Com os processos de neg\u00f3cio sob constante press\u00e3o de gestores, clientes e outras partes interessadas, proteger a informa\u00e7\u00e3o exatamente como solicitado por meio de especifica\u00e7\u00f5es t\u00e9cnicas, requisitos legais ou objetivos de neg\u00f3cio, e a maior complexidade e sofistica\u00e7\u00e3o das opera\u00e7\u00f5es, o uso de conhecimentos de auditoria em seguran\u00e7a da informa\u00e7\u00e3o est\u00e1 se tornando um ponto cr\u00edtico para agregar valor para as organiza\u00e7\u00f5es, e esta \u00e9 uma grande oportunidade para desenvolvimento profissional.<\/p>\n
Neste artigo mostrarei a voc\u00ea como o conhecimento de auditoria interna da ISO 27001<\/a> pode ajudar a impulsionar a carreira de um profissional, como uma ferramenta para promover seguran\u00e7a ada informa\u00e7\u00e3o adequada, e melhor controle e melhoria cont\u00ednua dos processos do neg\u00f3cio; eu tamb\u00e9m mostrarei a voc\u00ea os meios pelos quais voc\u00ea pode obter este conhecimento.<\/p>\n Uma auditoria \u00e9 um processo de coleta para obten\u00e7\u00e3o e avalia\u00e7\u00e3o de evid\u00eancia (informa\u00e7\u00e3o que \u00e9 relevante e verific\u00e1vel) para determinar a extens\u00e3o em que os crit\u00e9rios de auditoria (e.g., um conjunto de pol\u00edticas, procedimentos ou requisitos) s\u00e3o atendidos. O termo \u201cinterna\u201d significa que a auditoria \u00e9 realizada dentro dos limites e regras da pr\u00f3pria organiza\u00e7\u00e3o, n\u00e3o envolvendo partes externais tais como clientes, fornecedores ou organismos de certifica\u00e7\u00e3o.<\/p>\n Especificamente, para uma auditoria interna da ISO 27001, seus resultados ajudam a alta administra\u00e7\u00e3o a responder tr\u00eas quest\u00f5es:<\/p>\n De acordo com a norma ISO 27001, o processo de auditoria interna<\/a> deve ser sistem\u00e1tico, i.e., planejado, executado, verificado e melhorado, de forma definida e bem conhecida, com pessoal treinado<\/a> adequadamente, seja internamente ou por meio de treinamento pessoal externo contratado.<\/p>\n Para mais informa\u00e7\u00f5es sobre treinamento de auditoria, leia este artigo: Qualifica\u00e7\u00f5es para um auditor interno da ISO 27001<\/a>.<\/p>\n Muito embora o processo de auditoria interna da ISO 27001 possa ser considerado apenas como mais um controle, e em alguns casos at\u00e9 mesmo uma perda de tempo (veja este artigo para mais informa\u00e7\u00f5es: Dilemas com os auditores internos das normas ISO 27001 e BS 25999-2<\/a>), os benef\u00edcios que ele pode entregar quando executado de forma adequada s\u00e3o maiores do que os custos potenciais, tanto para a organiza\u00e7\u00e3o quanto para o auditor.<\/p>\n Durante a implementa\u00e7\u00e3o da ISO 27001, o conhecimento de auditoria pode ajudar a organiza\u00e7\u00e3o a identificar o que precisa ser feito para estar em conformidade com a norma, minimizando os custos de implementa\u00e7\u00e3o ao evitar retrabalho e a cria\u00e7\u00e3o de controles desnecess\u00e1rios. Em adi\u00e7\u00e3o aos requisitos da norma, ele pode ajudar na avalia\u00e7\u00e3o dos contratos de clientes e fornecedores, assim como na avalia\u00e7\u00e3o de regulamenta\u00e7\u00f5es e leis aplic\u00e1veis, assegurando que os requisitos de seguran\u00e7a da informa\u00e7\u00e3o estabelecidos nestes tamb\u00e9m sejam considerados no Sistema de Gest\u00e3o de Seguran\u00e7a da Informa\u00e7\u00e3o (SGSI).<\/p>\n Durante atividades de auditoria interna, o conhecimento de auditoria interna pode prover benef\u00edcio como:<\/p>\n E para auditores de seguran\u00e7a da informa\u00e7\u00e3o, o conhecimento de auditoria pode prover boas ideias sobre como elaborar e aplicar checklists de seguran\u00e7a<\/a> para avaliar a conformidade e desempenho de processos. Isto tornar\u00e1 o trabalho deles mais f\u00e1cil e direcionado a objetivos, aumentando as chances da organiza\u00e7\u00e3o de identificar problemas e oportunidades de melhoria e trata-las adequadamente. Para mais informa\u00e7\u00f5es sobre sobre checklists de seguran\u00e7a, leia este artigo: Como fazer uma Lista de Verifica\u00e7\u00e3o para Auditoria Interna da ISO 27001 \/ ISO 22301<\/a>.<\/p>\n E para outros profissionais de seguran\u00e7a da informa\u00e7\u00e3o (e.g., administradores de sistemas, gerentes de incidente, etc.), o conhecimento de auditoria pode prover a eles um diferencial profissional em termos de reconhecimento organizacional e conhecimento sist\u00eamico dos processos do neg\u00f3cio.<\/p>\n Muito embora este conhecimento possa ser obtido atrav\u00e9s de auto estudo (e.g., leitura de livros e artigos) e pela observa\u00e7\u00e3o de uma auditoria (quando autorizada pela organiza\u00e7\u00e3o), participar de um curso (provido pela organiza\u00e7\u00e3o ou por um terceiro) \u00e9 a forma mais recomendada de se aprender sobre auditoria interna. Isto porque a norma requer evid\u00eancias de treinamento, e a menos que voc\u00ea tenha um consider\u00e1vel n\u00famero de horas de auditoria, participar de um curso<\/a>\u00a0\u00e9 a forma mais eficaz de se obter a evid\u00eancia (o certificado) sobre o conhecimento.<\/p>\n Para informa\u00e7\u00f5es sobre treinamentos e provedores certificados, leia estes artigos: Como aprender sobre a ISO 27001 e a BS 25999-2<\/a>\u00a0e Acredita\u00e7\u00e3o vs. certifica\u00e7\u00e3o vs. registro no mundo ISO<\/a>.<\/p>\n \u00c9 mais f\u00e1cil fazer as coisas certas quando voc\u00ea entende as regas do jogo. Ao aprender como realizar adequadamente uma auditoria interna da ISO 27001, voc\u00ea basicamente entender\u00e1 o processo e crit\u00e9rios usados para ajudar a organiza\u00e7\u00e3o a decidir se as medidas para proteger a informa\u00e7\u00e3o est\u00e3o bem planejadas, implementadas, avaliadas e melhoradas para atingir os resultados esperados. Adicionalmente, este conhecimento pode ter um grande impacto positivo em sua carreira, com novas oportunidades e desafios.<\/p>\n Assim, mesmo que voc\u00ea n\u00e3o esteja considerando se tornar um auditor interno, pense sobre aprender como este processo \u00e9 executado. Se adequadamente aplicado, seus m\u00e9todos e pr\u00e1ticas podem trazer a voc\u00ea e a sua organiza\u00e7\u00e3o mitos benef\u00edcios na implementa\u00e7\u00e3o e manuten\u00e7\u00e3o do SGSI.<\/p>\n Para aprender sobre o processo de auditoria interna, por favor veja este curso online gratuito: <\/em>ISO 27001:2013 Internal Auditor Course<\/a>.<\/p>\nO que \u00e9 a auditoria interna da ISO 27001?<\/h2>\n
\n
Benef\u00edcio da auditoria interna<\/h2>\n
\n
Obtendo conhecimento de auditoria interna<\/h2>\n
Aumente seu conjunto de ferramentas de conhecimento dispon\u00edvel<\/h2>\n