Publicação

Melhores práticas, Boas práticas e práticas “à minha maneira”

foto de
Bruno Horta Soares CONTEÚDO EM DESTAQUE

Melhores práticas, Boas práticas e práticas “à minha maneira”

Imagem descrito Melhores práticas em inglês
Boas práticas


Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com

Albert Einstein disse em tempos que “Insanidade é continuar fazendo sempre a mesma coisa e esperar resultados diferentes” . Lembro-me sempre desta citação quando verifico a resistência de algumas organizações em adotarem Boas práticas e continuarem a preferir fazer as coisas “à sua maneira”, independentemente dos resultados obtidos. Hoje vamos analisar as vantagens e os cuidados a ter na adoção de Boas práticas , em particular no domínio da auditoria a sistemas de informação.
Há muito que nos habituamos a usar a buzzword Best practice” no dia a dia empresarial. Quando traduzida para português, há quem goste de usar a expressão “ Melhor prática ” e quem prefira, prudentemente, a expressão “ Boa prática ”. Independentemente do nome utilizado, ao longo dos anos verifiquei diferentes realidades no que se refere à utilização de guias e referências no desenho e implementação de auditorias de sistemas de informação, verificando-se ainda em diversas situações alguma resistência na sua utilização . Mas se uma “ Best practice” representa o conjunto de práticas reconhecido como sendo aquele que retorna melhores resultados , qual a explicação para esta resistência ?

Quando no “Sermão de Santo António aos Peixes” [1] o padre António Vieira procura uma explicação para a corrupção na terra, encontra duas possibilidades que ficaram para sempre como uma das passagens mais conhecidas da obra: “Ou é porque o sal não salga, ou porque a terra não se deixa salgar” . A experiência diz-me que a resistência à adoção das Boas práticas é muitas das vezes explicada pelo facto das empresas “não se deixarem salgar”. Tal fato está em muitos dos casos relacionados com a reduzida maturidade dos sistemas de informação , nomeadamente no que concerne à formalização, documentação e, consequentemente, transparência dos recursos, quer sejam processos, tecnologias ou pessoas.

Neste sentido, parece-me importante realçar que a resistência à adoção de Boas práticas pode muitas vezes ser um sintoma de que podem existir problemas maiores que devem ser avaliados antes do início da auditoria, porque quanto menor for a maturidade do sistema de informação, maior será o risco para o auditor.

Por outro lado, quanto mais robustos forem os programas de auditoria utilizados, mais transparente será o trabalho realizado permitindo uma maior confiança no trabalho do auditor e consequentemente uma maior valorização da sua função.

A ISACA há muito que disponibiliza aos seus membros uma vasta base de dados de programas de auditoria no domínio dos sistemas de informação . Estes produtos foram desenvolvidos pela comunidade de profissionais ISACA com o objetivo de partilhar  ferramentas que sirvam de guia e orientação aos profissionais de auditoria , devendo a sua utilização ter sempre em consideração as circunstâncias específicas de cada sistema deinformação , nomeadamente através do recurso a julgamento profissional adequado.

Aqui estão alguns dos programas de auditoria disponíveis [2] :
  • BYOD Audit/Assurance Program
  • Personally Identifiable Information (PII) Audit/Assurance Program
  • Outsourced IT Environments Audit/Assurance Program
  • WAPVPN-Security
  • WAPEC-Ecom_and_PKI
  • Apache™ Web Services Server Audit/Assurance Program (Dec 2010)
  • Biometrics Audit/Assurance Program (Nov 2012)
  • Business Continuity Management Audit/Assurance Program (Sep 2011)
  • Change Management Audit/Assurance Program (Jan 2009)
  • Cloud Computing Management Audit/Assurance Program (Aug 2010)
  • Crisis Management Audit/Assurance Program (Aug 2010)
  • Cybercrime Audit-Assurance Program
  • Generic Application Audit/Assurance Program (Jan 2009)
  • Identity Management Audit/Assurance Program (Jan 2009)
  • Information Security Management Audit/Assurance Program (Aug 2010)
  • IPv6 Security Audit/Assurance Program (Feb 2012)
  • IT Continuity Planning Audit/Assurance Program (Jan 2009)
  • IT Risk Management Audit/Assurance Program (Jan 2012)
  • IT Strategic Management Audit/Assurance Program (Dec 2011)
  • IT Tactical Management Audit/Assurance Program (Nov 2011)
  • Lotus Domino ServerAudit/Assurance Program (Nov 2011)
  • Microsoft Internet Information Services (IIS) 7.x Web Services Server Audit/Assurance Program (Feb 2011)
  • Microsoft SharePoint 2010 Audit/Assurance Program (Oct 2011)
  • Microsoft SQL Server Database Audit Assurance Program (July 2011)
  • Microsoft Windows File Server Audit/Assurance Program (Sep 2011)
  • Mobile Computing Security Audit/Assurance Program (Oct 2010)
  • MySQL™ Server Audit/Assurance Program (Dec 2010)
  • Network Perimeter Security Audit/Assurance Program (Jan 2009)
  • Security Incident Management Audit/Assurance Program (Jan 2009)
  • Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009)
  • Security, Audit and Control Features Oracle E-Business Suite, 3rd Edition - Audit programs and ICQs (July 2010)
  • Security, Audit and Control Features Oracle PeopleSoft, 3rd Edition (Jan 2012)
  • Security, Audit and Control Features SAP® ERP, 3rd Edition (Aug 2009)
  • SharePoint Deployment and Governance Using COBIT 4.1 Appendix C. Scorecard and Tool Matrix (Feb 2010)
  • Social Media Audit/Assurance Program (Feb 2011)
  • Systems Development and Project Management Audit/Assurance Program (Jan 2009)
  • UNIX/LINUX Operating System Security Audit/Assurance Program (Jan 2009)
  • VMware Server Virtualization Audit/Assurance Program (Feb 2011)
  • Voice-Over Internet Protocol (VOIP) Audit/Assurance Program (Jan 2012)
  • Windows Active Directory Audit/Assurance Program (Aug 2010)
  • Windows Active Directory Audit/Assurance Program (Aug 2010)
  • z/OS Security Audit/Assurance Program (Jan 2009)
Se já é membro do ISACA poderá aceder a estes conteúdos de forma gratuita, se ainda não é, esta poderá ser uma mais valia que poderá justificar o investimento.

A utilização de Boas práticas na auditoria de sistemas de informação será tendencialmente um garante de independência, transparência e confiança . O julgamento profissional do auditor será sempre um factor crítico de sucesso, nomeadamente na alteração dos programas para adequação ao contexto auditado. Mas atenção, uma coisa é um programa de auditoria ser alterado em 20% para acomodar especificidades do sistema de informação, o que é perfeitamente natural e recomendável, outra coisa é existir a necessidade de alterar 80% do programa de auditoria. Se este for o seu caso, desconfie, porque as exceções podem ser mais do que as regras e a análise de risco da auditoria deve ser bem reforçada.

Cumprimentos desde Portugal… estamos juntos!

Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com



[2] Mais informação em: http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Audit-Programs/Pages/ICQs-and-Audit-Programs.aspx

Comentários