Segurança da Informação


Saber ouvir: a chave para uma boa auditoria.

Você já se perguntou se sabe realmente ouvir? Você ouve ou apenas espera sua vez de falar em uma conversa? Já reparou que nascemos com um par de ouvidos e somente uma boca? Sábia natureza. Então porque será que, às vezes, falamos tanto e ouvimos tão pouco. As conseqüências nós já conhecemos: percepções errôneas que geram ações não virtuosas.

No mundo contemporâneo essa qualidade tem assumido ares de dádiva divina. Na loucura do dia-a-dia metropolitano, a impressão que tenho é que estão todos falando ao mesmo tempo, mas cada um só ouve a si mesmo. Talvez por isso, tantas guerras, tantas disputas e discussões despropositadas.

As pessoas que sabem ouvir são amigos valiosos. Elas sabem que nem sempre queremos um conselho, queremos apenas um ombro amigo, ou melhor, um “ouvido amigo” para chorar nossas mágoas. Cazuza já cantava em Ideologia: “Eu vou pagar a conta do analista para nunca mais saber quem eu sou”. Infelizmente, nem sempre temos condições financeiras ou tempo para contratar um ouvidor profissional que nos conduza, fazendo as perguntas certas, na busca para descobrir quem realmente somos nós.

Toda essa conversa de saber ouvir é para introduzir qual a essência de um bom auditor. Segundo o dicionário:

Auditor
do Lat. auditore
s. m.,
aquele que ouve;
ouvidor;

Fonte: Dicionário on line Priberam

Um auditor deve possuir várias habilidades: ser organizado, ter boa comunicação escrita e falada, ser educado, mas, a que define um bom auditor e por fim, um bom processo de auditoria é essencialmente a capacidade de ouvir. Afinal é isso que o auditor deve ser em primeiro lugar: um bom ouvinte.

Os passos básicos são os seguintes:

- Elaborar um plano de auditoria
Um documento que especifique “O que” você vai auditar. Você poderia usar como base, por exemplo, as práticas contidas na ISO17799 ou um procedimento de segurança da sua empresa.

- Elaborar e acordar uma agenda de auditoria
“Quando e onde” se dará sua visita. Atenção para acordar e anunciar com antecedência sua visita junto à gerência ou empresa a ser auditada. Assim você garante que todos os recursos de apoio, entrevistados e documentação estejam disponíveis.

- Elaborar um bom “checklist”
Este deve ser baseado nos procedimentos ou práticas e será a referência que indicará os pontos relevantes a serem apurados por você. Um checklist é geralmente composto por frase tipo: verifique se + prática a ser apurada.

- Seja claro ao fazer uma observação ou apontar uma não conformidade
Faça perguntas fechadas (sim ou não) e abertas (Como, quem, onde e quando), apure e colha evidências das práticas, deixe claro para o auditado que está apontando uma não conformidade e explique o porquê. Assim você evita problemas na hora do relatório. É importante ressaltar aqui a diferença entre um auditor e um consultor de segurança. A tarefa do auditor é confrontar um procedimento escrito com uma prática, não fornecer consultoria de segurança. O que você pode fazer é uma “sugestão de melhoria” baseado no seu conhecimento ou “bom senso” mas nunca apontar uma não conformidade que não esteja claramente definida em um procedimento.

- Elaborar um bom relatório final
Inclua quem você entrevistou, os setores que visitou, o que você observou, as não conformidades e observações e não se esqueça de ressaltar um bom trabalho, ou pontos positivos, se você assim os encontrar.

- Follow up ou acompanhamento
Faça o acompanhamento da resolução dos problemas apurados e utilize esse documento caso volte a auditar a mesma organização ou setor.

Boa sorte em sua próxima auditoria.

Carlos Santanna - Security OfficerCarlos Santanna é certificado BS7799 Lead Auditor pelo DNV e trabalha como Security Officer de uma multinacional e anda meio cético.
carlos.santanna@internativa.com.br