{"id":10296,"date":"2016-10-11T16:34:16","date_gmt":"2016-10-11T16:34:16","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/?p=10296"},"modified":"2022-12-29T08:29:07","modified_gmt":"2022-12-29T08:29:07","slug":"como-integrar-os-frameworks-coso-cobit-e-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2016\/10\/11\/como-integrar-os-frameworks-coso-cobit-e-iso-27001\/","title":{"rendered":"Como integrar os frameworks COSO, COBIT e ISO 27001"},"content":{"rendered":"<p>Recentemente, a ISO (International Standardization Organization) atualizou a <a title=\"ISO 9001\" href=\"https:\/\/advisera.com\/9001academy\/pt-br\/o-que-e-a-iso-9001\/\">ISO 9001<\/a>, <a title=\"ISO 14001\" href=\"https:\/\/advisera.com\/14001academy\/pt-br\/o-que-e-a-iso-14001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 14001<\/a> e a <a title=\"ISO 27001\" href=\"https:\/\/advisera.com\/27001academy\/pt-br\/o-que-e-a-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a> para tornar mais f\u00e1cil us\u00e1-las em conjunto. Mas, como elas interagem com pr\u00e1ticas for a do mundo ISO?<\/p>\n<p>Este artigo apresentar\u00e1 como a ISO 27001 pode ser usada com os frameworks COSO e COBIT para reduzir o esfor\u00e7o administrativo e aumentar os benef\u00edcios que cada um deles pode trazer \u00e0s organiza\u00e7\u00f5es.<\/p>\n<h2>O que \u00e9 o COSO?<\/h2>\n<p>COSO (Committee of Sponsoring Organizations of the Treadway Commission) \u00e9 uma iniciativa conjunta apoiada por cinco organiza\u00e7\u00f5es do setor privado nos Estados Unidos para combater fraudes corporativas.<\/p>\n<p>O framework COSO, atualmente na vers\u00e3o 2013, apoia gestores, conselhos de administra\u00e7\u00e3o, e outras parte interessadas relevantes, desde o n\u00edvel mais alto \u201centidade\u201d at\u00e9 o mais baixo n\u00edvel \u201cfun\u00e7\u00e3o\u201d, no entendimento sobre o que constitui um sistema de controle interno e quando um controle interno est\u00e1 sendo eficaz. Ele faz isso definindo 17 princ\u00edpios de controle para atingir:<\/p>\n<ul>\n<li>Efic\u00e1cia e efici\u00eancia das opera\u00e7\u00f5es da organiza\u00e7\u00e3o<\/li>\n<li>Confiabilidade, oportunidade e transpar\u00eancia dos relat\u00f3rios<\/li>\n<li>Ader\u00eancia a leis e regulamenta\u00e7\u00f5es<\/li>\n<\/ul>\n<p>Os 17 princ\u00edpios de controle est\u00e3o divididos nestes componentes:<\/p>\n<ul>\n<li>Ambiente de controle: normas, processos e estrutura para a execu\u00e7\u00e3o do controle interno;<\/li>\n<li>Avalia\u00e7\u00e3o de risco: processo para identifica\u00e7\u00e3o e avalia\u00e7\u00e3o dos riscos para o atingimento dos objetivos;<\/li>\n<li>Atividades de controle: a\u00e7\u00f5es para assegurar que as diretivas da gest\u00e3o est\u00e3o sendo executadas;<\/li>\n<li>Informa\u00e7\u00e3o &amp; comunica\u00e7\u00e3o: informa\u00e7\u00e3o para apoiar os componentes do controle interno e comunica\u00e7\u00e3o para continuamente prover, compartilhar e obter a informa\u00e7\u00e3o necess\u00e1ria;<\/li>\n<li>Atividades de monitoramento: avalia\u00e7\u00e3o para verificar se cada componente e controle est\u00e1 presente e funcionando.<\/li>\n<\/ul>\n<p>Para lidar com a velocidade da din\u00e2mica do neg\u00f3cio e necessidade por respostas r\u00e1pidas, o COSO enfatiza o julgamento e o bom senso da administra\u00e7\u00e3o, sobre rigorosa ader\u00eancia a pol\u00edticas e procedimentos, para a tomada de decis\u00e3o. Isto requer das partes interessadas um profundo entendimento do contexto organizacional para:<\/p>\n<ul>\n<li>Determinar quanto controle \u00e9 o suficiente<\/li>\n<li>Selecionar, desenvolver e implementar controles em uma base di\u00e1ria<\/li>\n<li>Monitorar e avaliar a efic\u00e1cia dos controles<\/li>\n<\/ul>\n<h2>O que \u00e9 o COBIT?<\/h2>\n<p>COBIT (Control Objectives for Information and Related Technologies) \u00e9 um framework para gest\u00e3o e governan\u00e7a de TI sob responsabilidade do ISACA (Information Systems Audit and Control Association). Ele prove controle implement\u00e1veis para tecnologia da informa\u00e7\u00e3o, organizados em processos relacionados a TI, que apoiam o cumprimento destes requisitos de neg\u00f3cio:<\/p>\n<ul>\n<li>Uso eficaz da informa\u00e7\u00e3o, considerando relev\u00e2ncia, tempo e condi\u00e7\u00f5es de entrega<\/li>\n<li>Aloca\u00e7\u00e3o eficiente de recursos<\/li>\n<li>Confidencialidade, para proteger a informa\u00e7\u00e3o contra acesso e divulga\u00e7\u00e3o n\u00e3o autorizada<\/li>\n<li>Integridade do conte\u00fado da informa\u00e7\u00e3o<\/li>\n<li>Disponibilidade quando demandada pelos processos do neg\u00f3cio<\/li>\n<li>Conformidade com requisitos legais<\/li>\n<li>Confiabilidade da informa\u00e7\u00e3o usada para a tomada de decis\u00e3o<\/li>\n<\/ul>\n<p>O framework de processos do COBIT, atualmente na quinta vers\u00e3o, publicada em 2012, est\u00e1 dividido em quatro dom\u00ednios:<\/p>\n<ul>\n<li>Planejar e organizar: o uso da TI para ajudar a organiza\u00e7\u00e3o a atingir seus objetivos;<\/li>\n<li>Adquirir e implementar: a aquisi\u00e7\u00e3o de solu\u00e7\u00f5es de TI, a integra\u00e7\u00e3o delas com os processos de neg\u00f3cio, e a manuten\u00e7\u00e3o requerida para assegurar que estas solu\u00e7\u00f5es se mantenham atendendo as necessidades de neg\u00f3cio;<\/li>\n<li>Entregar e suportar: foca na execu\u00e7\u00e3o das aplica\u00e7\u00f5es e seus resultados de uma forma eficaz e eficiente; ele tamb\u00e9m cobre necessidades de seguran\u00e7a e treinamento;<\/li>\n<li>Monitorar e avaliar: prov\u00ea garantia de que as solu\u00e7\u00f5es de TI est\u00e3o atingindo seus objetivos e que est\u00e3o em conformidade com as quest\u00f5es legais.<\/li>\n<\/ul>\n<p>Para cada processo, o COBIT define entradas, sa\u00eddas, atividades chave, objetivos, e medidas de desempenho. Embora o COBIT tenha mais detalhes em termos de processos, ainda faltam detalhes t\u00e9cnicos para apoiar a implementa\u00e7\u00e3o.<\/p>\n<h2>E sobre a ISO 27001?<\/h2>\n<p>A ISO 27001 \u00e9 a norma ISO que descreve como gerir a seguran\u00e7a da informa\u00e7\u00e3o em uma organiza\u00e7\u00e3o. Ela consiste de 11 cl\u00e1usulas na parte principal, e 114 <a title=\"controles de seguran\u00e7a\" href=\"https:\/\/advisera.com\/27001academy\/pt-br\/documentation\/declaracao-de-aplicabilidade\/\" target=\"_blank\" rel=\"noopener noreferrer\">controles de seguran\u00e7a<\/a>\u00a0agrupados em 14 se\u00e7\u00f5es no Anexo A. As cl\u00e1usulas da parte principal da norma ISO 27001:2013 s\u00e3o:<\/p>\n<ul>\n<li>4 \u2013 Contexto da organiza\u00e7\u00e3o<\/li>\n<li>5 \u2013 Lideran\u00e7a<\/li>\n<li>6 \u2013 Planejamento<\/li>\n<li>7 \u2013 Suporte<\/li>\n<li>8 \u2013 Opera\u00e7\u00e3o<\/li>\n<li>9 \u2013 Avalia\u00e7\u00e3o do desempenho<\/li>\n<li>10 \u2013 Melhoria cont\u00ednua<\/li>\n<\/ul>\n<p>O Anexo A da ISO 27001:2013 cobre controles relacionados a estrutura organizacional (f\u00edsica e l\u00f3gica), recursos humanos, tecnologia da informa\u00e7\u00e3o, gest\u00e3o de fornecedores, etc.<\/p>\n<p>Para informa\u00e7\u00f5es detalhadas, leia: <a title=\"Uma primeira impress\u00e3o sobre a nova ISO 27001\" href=\"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2014\/08\/26\/uma-primeira-impressao-sobre-nova-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">Uma primeira impress\u00e3o sobre a nova ISO 27001<\/a>\u00a0e <a title=\"Vis\u00e3o geral do Anexo A da ISO 27001:2013\" href=\"https:\/\/advisera.com\/27001academy\/pt-br\/knowledgebase\/visao-geral-do-anexo-a-da-iso-270012013\/\" target=\"_blank\" rel=\"noopener noreferrer\">Vis\u00e3o geral do Anexo A da ISO 27001:2013<\/a>.<\/p>\n<p>Uma das limita\u00e7\u00f5es da ISO 27001 \u00e9 que ela n\u00e3o prove detalhes sobre o que fazer para atender os requisitos ou implementar controles, apenas o que voc\u00ea precisa atingir. Para detalhes, voc\u00ea pode usar a ISO 27002 como guia. Para mais informa\u00e7\u00e3o, leia: <a title=\"Semelhan\u00e7as e diferen\u00e7as entre a ISO 27001 e a ISO 27002\" href=\"https:\/\/advisera.com\/27001academy\/pt-br\/knowledgebase\/semelhancas-e-diferencas-entre-a-iso-27001-e-a-iso-27002\/\" target=\"_blank\" rel=\"noopener noreferrer\">Semelhan\u00e7as e diferen\u00e7as entre a ISO 27001 e a ISO 27002<\/a>.<\/p>\n<h2>Como a ISO 27001 pode interagir com o COSO e COBIT?<\/h2>\n<p>Basicamente, o COSO, COBIT, e a ISO 27001 t\u00eam estes aspectos em comum:<\/p>\n<ul>\n<li><strong>Dirigidos por objetivos.<\/strong> Enquanto o COSO e o COBIT possuem objetivos claramente definidos, a ISO 27001 requer que os objetivos de seguran\u00e7a da informa\u00e7\u00e3o sejam definidos por cada organiza\u00e7\u00e3o de acordo com seu contexto em termos de confidencialidade, integridade e disponibilidade, para assegurar que a os processos de seguran\u00e7a e da organiza\u00e7\u00e3o estejam integrados.<\/li>\n<li><strong>Orientados a processos. <\/strong>Todos os tr\u00eas frameworks fazem uso de uma abordagem de processo para organizar suas atividades, e isto pode ser usado para formar uma vis\u00e3o sist\u00eamica de como eles podem interagir.<\/li>\n<li><strong>Uso de controles.<\/strong> Enquanto que com o COSO os controles s\u00e3o mais gen\u00e9ricos, com o objetivo de cobrir tantos processos de neg\u00f3cio quanto poss\u00edvel, o COBIT reduz seu escopo para as tecnologias da informa\u00e7\u00e3o, e a ISO 27001 para a seguran\u00e7a da informa\u00e7\u00e3o. Isto resulta em oportunidades para sobrep\u00f4-los e otimizar as a\u00e7\u00f5es.<\/li>\n<\/ul>\n<p>A rela\u00e7\u00e3o entre eles pode ser vista como:<\/p>\n<p><img decoding=\"async\" class=\"aligncenter size-full wp-image-10298\" src=\"\/wp-content\/uploads\/\/sites\/5\/2016\/10\/Relationship_between_COSO_COBIT_and_ISO_27001_PT.png\" alt=\"Rela\u00e7\u00e3o entre o COSO, COBIT, e a ISO 27001\" width=\"410\" height=\"240\" srcset=\"\/wp-content\/uploads\/sites\/5\/2016\/10\/Relationship_between_COSO_COBIT_and_ISO_27001_PT.png 410w, \/wp-content\/uploads\/sites\/5\/2016\/10\/Relationship_between_COSO_COBIT_and_ISO_27001_PT-300x176.png 300w\" sizes=\"(max-width: 410px) 100vw, 410px\" \/><\/p>\n<p style=\"text-align: center;\"><span style=\"font-size: 14px;\"><em>Figura 1: Rela\u00e7\u00e3o entre o COSO, COBIT, e a ISO 27001<\/em><\/span><\/p>\n<p>Aqui est\u00e1 como eu resumiria uma poss\u00edvel rela\u00e7\u00e3o entre estes tr\u00eas frameworks:<\/p>\n<p>\u201cConfiabilidade do reporte\u201d (COSO), suportado pelo \u201cuso eficaz da informa\u00e7\u00e3o\u201d (COBIT) e controle de \u201cintegridade\u201d e \u201cdisponibilidade\u201d (ISO 27001).<\/p>\n<p>Esta rela\u00e7\u00e3o clara simplifica enormemente o trabalho de mostrar como a seguran\u00e7a da informa\u00e7\u00e3o pode ser integrada ao neg\u00f3cio, n\u00e3o apenas em um n\u00edvel operacional, mas at\u00e9 os mais altos n\u00edveis, incluindo atrav\u00e9s de outros processos organizacionais.<\/p>\n<h2>O todo \u00e9 maior do que a soma de suas partes<\/h2>\n<p>Quando fazemos duas ou mais coisas trabalhem em conjunto de uma forma que resulta em um efeito maior do que a soma de cada contribui\u00e7\u00e3o individual, n\u00f3s temos sinergia; e, ao entender quais aspectos da ISO 27001 podem ser usados para apoiar outros frameworks organizacionais, como o COSO e o COBIT, podemos descobrir novas formas de otimizar nossos recursos e, ao mesmo tempo, melhorar a seguran\u00e7a e o desempenho do neg\u00f3cio.<\/p>\n<p style=\"text-align: left;\"><em>Para aprender mais sobre os requisitos da ISO 27001 e facilitar o processo de integra\u00e7\u00e3o com outros frameworks, tente nosso treinamento online<\/em> <em>gratuito:<\/em>\u00a0<a href=\"https:\/\/advisera.com\/training\/iso-27001-foundations-course\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001:2013 Foundations Course<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Recentemente, a ISO (International Standardization Organization) atualizou a ISO 9001, ISO 14001 e a ISO 27001 para tornar mais f\u00e1cil us\u00e1-las em conjunto. Mas, como elas interagem com pr\u00e1ticas for a do mundo ISO? Este artigo apresentar\u00e1 como a ISO 27001 pode ser usada com os frameworks COSO e COBIT para reduzir o esfor\u00e7o administrativo &#8230;<\/p>\n","protected":false},"author":41,"featured_media":10297,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[310],"tags":[906],"class_list":["post-10296","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog-pt-br","tag-iso-27001-pt-br"],"acf":[],"_links":{"self":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10296","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/comments?post=10296"}],"version-history":[{"count":0,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/posts\/10296\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media\/10297"}],"wp:attachment":[{"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/media?parent=10296"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/categories?post=10296"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/advisera.com\/27001academy\/pt-br\/wp-json\/wp\/v2\/tags?post=10296"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}