quarta-feira, 5 de janeiro de 2011
por Denny Roger*
Há boas razões para celebrar os progressos alcançados nos programas de auditoria do Sistema de Gestão da Segurança da Informação (SGSI) sem cair na ilusão de que a estrada já está pronta. O comitê brasileiro sobre as normas de gestão de segurança da informação (série 27000), que colabora com o desenvolvimento de padrões internacionais através da ISO (International Organization for Standardization), está trabalhando no desenvolvimento de duas normatizações que tem como objetivo:
- Prover orientação para o gerenciamento do programa de auditoria do Sistema de Gestão da Segurança da Informação e a condução de auditorias internas e externas de acordo com a ISO/IEC 27001:2005 (Sistemas de gestão de segurança da informação – Requisitos), em adição e complemento àquelas contidas na ISO 19011 (Diretrizes para auditorias de sistema de gestão da qualidade e/ou ambiental);
- Orientar os processos de auditoria dos controles aplicados em um Sistema de Gestão de Segurança da Informação em harmonia com as normas ISO/IEC 27001 e ISO/IEC 27002.
As duas normas estão em fase de desenvolvimento, e o cenário traçado para o futuro do programa de auditoria parece claro.
Investir em treinamentos
Primeiro, convém que as equipes de auditorias reciclem suas competências especificas em segurança da informação. Um planejamento prévio deve criar um plano diferenciado de treinamento para os envolvidos com o processo de auditoria.
A aquisição de conhecimentos inicia-se formalmente através da formação de auditores líderes no Sistema de Gestão da Segurança da Informação (ISO/IEC 27001) e continuará evoluindo, muito em breve, através dos futuros padrões internacionais ISO IEC 27007: Guidelines for ISMS Auditing e a ISO IEC DTR 27008: Guidelines for auditors on ISMS controls. É importante ressaltar que estes dois documentos estão em fase de desenvolvimento no Brasil pelo Comitê Brasileiro sobre as normas de gestão de segurança da informação.
Reestruturar a auditoria
Segundo ponto: esse reposicionamento da auditoria, de acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), exige uma capacidade maior de analisar informações técnicas cada vez mais complexas.
O fato ocorre porque as ameaças e os controles de segurança da informação evoluem constantemente. A segurança da informação e a tecnologia da informação são muito dinâmicas. Os livros, os cursos e as faculdades, não conseguem acompanhar essa evolução.
É por essa razão que a maioria dos profissionais da área de segurança da informação possui um perfil autodidata. Os criminosos que atuam na internet também são autodidatas. São pessoas assim que desenvolvem novos golpes quase que diariamente.
Os auditores precisam desenvolver cada vez mais sua capacidade de analisar informações complexas em profundidade suficiente para identificar eventuais riscos e oportunidades de melhoria no processo de segurança da informação.
Uso prático de metodologia
Terceiro, as áreas de auditoria deverão atualizar suas metodologias para auditoria do Sistema de Gestão de Segurança da Informação, de acordo com os novos padrões (ISO IEC 27007 e a ISO IEC DTR 27008), incluindo uma série de passos a serem seguidos para garantir a aplicação correta de uma comparação da situação atual da organização com os resultados esperados.
A atualização da metodologia pode contar com o apoio dos departamentos Jurídico e de Compliance, que explicarão como obter informações derivadas de obrigações de conformidade legal e normas pertinentes ao setor de atuação da organização. As equipes de Segurança da Informação e Tecnologia da Informação podem fornecer dados sobre boas práticas adotadas pela organização e como são estabelecidos os controles.
Conclusão
A expectativa é de que as organizações realizem, o mais breve possível, a reestruturação da área de auditoria trazendo uma atualização no conhecimento dos auditores e também no uso de novas metodologias.
Essa evolução será necessária para sinalizar o compromisso dessa área com as metas de segurança da informação e gestão de risco da organização. Mas, para isso, é preciso olhar para um horizonte mais amplo. E buscar orientação de outras áreas de apoio na companhia para avaliar a adequação e efetividade dos controles estabelecidos e implementados, incluindo uma abordagem baseada na Governança da Segurança da Informação e nos riscos operacionais.
*Denny Roger é diretor da EPSEC, membro do Comitê Brasileiro sobre as normas de gestão de segurança da informação (série 27000), membro do International Association of Emergency Managers (IAEM), especialista em análise de risco, projetos de redes seguras e perícia forense.