Há algum tempo eu venho estudando e utilizado o framework do Cobit como uma ferramenta para assessent, principalmente projetos buscando a adequação de controles a SOX.
Eu acho o Cobit uma excelente ferramenta, mais não a solução para todos os problemas, até porque muitos controles do Cobit são endereçados por outros padrões como ITIL, CMM-I, ISO, PMBOK. Eu gostaria de deixar somente um ponto de atenção ao Zé CSO do amigo Augusto: Cobit é somente uma ferramenta, não adianta Zé CSO cobrar adequação ao Cobit em tudo. Tem Zé CSO chegando na papelaria e perguntando: Essa caneta está aderente ao PO171 do Cobit?
Mais o que me levou a tocar no assunto Cobit foi a questão de maturidade, assim como o CMM-I o Cobit também classifica a maturidade dos processo em cinco níveis:
1 – Inicial
2 – Repetitivo
3 – Definido
4 – Gerenciado
5 – Otimizado
Essa classificação em níveis de maturidade ajuda muito em uma avaliação continua dos processos, comparando avaliações, estipulando metas para alcançar um maior nível de maturidade. Tudo isso pode ser mensurado utilizando os inúmeros indicadores que o Cobit propõe.
Olhando para segurança já ficamos bastante desamparados, por isso o título desse post, será que falta maturidade em nosso segmento, para o fortalecimento e reconhecimento de inúmeras iniciativas como a do Cobit? O Cobit endereça muitos controles de segurança, mais esse é o caso, temos muitas fontes e nenhuma nos atende plenamente. O próprio caso SOX, muitos dos controles de TI exigidos para adequação a SOX não são plenamente endereçados pela ISO 17799 ou ISO 27001.
Ainda temos pouquisimos indicadores, métricas em segurança, ou se já temos tudo eles estão espalhados por todo canto, um pouco em documentos do NIST, um pouco no Cobit, um pouco na ISO e em outras entidades. Acredito que o mercado tem que amadurecer e propor algo nosso, todas as iniciativas nesse sentido não vingaram ainda.
Cobit - http://www.isaca.org
Um comentário:
Muito bom Wagner! Eu trabalhei em uma empresa que, quando cheguei, estava montando uma ferramenta e uma metodologia de análise de segurança de novos sistemas (aplicações!) baseados em Cobit. Caramba, como alguém analisa a segurança de uma aplicação com o Cobit?!
Eu cortei a bagunça e teve muita gente que achou que eu estava errado, pois "o Cobit é a tendência do mercado, como ele não quer usar??".
A César o que é de César, não adianta usar uma ferramenta para avaliar TI como um todo para avaliar aplicações...
Postar um comentário