19 de abril de 2006

Uma questão de maturidade

Há algum tempo eu venho estudando e utilizado o framework do CobiT como uma ferramenta para análise, principalmente projetos buscando a adequação de controles a SOX.


Eu acho o CobiT uma excelente ferramenta, mas não a solução para todos os problemas, até porque muitos controles são endereçados por outros padrões como ITIL, CMM-I, ISO, PMBOK. Eu gostaria de deixar somente um ponto de atenção ao Zé CSO do amigo Augusto: CobiT é somente uma ferramenta, não adianta Zé CSO cobrar adequação a ele, em tudo. Tem Zé CSO chegando na papelaria e perguntando: Essa caneta está aderente ao PO171 do CobiT?


O que me levou a tocar no assunto foi a questão de maturidade, assim como o CMM-I o CobiT também classifica a maturidade dos processo em cinco níveis:



1 – Inicial
2 – Repetitivo
3 – Definido
4 – Gerenciado
5 – Otimizado


Essa classificação em níveis de maturidade ajuda muito em uma avaliação continua dos processos, comparando avaliações, estipulando metas para alcançar um maior nível de maturidade. Tudo isso pode ser mensurado utilizando os inúmeros indicadores que o CobiT propõe.


Olhando para segurança já ficamos bastante desamparados, por isso o título desse post. Será que falta maturidade em nosso segmento para o fortalecimento e reconhecimento de inúmeras iniciativas que existem relacionadas a Segurança? Pergunto isto pois, temos muitas fontes e nenhuma nos atende plenamente. O próprio caso SOX, muitos dos controles de TI exigidos para adequação a SOX não são plenamente endereçados pela ISO 17799 ou ISO 27001.


Ainda temos pouquíssimos indicadores, métricas em segurança. Elas estão espalhadas por todo canto, um pouco em documentos do NIST, um pouco no CobiT, um pouco na ISO e em outras entidades. Acredito que o mercado tem que amadurecer e propor algo nosso, todas as iniciativas nesse sentido não vingaram ainda.



CobiT - http://www.isaca.org

Um comentário:

Augusto disse...

Muito bom Wagner! Eu trabalhei em uma empresa que, quando cheguei, estava montando uma ferramenta e uma metodologia de análise de segurança de novos sistemas (aplicações!) baseados em Cobit. Caramba, como alguém analisa a segurança de uma aplicação com o Cobit?!

Eu cortei a bagunça e teve muita gente que achou que eu estava errado, pois "o Cobit é a tendência do mercado, como ele não quer usar??".

A César o que é de César, não adianta usar uma ferramenta para avaliar TI como um todo para avaliar aplicações...