{"id":4368,"date":"2015-05-12T21:39:36","date_gmt":"2015-05-12T21:39:36","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/015\/05\/12\/cisa-vs-certificacao-auditor-lider-iso-27001\/"},"modified":"2022-07-17T15:43:28","modified_gmt":"2022-07-17T15:43:28","slug":"cisa-vs-certificacao-auditor-lider-iso-27001","status":"publish","type":"post","link":"https:\/\/advisera.com\/27001academy\/pt-br\/blog\/2015\/05\/12\/cisa-vs-certificacao-auditor-lider-iso-27001\/","title":{"rendered":"CISA vs. Certifica\u00e7\u00e3o Auditor L\u00edder ISO 27001"},"content":{"rendered":"

Em um post anterior, falei sobre certifica\u00e7\u00f5es pessoais ajudando a organiza\u00e7\u00e3o a estar em conformidade com a cl\u00e1usula 7.2 da ISO 27001<\/a>\u00a0(veja este post Como certifica\u00e7\u00f5es pessoais podem ajudar o SGSI de sua organiza\u00e7\u00e3o<\/a>). No post de hoje, mostrarei a voc\u00ea duas certifica\u00e7\u00f5es pessoais espec\u00edficas (CISA e Auditor L\u00edder ISO 27001) e como elas podem ser usadas em conjunto para ajudar a melhorar a efic\u00e1cia de uma das mais cr\u00edticas etapas do Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o: a auditoria do SGSI.<\/p>\n

Para profissionais que t\u00eam reservas quanto aos m\u00e9ritos de certifica\u00e7\u00f5es pessoais, tente ver este artigo pelo lado da obten\u00e7\u00e3o de conhecimento, desconsiderando aspectos do processo de certifica\u00e7\u00e3o. O principal ponto deste artigo \u00e9 mostrar o conhecimento envolvido nestas certifica\u00e7\u00f5es. Ent\u00e3o, vamos a elas.<\/p>\n

Uma vis\u00e3o geral da auditoria<\/h2>\n

O objetivo de uma auditoria \u00e9 identificar e avaliar evid\u00eancias para se determinar em que grau os crit\u00e9rios de auditoria est\u00e3o sendo atendidos. Para fazer isso, voc\u00ea precisa de tr\u00eas coisas:<\/p>\n

    \n
  1. Um processo sistem\u00e1tico de auditoria, para assegurar que todas as entradas de auditoria necess\u00e1rias s\u00e3o consideradas e que os resultados da auditoria s\u00e3o s\u00f3lidos e confi\u00e1veis, e podem apoiar os objetivos da auditoria;<\/li>\n
  2. Conhecimento do alvo da auditoria (processo, produto ou servi\u00e7o) e dos crit\u00e9rios de auditoria, para assegurar que etapas cr\u00edticas do processo, ou componentes cr\u00edticos do produto \/ servi\u00e7o, s\u00e3o auditados adequadamente; e<\/li>\n
  3. Experi\u00eancia relacionada a pr\u00e1tica de auditoria, uma vez que at\u00e9 mesmo os melhores planejamentos podem ser arruinados por eventos n\u00e3o previstos, ou por mudan\u00e7as feitas pelo cliente \/ auditado durante a auditoria, e a auditoria ainda precisa entregar seus resultados propostos.<\/li>\n<\/ol>\n

    Assim, como certifica\u00e7\u00f5es de auditor, especificamente a CISA e a Auditor L\u00edder ISO 27001 Lead Auditor, ajudam voc\u00ea nesta situa\u00e7\u00e3o?<\/p>\n

    Auditor de Sistemas de Informa\u00e7\u00e3o Certificado (Certified Information System Auditor – CISA)<\/h2>\n

    Concedida pela ISACA, uma associa\u00e7\u00e3o independente sem fins lucrativos que advoga por profissionais envolvidos em seguran\u00e7a da informa\u00e7\u00e3o, garantia, gest\u00e3o de riscos e governan\u00e7a, a designa\u00e7\u00e3o CISA reconhece profissionais que demonstraram experi\u00eancia, habilidades e conhecimento para auditar sistemas de informa\u00e7\u00e3o, considerando:<\/p>\n

      \n
    1. O processo de auditoria de sistemas de informa\u00e7\u00e3o<\/li>\n
    2. A estrutura e processos de governan\u00e7a e gest\u00e3o de TI<\/li>\n
    3. O processo de aquisi\u00e7\u00e3o, desenvolvimento e implementa\u00e7\u00e3o de sistemas de informa\u00e7\u00e3o<\/li>\n
    4. A opera\u00e7\u00e3o, manuten\u00e7\u00e3o e suporte a sistemas de informa\u00e7\u00e3o<\/li>\n
    5. A prote\u00e7\u00e3o de ativos de informa\u00e7\u00e3o (pol\u00edticas, normas, procedimentos e controles)<\/li>\n<\/ol>\n

      Auditor L\u00edder ISO 27001 Certificado<\/h2>\n

      N\u00e3o sendo concedida por uma entidade espec\u00edfica, mas requerida para auditores trabalhando para organismos de certifica\u00e7\u00e3o como o BSI, AENOR, SGS, Bureau Veritas, etc., a certifica\u00e7\u00e3o Auditor L\u00edder ISO 27001 reconhece auditores especializados em sistemas de gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o (SGSI) baseados nas normas ISO\/IEC 27001 e ISO\/IEC 19011. Al\u00e9m disso, detentores desta certifica\u00e7\u00e3o s\u00e3o reconhecidos por possu\u00edrem a compet\u00eancia necess\u00e1ria para gerenciar equipes de auditores pela aplica\u00e7\u00e3o de princ\u00edpios, procedimentos e t\u00e9cnicas de auditoria amplamente reconhecidas. O corpo de conhecimento essencial para esta certifica\u00e7\u00e3o considera:<\/p>\n

        \n
      1. Princ\u00edpios e conceitos fundamentais de seguran\u00e7a da informa\u00e7\u00e3o<\/li>\n
      2. Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI)<\/li>\n
      3. Conceitos e princ\u00edpios fundamentais de auditoria<\/a><\/li>\n
      4. O processo de auditoria<\/a>\u00a0da ISO 27001 (prepara\u00e7\u00e3o, realiza\u00e7\u00e3o e encerramento)<\/li>\n
      5. A gest\u00e3o do programa de auditoria da ISO 27001<\/li>\n<\/ol>\n

        Similaridades e diferen\u00e7as<\/h2>\n

        Por serem certifica\u00e7\u00f5es de auditoria, ambas requerem, obviamente, conhecimentos relacionados a um processo de auditoria, permitindo a um indiv\u00edduo usar de forma eficaz uma refer\u00eancia definida para avaliar processos e reportar a situa\u00e7\u00e3o de conformidade de uma organiza\u00e7\u00e3o. Neste ponto, a diferen\u00e7a entre estas duas certifica\u00e7\u00f5es \u00e9 que enquanto a de Auditor L\u00edder da ISO 27001 foca na norma ISO 27001, a CISA est\u00e1 mais orientada a frameworks de TI, como ITIL<\/a>\u00a0e COBIT, opor exemplo.<\/p>\n

        Outra diferen\u00e7a significativa \u00e9 que enquanto a certifica\u00e7\u00e3o de Auditor L\u00edder da ISO 27001 cobre todos os processos relacionados a um sistema de gest\u00e3o de seguran\u00e7a da informa\u00e7\u00e3o, e os controles do Anexo A<\/a>\u00a0da norma, a CISA \u00e9 mais focada em aspectos relacionados a sistemas de informa\u00e7\u00e3o. Por exemplo, a CISA n\u00e3o oferece muitos detalhes relacionados a Seguran\u00e7a de Recursos Humanos (Anexo A.7 da norma), ou Seguran\u00e7a F\u00edsica (Anexo A.11). Por outro lado, ela prove informa\u00e7\u00e3o detalhada sobre pr\u00e1ticas relacionadas aos Anexos A.6 (Organiza\u00e7\u00e3o da seguran\u00e7a da informa\u00e7\u00e3o), A.8 (Gest\u00e3o de ativos), A.12 (Seguran\u00e7a das opera\u00e7\u00f5es) e A.14 (Aquisi\u00e7\u00e3o, desenvolvimento e manuten\u00e7\u00e3o de sistemas).<\/p>\n

        E agora \u2013 por qual optar?<\/h2>\n

        O uso do conhecimento obtido destas certifica\u00e7\u00f5es depender\u00e1 de seu papel no processo de auditoria. Caso voc\u00ea seja o auditor, o conhecimento da CISA pode prover a voc\u00ea uma percep\u00e7\u00e3o mais profunda de aspectos de sistemas de informa\u00e7\u00e3o que podem tornar mais f\u00e1cil para voc\u00ea identificar vulnerabilidades que podem comprometer o armazenamento \/ processamento de sistemas de informa\u00e7\u00e3o, agregando mais valor ao seu trabalho de auditor.<\/p>\n

        Por outro lado, se voc\u00ea \u00e9 um professional de TI, ou gestor de TI, o conhecimento de Auditor L\u00edder da ISO 27001 pode oferecer a voc\u00ea uma vis\u00e3o melhor dos seguintes assuntos:<\/p>\n