As empresas buscam a ideia de melhores práticas, definidas como procedimentos comprovados para produzir resultados ótimos, para otimizar a eficiência e o lucro. Estruturas de governança, como ISO 27001 e COBIT, servem como padrões altamente detalhados de disciplina para gerenciar riscos, reduzir perdas e reduzir a publicidade negativa. Embora tanto a ISO 27001 quanto o COBIT atendam à governança na área de tecnologia da informação - ajudando a diminuir os gastos com TI e reduzindo os riscos de segurança relacionados à tecnologia -, essas metodologias proeminentes diferem em foco e detalhes.
Noções básicas
A International Organization for Standardization publica a ISO 27001, que atua como uma estrutura para o gerenciamento padronizado da segurança da informação e foca estritamente nas melhores práticas voltadas para a segurança. O Information Technology Governance Institute publica o COBIT - Objetivos de Controle para Informações e Tecnologia relacionada - que atende a controles, medidas e processos gerais de TI. O foco mais amplo do COBIT visa preencher a lacuna entre os objetivos de negócios e os processos de TI.
Formato
O código de prática da ISO 27001, essencialmente um guia de auditoria que estabelece os controles que uma organização deve abordar, abrange oito seções principais em 34 páginas. A metodologia COBIT, muito mais ampla, apresenta 34 objetivos de controle de alto nível e 318 objetivos de controle detalhados agrupados nas áreas de Planejar e Organizar, Adquirir e Implementar, Fornecer e Apoiar e Monitorar. Essas diretrizes oferecem uma direção de gerenciamento para controlar os processos de TI das empresas, a realização geral e as metas organizacionais. Em contraste com o COBIT, a ISO 27001 não possui modelos de maturidade, que tentam fornecer uma visão geral de como as práticas de uma organização podem fornecer resultados sustentáveis.
Foco e Função
O foco da ISO 27001 em endereçamento e auditoria torna a metodologia uma estrutura de controle e gerenciamento, e não uma estrutura de processo. Embora compartilhe essa estrutura com o COBIT, a ISO 27001 tem um objetivo mais específico - a segurança - e, portanto, atende ao gerenciamento de nível inferior. A metodologia COBIT atende às necessidades de nível superior de uma empresa, buscando melhorar a orientação geral dos negócios por meio de controles e métricas de TI. Como tal, o COBIT atende a altos executivos, como gerentes seniores, gerentes de TI e auditores.
Considerações
A ISO 27001 e o COBIT não precisam competir entre si. Na verdade, as duas estruturas se complementam: enquanto a ISO 27001 visa a segurança, o COBIT atua como uma espécie de estrutura “guarda-chuva” que ajuda a conectar a ISO 27001 e outras estruturas de governança de TI, como PMBOK e SEI CMM. Ambos os sistemas oferecem “o que” e não “como” os dados, o que significa que eles identificam e medem a saída e sugerem a direção, mas não oferecem métodos para seguir essa direção. Frameworks como o ITIL, também um complemento ao COBIT e à ISO 27001, respondem à questão do “como”. No mundo da governança de TI, muitas vezes você encontrará o termo ISO 17799. Essa metodologia, também conhecida como BS7799, é a precursor da ISO 27001, que mantém grande parte de sua fundação.
