O comitê brasileiro sobre as normas de gestão de segurança da informação está trabalhando no desenvolvimento de duas normatizações para a área.
Há boas razões para celebrar os progressos alcançados nos programas
de auditoria do Sistema de Gestão da Segurança da Informação (SGSI) sem
cair na ilusão de que a estrada já está pronta. O comitê brasileiro
sobre as normas de gestão de segurança da informação (série 27000), que
colabora com o desenvolvimento de padrões internacionais através da ISO
(International Organization for Standardization), está trabalhando no
desenvolvimento de duas normatizações que tem como objetivo:
– Prover orientação para o gerenciamento do programa de auditoria do
Sistema de Gestão da Segurança da Informação e a condução de auditorias
internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de
gestão de segurança da informação – Requisitos), em adição e complemento
àquelas contidas na ISO 19011 (Diretrizes para auditorias de sistema de
gestão da qualidade e/ou ambiental);
– Orientar os processos de auditoria dos controles aplicados em um
Sistema de Gestão de Segurança da Informação em harmonia com as normas
ISO/IEC 27001 e ISO/IEC 27002.
As duas normas estão em fase de desenvolvimento, e o cenário traçado para o futuro do programa de auditoria parece claro.
Investir em treinamentos
Primeiro, convém que as equipes de auditorias reciclem suas
competências especificas em segurança da informação. Um planejamento
prévio deve criar um plano diferenciado de treinamento para os
envolvidos com o processo de auditoria.
A aquisição de conhecimentos inicia-se formalmente através da
formação de auditores líderes no Sistema de Gestão da Segurança da
Informação (ISO/IEC 27001) e continuará evoluindo, muito em breve,
através dos futuros padrões internacionais ISO IEC 27007: Guidelines for
ISMS Auditing e a ISO IEC DTR 27008: Guidelines for auditors on ISMS
controls. É importante ressaltar que estes dois documentos estão em fase
de desenvolvimento no Brasil pelo Comitê Brasileiro sobre as normas de
gestão de segurança da informação.
Reestruturar a auditoria
Segundo ponto: esse reposicionamento da auditoria, de acordo com os
novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), exige uma
capacidade maior de analisar informações técnicas cada vez mais
complexas.
O fato ocorre porque as ameaças e os controles de segurança da
informação evoluem constantemente. A segurança da informação e a
tecnologia da informação são muito dinâmicas. Os livros, os cursos e as
faculdades, não conseguem acompanhar essa evolução.
É por essa razão que a maioria dos profissionais da área de segurança
da informação possui um perfil autodidata. Os criminosos que atuam na
internet também são autodidatas. São pessoas assim que desenvolvem
novos golpes quase que diariamente.
Os auditores precisam desenvolver cada vez mais sua capacidade de
analisar informações complexas em profundidade suficiente para
identificar eventuais riscos e oportunidades de melhoria no processo de
segurança da informação.
Uso prático de metodologia
Terceiro, as áreas de auditoria deverão atualizar suas metodologias
para auditoria do Sistema de Gestão de Segurança da Informação, de
acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008),
incluindo uma série de passos a serem seguidos para garantir a aplicação
correta de uma comparação da situação atual da organização com os
resultados esperados.
A atualização da metodologia pode contar com o apoio dos
departamentos Jurídico e de Compliance, que explicarão como obter
informações derivadas de obrigações de conformidade legal e normas
pertinentes ao setor de atuação da organização. As equipes de Segurança
da Informação e Tecnologia da Informação podem fornecer dados sobre boas
práticas adotadas pela organização e como são estabelecidos os
controles.
Conclusão
A expectativa é de que as organizações realizem, o mais breve
possível, a reestruturação da área de auditoria trazendo uma atualização
no conhecimento dos auditores e também no uso de novas metodologias.
Essa evolução será necessária para sinalizar o compromisso dessa área
com as metas de segurança da informação e gestão de risco da
organização. Mas, para isso, é preciso olhar para um horizonte mais
amplo. E buscar orientação de outras áreas de apoio na companhia para
avaliar a adequação e efetividade dos controles estabelecidos e
implementados, incluindo uma abordagem baseada na Governança da
Segurança da Informação e nos riscos operacionais.
(*) Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as
normas de gestão de segurança da informação (série 27000), membro do
International Association of Emergency Managers (IAEM), especialista em
análise de risco, projetos de redes seguras e perícia forense, e colunista do IDGNow!.
