< voltar

O VALOR DA INFORMAÇÃO

Vivem-se tempos estranhos, em que a verdade pode ter variantes. Da verdade alternativa, à pós‑verdade, somos hoje confrontados com informações e fontes de informação que podem condicionar a nossa perceção da realidade. Assim, é nos momentos de incerteza e de dúvida que as pessoas e organizações necessitam de encontrar fontes de informação credíveis e comprovadas. Mas como podemos ter isso, quando o manancial de dados recebidos todos os dias, vindo das mais variadas fontes e proveniências, podem condicionar as nossas opções e as nossas convicções? Como podem as organizações garantir que têm a informação necessária disponível, quem está autorizado para aceder, e de forma íntegra?

Através de um sistema de gestão de segurança de informação baseado na ISO/IEC 27001, as organizações poderão implementar um modelo de processos e controlos capazes de atingir estes objetivos. Efetivamente, os desafios na garantia da disponibilidade, confidencialidade e integridade, pelas organizações, hoje em dia, não são fáceis de atingir.

A informação relevante para as organizações encontra-se em vários ambientes, desde suportes físicos tradicionais, como o papel, passando pelos suportes digitais e pelas pessoas. Pelo que a gestão e preservação do conhecimento carece de abordagens diferenciadas, dependendo dos riscos identificados para cada um desses suportes, e da importância da informação residente em cada um deles.

A reputação das organizações, no seu global, depende muito da credibilidade e confiança dada às suas partes interessadas, e qualquer incidente de segurança de informação pode colocar em questão a sua própria sobrevivência. Fenómenos como o “ransomware”, ou de indisponibilidade por “denial of dervice (DOS ou DDOS)”, podem condicionar a entrega de produtos ou serviços, e provocar uma perda significativa de valor real ou percecionado. Por outro lado, organizações cotadas em bolsa podem ver os seus investidores afastarem-se por questões relacionadas com estes acontecimentos. Intencionalmente os exemplos indicados focam na disponibilidade e integridade, não focando na confidencialidade, fator normalmente mais associado à segurança de informação. Todavia, também neste capítulo é importante que as organizações estabeleçam mecanismos adequados de proteção da informação, em particular se gerirem dados pessoais ou dados sensíveis.

São, portanto, vários os desafios que as organizações enfrentam para garantir que a informação necessária ao seu negócio está devidamente protegida, está disponível a quem necessário, e se mantém confiável quanto ao seu conteúdo.

A família das normas ISO 27000 oferece ferramentas para responder às várias vertentes de informação e de como a proteger. A ISO/IEC 27001 é a norma que permite às organizações evidenciarem através de uma auditoria de terceira parte, que para a alegação do seu âmbito de certificação e de acordo com a sua declaração de aplicabilidade (SOA), foi implementado um sistema de gestão capaz de gerir o risco associado à informação, e que foram desenvolvidos controlos de acordo com o anexo A, e eventualmente outros, capazes de detetar, monitorizar e prevenir os riscos identificados.

Esta abordagem olha para a organização, identifica o contexto e as partes interessadas no que concerne à informação e à sua segurança. É definido um âmbito para o sistema, estabelecida uma política de segurança de informação, e estabelecidos indicadores e objetivos para o sistema. De seguida, é caracterizada a informação quanto à sua importância e é definido um método para sua classificação. Posteriormente são avaliados os riscos associados à informação e os seus respetivos suportes, e são implementadas medidas de minimização ou mitigação desses mesmos riscos, até ao nível considerado adequado pela organização. Depois de estabelecidas estas medidas ou controlos, a organização estabelece formas de medir se os mesmos estão implementados com eficácia, e periodicamente reavalia o seu sistema de gestão e desenvolve as ações necessárias para corrigir ou melhorar, em função dos resultados.

Resta a questão final, qual o valor da informação? Como podem as organizações avaliar o real valor da informação, e a importância que as várias partes interessadas atribuem à mesma? Estas serão sempre perguntas de difícil resposta. No entanto, de uma forma simplista, poderemos dizer que a informação vale o custo da sua recuperação ou da sua indisponibilidade. E isto varia significativamente, em função de cada tipo de negócio.

Hermano Correia
Diretor Executivo APCER Brasil
Auditor Coordenador 27001/20000-1/9001

	fevereiro de 2017 \| nº31
ARTIGOS DE OPINIÃO Semelhanças entre a ISO/IEC 27001 e o Regulamento Europeu de Proteção dos Dados Pessoais A nova norma ISO IEC 30105 BPO Conhecimento organizacional - a norma 9001:2015 como ferramenta para o sucesso das organizações Semelhanças entre o CISO / Gestor de Segurança da Informação e o DPO / Encarregado de Proteção de Dados ISO/IEC 27001 - Serviços cloud, privacidade, cibersegurança e datacenters - novos desafios para uma norma de referência no mundo da segurança empresarial VOZ DO CLIENTE Informa DB Autoridade Antidopagem de Portugal Factis Conceito Multicert STEP PLMJ Macedo Vitorino ENTIDADES CERTIFICADORAS APCER Exova BM TRADA Portugal QUALIWORK E PARCEIROS Apresentação da QualiWork Apresentação da Prime Alliance Apresentação da Vercont Apresentação da Scopphu > Conheça o nosso calendário	< voltar O VALOR DA INFORMAÇÃO Vivem-se tempos estranhos, em que a verdade pode ter variantes. Da verdade alternativa, à pós‑verdade, somos hoje confrontados com informações e fontes de informação que podem condicionar a nossa perceção da realidade. Assim, é nos momentos de incerteza e de dúvida que as pessoas e organizações necessitam de encontrar fontes de informação credíveis e comprovadas. Mas como podemos ter isso, quando o manancial de dados recebidos todos os dias, vindo das mais variadas fontes e proveniências, podem condicionar as nossas opções e as nossas convicções? Como podem as organizações garantir que têm a informação necessária disponível, quem está autorizado para aceder, e de forma íntegra? Através de um sistema de gestão de segurança de informação baseado na ISO/IEC 27001, as organizações poderão implementar um modelo de processos e controlos capazes de atingir estes objetivos. Efetivamente, os desafios na garantia da disponibilidade, confidencialidade e integridade, pelas organizações, hoje em dia, não são fáceis de atingir. A informação relevante para as organizações encontra-se em vários ambientes, desde suportes físicos tradicionais, como o papel, passando pelos suportes digitais e pelas pessoas. Pelo que a gestão e preservação do conhecimento carece de abordagens diferenciadas, dependendo dos riscos identificados para cada um desses suportes, e da importância da informação residente em cada um deles. A reputação das organizações, no seu global, depende muito da credibilidade e confiança dada às suas partes interessadas, e qualquer incidente de segurança de informação pode colocar em questão a sua própria sobrevivência. Fenómenos como o “ransomware”, ou de indisponibilidade por “denial of dervice (DOS ou DDOS)”, podem condicionar a entrega de produtos ou serviços, e provocar uma perda significativa de valor real ou percecionado. Por outro lado, organizações cotadas em bolsa podem ver os seus investidores afastarem-se por questões relacionadas com estes acontecimentos. Intencionalmente os exemplos indicados focam na disponibilidade e integridade, não focando na confidencialidade, fator normalmente mais associado à segurança de informação. Todavia, também neste capítulo é importante que as organizações estabeleçam mecanismos adequados de proteção da informação, em particular se gerirem dados pessoais ou dados sensíveis. São, portanto, vários os desafios que as organizações enfrentam para garantir que a informação necessária ao seu negócio está devidamente protegida, está disponível a quem necessário, e se mantém confiável quanto ao seu conteúdo. A família das normas ISO 27000 oferece ferramentas para responder às várias vertentes de informação e de como a proteger. A ISO/IEC 27001 é a norma que permite às organizações evidenciarem através de uma auditoria de terceira parte, que para a alegação do seu âmbito de certificação e de acordo com a sua declaração de aplicabilidade (SOA), foi implementado um sistema de gestão capaz de gerir o risco associado à informação, e que foram desenvolvidos controlos de acordo com o anexo A, e eventualmente outros, capazes de detetar, monitorizar e prevenir os riscos identificados. Esta abordagem olha para a organização, identifica o contexto e as partes interessadas no que concerne à informação e à sua segurança. É definido um âmbito para o sistema, estabelecida uma política de segurança de informação, e estabelecidos indicadores e objetivos para o sistema. De seguida, é caracterizada a informação quanto à sua importância e é definido um método para sua classificação. Posteriormente são avaliados os riscos associados à informação e os seus respetivos suportes, e são implementadas medidas de minimização ou mitigação desses mesmos riscos, até ao nível considerado adequado pela organização. Depois de estabelecidas estas medidas ou controlos, a organização estabelece formas de medir se os mesmos estão implementados com eficácia, e periodicamente reavalia o seu sistema de gestão e desenvolve as ações necessárias para corrigir ou melhorar, em função dos resultados. Resta a questão final, qual o valor da informação? Como podem as organizações avaliar o real valor da informação, e a importância que as várias partes interessadas atribuem à mesma? Estas serão sempre perguntas de difícil resposta. No entanto, de uma forma simplista, poderemos dizer que a informação vale o custo da sua recuperação ou da sua indisponibilidade. E isto varia significativamente, em função de cada tipo de negócio. Hermano Correia Diretor Executivo APCER Brasil Auditor Coordenador 27001/20000-1/9001
	Av. Columbano Bordalo Pinheiro, 61C, 1º Andar, Escritório 13, 1070-061 Lisboa, Portugal tel. 917842136 \| 917840772 \| 917843174 \| www.qualiwork.pt \| geral@qualiwork.pt
Para deixar de receber a newsletter envie um e-mail para geral@qualiwork.pt