avaliar: provê garantia de que as soluções de TI estão atingindo seus objetivos e que estão em conformidade com as questões legais.

    Para cada processo, o COBIT define entradas, saídas, atividades chave, objetivos, e medidas de desempenho. Embora o COBIT tenha mais detalhes em termos de processos, ainda faltam detalhes técnicos para apoiar a implementação.

    E sobre a ISO 27001?

    A ISO 27001 é a norma ISO que descreve como gerir a segurança da informação em uma organização. Ela consiste de 11 cláusulas na parte principal, e 114 controles de segurança agrupados em 14 seções no Anexo A. As cláusulas da parte principal da norma ISO 27001:2013 são:

    • 4 – Contexto da organização
    • 5 – Liderança
    • 6 – Planejamento
    • 7 – Suporte
    • 8 – Operação
    • 9 – Avaliação do desempenho
    • 10 – Melhoria contínua

    O Anexo A da ISO 27001:2013 cobre controles relacionados a estrutura organizacional (física e lógica), recursos humanos, tecnologia da informação, gestão de fornecedores, etc.

    Para informações detalhadas, leia: Uma primeira impressão sobre a nova ISO 27001 e Visão geral do Anexo A da ISO 27001:2013.

    Uma das limitações da ISO 27001 é que ela não prove detalhes sobre o que fazer para atender os requisitos ou implementar controles, apenas o que você precisa atingir. Para detalhes, você pode usar a ISO 27002 como guia. Para mais informação, leia: Semelhanças e diferenças entre a ISO 27001 e a ISO 27002.

    Como a ISO 27001 pode interagir com o COSO e COBIT?

    Basicamente, o COSO, COBIT, e a ISO 27001 têm estes aspectos em comum:

    • Dirigidos por objetivos. Enquanto o COSO e o COBIT possuem objetivos claramente definidos, a ISO 27001 requer que os objetivos de segurança da informação sejam definidos por cada organização de acordo com seu contexto em termos de confidencialidade, integridade e disponibilidade, para assegurar que a os processos de segurança e da organização estejam integrados.
    • Orientados a processos. Todos os três frameworks fazem uso de uma abordagem de processo para organizar suas atividades, e isto pode ser usado para formar uma visão sistêmica de como eles podem interagir.
    • Uso de controles. Enquanto que com o COSO os controles são mais genéricos, com o objetivo de cobrir tantos processos de negócio quanto possível, o COBIT reduz seu escopo para as tecnologias da informação, e a ISO 27001 para a segurança da informação. Isto resulta em oportunidades para sobrepô-los e otimizar as ações.

    A relação entre eles pode ser vista como:

    Relação entre o COSO, COBIT, e a ISO 27001

    Figura 1: Relação entre o COSO, COBIT, e a ISO 27001

    Aqui está como eu resumiria uma possível relação entre estes três frameworks:

    “Confiabilidade do reporte” (COSO), suportado pelo “uso eficaz da informação” (COBIT) e controle de “integridade” e “disponibilidade” (ISO 27001).

    Esta relação clara simplifica enormemente o trabalho de mostrar como a segurança da informação pode ser integrada ao negócio, não apenas em um nível operacional, mas até os mais altos níveis, incluindo através de outros processos organizacionais.

    O todo é maior do que a soma de suas partes

    Quando fazemos duas ou mais coisas trabalhem em conjunto de uma forma que resulta em um efeito maior do que a soma de cada contribuição individual, nós temos sinergia; e, ao entender quais aspectos da ISO 27001 podem ser usados para apoiar outros frameworks organizacionais, como o COSO e o COBIT, podemos descobrir novas formas de otimizar nossos recursos e, ao mesmo tempo, melhorar a segurança e o desempenho do negócio.

    Para aprender mais sobre os requisitos da ISO 27001 e facilitar o processo de integração com outros frameworks, tente nosso treinamento online gratuito: ISO 27001:2013 Foundations Course.

    Advisera Rhand Leal
    Autor
    Rhand Leal
    Rhand Leal tem 10 anos de experiência em segurança da informação, e por 6 anos manteve um sistema de gestão de segurança da informação baseado na ISO 27001. Rhand possui uma especialização em Gestão de Negócios pela Fundação Getúlio Vargas. Entre suas certificações estão: ISO 27001 Lead Auditor, Certified Information Security Manager (CISM), Certified Information Systems Security Professional (CISSP), entre outras. Ele é membro do Capítulo Brasília do ISACA.
    Tag: #ISO 27001