Publicação

Melhores práticas, Boas práticas e práticas “à minha maneira”

Bruno Horta Soares11 anos, 10 meses atrás CONTEÚDO EM DESTAQUE

Melhores práticas, Boas práticas e práticas “à minha maneira”

Imagem descrito Melhores práticas em inglês
Boas práticas

Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com

Albert Einstein disse em tempos que “Insanidade é continuar fazendo sempre a mesma coisa e esperar resultados diferentes” . Lembro-me sempre desta citação quando verifico a resistência de algumas organizações em adotarem Boas práticas e continuarem a preferir fazer as coisas “à sua maneira”, independentemente dos resultados obtidos. Hoje vamos analisar as vantagens e os cuidados a ter na adoção de Boas práticas , em particular no domínio da auditoria a sistemas de informação.

Há muito que nos habituamos a usar a buzzword “ Best practice” no dia a dia empresarial. Quando traduzida para português, há quem goste de usar a expressão “ Melhor prática ” e quem prefira, prudentemente, a expressão “ Boa prática ”. Independentemente do nome utilizado, ao longo dos anos verifiquei diferentes realidades no que se refere à utilização de guias e referências no desenho e implementação de auditorias de sistemas de informação, verificando-se ainda em diversas situações alguma resistência na sua utilização . Mas se uma “ Best practice” representa o conjunto de práticas reconhecido como sendo aquele que retorna melhores resultados , qual a explicação para esta resistência ?

Quando no “Sermão de Santo António aos Peixes” [1] o padre António Vieira procura uma explicação para a corrupção na terra, encontra duas possibilidades que ficaram para sempre como uma das passagens mais conhecidas da obra: “Ou é porque o sal não salga, ou porque a terra não se deixa salgar” . A experiência diz-me que a resistência à adoção das Boas práticas é muitas das vezes explicada pelo facto das empresas “não se deixarem salgar”. Tal fato está em muitos dos casos relacionados com a reduzida maturidade dos sistemas de informação , nomeadamente no que concerne à formalização, documentação e, consequentemente, transparência dos recursos, quer sejam processos, tecnologias ou pessoas.

Neste sentido, parece-me importante realçar que a resistência à adoção de Boas práticas pode muitas vezes ser um sintoma de que podem existir problemas maiores que devem ser avaliados antes do início da auditoria, porque quanto menor for a maturidade do sistema de informação, maior será o risco para o auditor.

Por outro lado, quanto mais robustos forem os programas de auditoria utilizados, mais transparente será o trabalho realizado permitindo uma maior confiança no trabalho do auditor e consequentemente uma maior valorização da sua função.

A ISACA há muito que disponibiliza aos seus membros uma vasta base de dados de programas de auditoria no domínio dos sistemas de informação . Estes produtos foram desenvolvidos pela comunidade de profissionais ISACA com o objetivo de partilhar ferramentas que sirvam de guia e orientação aos profissionais de auditoria , devendo a sua utilização ter sempre em consideração as circunstâncias específicas de cada sistema deinformação , nomeadamente através do recurso a julgamento profissional adequado.

Aqui estão alguns dos programas de auditoria disponíveis [2] :

BYOD Audit/Assurance Program
Personally Identifiable Information (PII) Audit/Assurance Program
Outsourced IT Environments Audit/Assurance Program
WAPVPN-Security
WAPEC-Ecom_and_PKI
Apache™ Web Services Server Audit/Assurance Program (Dec 2010)
Biometrics Audit/Assurance Program (Nov 2012)
Business Continuity Management Audit/Assurance Program (Sep 2011)
Change Management Audit/Assurance Program (Jan 2009)
Cloud Computing Management Audit/Assurance Program (Aug 2010)
Crisis Management Audit/Assurance Program (Aug 2010)
Cybercrime Audit-Assurance Program
Generic Application Audit/Assurance Program (Jan 2009)
Identity Management Audit/Assurance Program (Jan 2009)
Information Security Management Audit/Assurance Program (Aug 2010)
IPv6 Security Audit/Assurance Program (Feb 2012)
IT Continuity Planning Audit/Assurance Program (Jan 2009)
IT Risk Management Audit/Assurance Program (Jan 2012)
IT Strategic Management Audit/Assurance Program (Dec 2011)
IT Tactical Management Audit/Assurance Program (Nov 2011)
Lotus Domino ServerAudit/Assurance Program (Nov 2011)
Microsoft Internet Information Services (IIS) 7.x Web Services Server Audit/Assurance Program (Feb 2011)
Microsoft SharePoint 2010 Audit/Assurance Program (Oct 2011)
Microsoft SQL Server Database Audit Assurance Program (July 2011)
Microsoft Windows File Server Audit/Assurance Program (Sep 2011)
Mobile Computing Security Audit/Assurance Program (Oct 2010)
MySQL™ Server Audit/Assurance Program (Dec 2010)
Network Perimeter Security Audit/Assurance Program (Jan 2009)
Security Incident Management Audit/Assurance Program (Jan 2009)
Security, Audit and Control Features Oracle Database, 3rd Edition (Dec 2009)
Security, Audit and Control Features Oracle E-Business Suite, 3rd Edition - Audit programs and ICQs (July 2010)
Security, Audit and Control Features Oracle PeopleSoft, 3rd Edition (Jan 2012)
Security, Audit and Control Features SAP® ERP, 3rd Edition (Aug 2009)
SharePoint Deployment and Governance Using COBIT 4.1 Appendix C. Scorecard and Tool Matrix (Feb 2010)
Social Media Audit/Assurance Program (Feb 2011)
Systems Development and Project Management Audit/Assurance Program (Jan 2009)
UNIX/LINUX Operating System Security Audit/Assurance Program (Jan 2009)
VMware Server Virtualization Audit/Assurance Program (Feb 2011)
Voice-Over Internet Protocol (VOIP) Audit/Assurance Program (Jan 2012)
Windows Active Directory Audit/Assurance Program (Aug 2010)
Windows Active Directory Audit/Assurance Program (Aug 2010)
z/OS Security Audit/Assurance Program (Jan 2009)

Se já é membro do ISACA poderá aceder a estes conteúdos de forma gratuita, se ainda não é, esta poderá ser uma mais valia que poderá justificar o investimento.

A utilização de Boas práticas na auditoria de sistemas de informação será tendencialmente um garante de independência, transparência e confiança . O julgamento profissional do auditor será sempre um factor crítico de sucesso, nomeadamente na alteração dos programas para adequação ao contexto auditado. Mas atenção, uma coisa é um programa de auditoria ser alterado em 20% para acomodar especificidades do sistema de informação, o que é perfeitamente natural e recomendável, outra coisa é existir a necessidade de alterar 80% do programa de auditoria. Se este for o seu caso, desconfie, porque as exceções podem ser mais do que as regras e a análise de risco da auditoria deve ser bem reforçada.

Cumprimentos desde Portugal… estamos juntos!

Bruno Horta Soares, CISA®, CGEIT®, CRISC™, PMP®, COBIT 5 | bruno.soares@govaas.com

[1] http://pt.wikipedia.org/wiki/Serm%C3%A3o_de_Santo_Ant%C3%B3nio_aos_Peixes

[2] Mais informação em: http://www.isaca.org/Knowledge-Center/ITAF-IT-Assurance-Audit-/Audit-Programs/Pages/ICQs-and-Audit-Programs.aspx

Outros artigos do autor:

COMPARTILHE: Denunciar

Bruno Horta Soares

8 Seguidores

72 Publicações

Seguir

Curso online para certificação ITIL® Foundation

Curso Formação Desenvolver Android - 15 apps | 39 horas

Curso de Lógica de Programação com PHP

Curso completo de Ruby on Rails

Melhores práticas, Boas práticas e práticas “à minha maneira”

Melhores práticas, Boas práticas e práticas “à minha maneira”

Comentários

Curso online para certificação ITIL® Foundation

Curso Formação Desenvolver Android - 15 apps | 39 horas

Curso de Lógica de Programação com PHP

Curso completo de Ruby on Rails

Melhores práticas, Boas práticas e práticas “à minha maneira”

Melhores práticas, Boas práticas e práticas “à minha maneira”

Login

Esqueci minha senha

Reenviar confirmação de conta

Sugerir leitura

Sugerir leitura

Sugestão enviada com sucesso!

Regras do Portal

Contato

Atenção!

Entre nessa comunidade para submeter sua publicação!

Atenção!

Entre nessa comunidade para submeter sua pergunta!

Está certo disso?