< voltar

Por que razão uma Organização deverá manter a sua Informação segura?

Introdução

A Segurança da Informação cada vez mais tem um papel vital no contexto económico atual, em que se verifica uma evolução rápida, mas de variantes técnicas frágeis.

Consequentemente, são necessárias comunicações seguras não só para as Organizações mas também para os clientes, de modo a que ambos beneficiem dos avanços que a operacionalização online traz para este contexto económico.

Deve ser salientada a importância deste facto, para que medidas adequadas sejam implementadas, de modo a enaltecer os procedimentos e transações diárias de uma Organização, mas também para garantir que essas medidas de segurança sejam implementadas com um nível aceitável de segurança competente.

É uma realidade, que a possibilidade de uma Organização ver os seus dados expostos por consequência de um ataque malicioso, aumente de dia para dia, tendo em conta o elevado número de colaboradores com acesso a informação sensível e em algumas vezes secreta para o negócio.

Basta pensar, por exemplo, no risco que uma Organização corre quando os colaboradores com acesso a informação sensível, acede à internet sem medidas de segurança implementadas, recebendo ataques constantes via correio eletrónico, com os mais variados anexos destrutivos, não esquecendo também as ameaças significativas da utilização constante de qualquer aplicativo de chat online ou Instant Messaging (IM).

Esta é a razão pela qual se torna necessário gerir ativamente a segurança dos Sistemas de Gestão de Informação bem como de informação crítica para a Organização, não só para dar segurança aos seus colaboradores e partes interessadas mas também a todos os clientes e sócios com os quais essa informação possa ser partilhada.

Benefícios da implementação e certificação de um Sistema de Gestão de Segurança da Informação

A implementação e certificação do Sistema de Gestão de Segurança da Informação também pode transformar toda a sua cultura empresarial, tanto interna como externamente, abrindo portas para novas oportunidades de negócio, com clientes conscientes da segurança da informação por eles fornecida.

Demonstra claramente a integridade da sua informação e o compromisso real de manter a segurança da informação.

Melhora a ética dos colaboradores e a noção de confidencialidade que abrange todo o âmbito de trabalho.

Acima de tudo permite-lhe por em vigor a segurança da informação e reduzir a probabilidade de riscos de fraude, perda, e revelação de informação confidencial.

A ISO 27001 como referência para um Sistema de Gestão de Segurança da Informação

A certificação em Sistemas de Gestão de Segurança de Informação segundo a norma ISO 27001 permite-lhe demonstrar o seu compromisso com a segurança da Informação, a satisfação dos seus clientes bem como melhorar continuamente a sua imagem como empresa.

Esta norma tem 2 partes:

1 – ISO 27002: Orientação sobre a implementação dos Sistemas de Gestão de Segurança de Informação

2 – ISO 27001: Referencial segundo o qual se podem certificar os Sistemas de Gestão de Segurança de Informação

O primeiro passo é definir o âmbito da política do Sistema de Gestão de Segurança de Informação. Isto é essencial para identificar quais os potenciais riscos que a sua organização enfrenta e deste modo definir um planeamento sistemático que defina uma metodologia eficaz para avaliar esses riscos e definir mecanismos de controlo para reduzir o impacto desses riscos no sistema.

Uma implementação correta de um Sistema de Gestão de Segurança de Informação inclui os requisitos normativos para o planeamento, implementação, funcionamento, revisão, manutenção e melhoria do sistema.

Estão envolvidos três princípios-chave: Confidencialidade, Integridade, e acessibilidade que abrangem efetivamente 12 secções:

Política de segurança
Organização da segurança da informação
Gestão de bens/ativos
Segurança dos recursos humanos
Segurança física e do meio ambiente
Comunicações e operações
Gestão
Controlo de acessos
Aquisição, desenvolvimento e manutenção de sistemas de informação
Gestão de incidentes de segurança da informação
Gestão da continuidade da atividade empresarial
Cumprimento

Atualmente está disponível uma nova versão da ISO 27001. Os Organismos de Certificação bem como as entidades acreditadoras preparam neste momento um plano de transição para acreditação e certificação da nova versão do referencial. A ISO 27001:2013 é a primeira revisão da norma e tem em conta a experiência de mais de 17000 empresas certificadas mundialmente na versão anterior da norma.

A nova versão da norma tem dois fatores de influência maior. O primeiro relaciona-se com a sua adaptação a outros referenciais ISO, tais como a ISO 9001 (Sistemas de Gestão de Qualidade) ou a ISO 22301 (Gestão da Continuidade de Negócio), o que facilita na implementação de sistemas integrados.

O segundo está relacionado com a evolução dos requisitos que tratam a Gestão do Risco, desta vez baseados nas orientações da ISO 31000 (Gestão do Risco), por forma a clarificar e tornar a metodologia de análise de risco num exercício mais abrangente e mais flexível.

Conclusão

Cada vez mais é notória a aposta das Organizações na internacionalização do seu negócio, especialmente se estivermos a analisar o mercado das Tecnologias de Informação. Embora a certificação em Sistemas de Gestão da Qualidade traga uma mais-valia para qualquer empresa, o mercado internacional é cada vez mais exigente no que refere à escolha de fornecedores certificados, especialmente quando estes vão lidar com informação sensível ou mesmo secreta. A implementação e certificação de um Sistema de Gestão de Segurança de Informação torna-se fundamental para qualquer empresa que queira manter a sua competitividade no mercado internacional.

David Campos
Auditor Coordenador
SGS Portugal, SA

	fevereiro de 2014 \| nº27
ARTIGOS DE OPINIÃO Segurança da Informação - A nova versão da norma ISO/IEC 27001 __ A norma ISO/IEC 20000:2011 VOZ DO CLIENTE ArtSoft __ Alvo __ ISEG __ Normática __ OSRAM __ Vilt __ Score Innovation __ Metatheke ENTIDADES CERTIFICADORAS Apcer __ SGS QUALIWORK E PARCEIROS Apresentação da QualiWork __ Apresentação da Alvo __ Apresentação da Invest 2020 __ Apresentação da Infinite __ Apresentação da Score Innovation __ Apresentação da Slot __ Apresentação da Vercont > Conheça o nosso calendário	< voltar Por que razão uma Organização deverá manter a sua Informação segura? Introdução A Segurança da Informação cada vez mais tem um papel vital no contexto económico atual, em que se verifica uma evolução rápida, mas de variantes técnicas frágeis. Consequentemente, são necessárias comunicações seguras não só para as Organizações mas também para os clientes, de modo a que ambos beneficiem dos avanços que a operacionalização online traz para este contexto económico. Deve ser salientada a importância deste facto, para que medidas adequadas sejam implementadas, de modo a enaltecer os procedimentos e transações diárias de uma Organização, mas também para garantir que essas medidas de segurança sejam implementadas com um nível aceitável de segurança competente. É uma realidade, que a possibilidade de uma Organização ver os seus dados expostos por consequência de um ataque malicioso, aumente de dia para dia, tendo em conta o elevado número de colaboradores com acesso a informação sensível e em algumas vezes secreta para o negócio. Basta pensar, por exemplo, no risco que uma Organização corre quando os colaboradores com acesso a informação sensível, acede à internet sem medidas de segurança implementadas, recebendo ataques constantes via correio eletrónico, com os mais variados anexos destrutivos, não esquecendo também as ameaças significativas da utilização constante de qualquer aplicativo de chat online ou Instant Messaging (IM). Esta é a razão pela qual se torna necessário gerir ativamente a segurança dos Sistemas de Gestão de Informação bem como de informação crítica para a Organização, não só para dar segurança aos seus colaboradores e partes interessadas mas também a todos os clientes e sócios com os quais essa informação possa ser partilhada. Benefícios da implementação e certificação de um Sistema de Gestão de Segurança da Informação A implementação e certificação do Sistema de Gestão de Segurança da Informação também pode transformar toda a sua cultura empresarial, tanto interna como externamente, abrindo portas para novas oportunidades de negócio, com clientes conscientes da segurança da informação por eles fornecida. Demonstra claramente a integridade da sua informação e o compromisso real de manter a segurança da informação. Melhora a ética dos colaboradores e a noção de confidencialidade que abrange todo o âmbito de trabalho. Acima de tudo permite-lhe por em vigor a segurança da informação e reduzir a probabilidade de riscos de fraude, perda, e revelação de informação confidencial. A ISO 27001 como referência para um Sistema de Gestão de Segurança da Informação A certificação em Sistemas de Gestão de Segurança de Informação segundo a norma ISO 27001 permite-lhe demonstrar o seu compromisso com a segurança da Informação, a satisfação dos seus clientes bem como melhorar continuamente a sua imagem como empresa. Esta norma tem 2 partes: 1 – ISO 27002: Orientação sobre a implementação dos Sistemas de Gestão de Segurança de Informação 2 – ISO 27001: Referencial segundo o qual se podem certificar os Sistemas de Gestão de Segurança de Informação O primeiro passo é definir o âmbito da política do Sistema de Gestão de Segurança de Informação. Isto é essencial para identificar quais os potenciais riscos que a sua organização enfrenta e deste modo definir um planeamento sistemático que defina uma metodologia eficaz para avaliar esses riscos e definir mecanismos de controlo para reduzir o impacto desses riscos no sistema. Uma implementação correta de um Sistema de Gestão de Segurança de Informação inclui os requisitos normativos para o planeamento, implementação, funcionamento, revisão, manutenção e melhoria do sistema. Estão envolvidos três princípios-chave: Confidencialidade, Integridade, e acessibilidade que abrangem efetivamente 12 secções: Política de segurança Organização da segurança da informação Gestão de bens/ativos Segurança dos recursos humanos Segurança física e do meio ambiente Comunicações e operações Gestão Controlo de acessos Aquisição, desenvolvimento e manutenção de sistemas de informação Gestão de incidentes de segurança da informação Gestão da continuidade da atividade empresarial Cumprimento Atualmente está disponível uma nova versão da ISO 27001. Os Organismos de Certificação bem como as entidades acreditadoras preparam neste momento um plano de transição para acreditação e certificação da nova versão do referencial. A ISO 27001:2013 é a primeira revisão da norma e tem em conta a experiência de mais de 17000 empresas certificadas mundialmente na versão anterior da norma. A nova versão da norma tem dois fatores de influência maior. O primeiro relaciona-se com a sua adaptação a outros referenciais ISO, tais como a ISO 9001 (Sistemas de Gestão de Qualidade) ou a ISO 22301 (Gestão da Continuidade de Negócio), o que facilita na implementação de sistemas integrados. O segundo está relacionado com a evolução dos requisitos que tratam a Gestão do Risco, desta vez baseados nas orientações da ISO 31000 (Gestão do Risco), por forma a clarificar e tornar a metodologia de análise de risco num exercício mais abrangente e mais flexível. Conclusão Cada vez mais é notória a aposta das Organizações na internacionalização do seu negócio, especialmente se estivermos a analisar o mercado das Tecnologias de Informação. Embora a certificação em Sistemas de Gestão da Qualidade traga uma mais-valia para qualquer empresa, o mercado internacional é cada vez mais exigente no que refere à escolha de fornecedores certificados, especialmente quando estes vão lidar com informação sensível ou mesmo secreta. A implementação e certificação de um Sistema de Gestão de Segurança de Informação torna-se fundamental para qualquer empresa que queira manter a sua competitividade no mercado internacional. David Campos Auditor Coordenador SGS Portugal, SA
	Av. Columbano Bordalo Pinheiro, 61C, 1º Andar, Escritório 13, 1070-061 Lisboa, Portugal tel. 917842136 \| 917840772 \| 917843174 \| www.qualiwork.pt \| geral@qualiwork.pt
Para deixar de receber a newsletter envie um e-mail para geral@qualiwork.pt