Uma questão de maturidade

Há algum tempo eu venho estudando e utilizado o framework do CobiT como uma ferramenta para análise, principalmente projetos buscando a adequação de controles a SOX.

Eu acho o CobiT uma excelente ferramenta, mas não a solução para todos os problemas, até porque muitos controles são endereçados por outros padrões como ITIL, CMM-I, ISO, PMBOK. Eu gostaria de deixar somente um ponto de atenção ao Zé CSO do amigo Augusto: CobiT é somente uma ferramenta, não adianta Zé CSO cobrar adequação a ele, em tudo. Tem Zé CSO chegando na papelaria e perguntando: Essa caneta está aderente ao PO171 do CobiT?

O que me levou a tocar no assunto foi a questão de maturidade, assim como o CMM-I o CobiT também classifica a maturidade dos processo em cinco níveis:

1 – Inicial
2 – Repetitivo
3 – Definido
4 – Gerenciado
5 – Otimizado

Essa classificação em níveis de maturidade ajuda muito em uma avaliação continua dos processos, comparando avaliações, estipulando metas para alcançar um maior nível de maturidade. Tudo isso pode ser mensurado utilizando os inúmeros indicadores que o CobiT propõe.

Olhando para segurança já ficamos bastante desamparados, por isso o título desse post. Será que falta maturidade em nosso segmento para o fortalecimento e reconhecimento de inúmeras iniciativas que existem relacionadas a Segurança? Pergunto isto pois, temos muitas fontes e nenhuma nos atende plenamente. O próprio caso SOX, muitos dos controles de TI exigidos para adequação a SOX não são plenamente endereçados pela ISO 17799 ou ISO 27001.

Ainda temos pouquíssimos indicadores, métricas em segurança. Elas estão espalhadas por todo canto, um pouco em documentos do NIST, um pouco no CobiT, um pouco na ISO e em outras entidades. Acredito que o mercado tem que amadurecer e propor algo nosso, todas as iniciativas nesse sentido não vingaram ainda.

CobiT - http://www.isaca.org