logo_qualiwork logo_apcer Consultoria e Formação na área da Qualidade, Ambiente, HACCP e Segurança
newsletter 06 | Fevereiro 2007 Tema em destaque: Tecnologias de Informação  

 

SGS-ICS - Gestão da Segurança da Informação e Competitividade

Conhecimento. Recorrentemente se fala de gestão do conhecimento como alavanca da sustentabilidade das organizações. Um elemento essencial para a inovação. Mas conhecimento resulta da actividade acção de pessoas, melhor, da sua inteligência a actuar sobre informação.

Pode-se afirmar que os negócios são comandados pela informação. É o recurso mais valioso. Alguma desta informação é de interesse público, outra é privada e não interessa a terceiros, mas uma grande parte é confidencial e de interesse para terceiros.

A informação confidencial pode envolver a pesquisa, o projecto, os protótipos, as tecnologias chave, os métodos de produção, os processos, o marketing do produto, planos, previsões, estratégias negociais, etc..

Uma informação deste tipo representa uma vantagem competitiva para as empresas concorrentes que a obtenham. Esta situação pode ter um impacto imediato – perda de um contrato chave – ou um impacto gradual, quando permite que os competidores consigam encurtar o processo de desenvolvimento de um produto, por terem acesso a informação relevante.

A actividade das empresas raramente está livre de riscos – isto é especialmente verdade quando se considera a segurança da informação. A segurança da informação não se refere a espionagem; mas a uma abordagem de gestão disciplinada com vista a preservar:

  • Confidencialidade: Prevenindo acessos e divulgações não autorizadas.
  • Integridade: Salvaguardando a exactidão da informação e respectivos métodos de processamento.
  • Disponibilidade: Assegurando que os utilizadores autorizados tem acesso à informação e aos respectivos métodos de processamento, quando solicitado.

A perda de algum destes atributos pode em determinadas circunstâncias, provocar um prejuízo comercial, constrangimentos ou danos graves ao negócio da empresa. As fontes de informação e métodos que a processam têm níveis diferentes de vulnerabilidade e valor. A segurança da informação não é alcançada com paranóia, nem resulta de uma abordagem parcial ou incompleta. Para começar é necessário efectuar uma análise completa e uma avaliação de riscos.

A quantidade do risco para a empresa é representada por:
Grau de vulnerabilidade × Severidade da ameaça × Valor do Activo.

São tão variadas as ameaças aos sistemas de informação das organizações e às suas redes de comunicação, que a necessidade de protecção e de uma gestão efectiva da segurança é cada vez mais urgente. De facto, a correcta Gestão da Segurança da Informação, torna-se assim, uma necessidade quotidiana em qualquer organização, que pretenda assegurar os seus clientes e parceiros relativamente ao uso dos seus dados e informação.
Com o desenvolvimento tecnológico, os serviços de empresas com sede internacional aparentam ser dirigidos para o mercado nacional e local dos consumidores. Num mercado competitivo, a rapidez na resposta às necessidades do mercado implicam a adopção de estratégias de comércio electrónico e à valorização do “know-how” por parte das empresas. As organizações que não salvaguardem os seus investimentos em informação, correm um sério risco.

Muitas organizações já estabeleceram controlos, reconheceram vulnerabilidades e códigos de boas práticas em actividades como:

  • Acesso individual e protegido a instalações informáticas.
  • Detecção de vírus, rotinas de “back-up” e armazenamento físico da informação.
  • Práticas de recursos humanos.
  • Tratamento de reclamações.
  • Planeamento estratégico e planos de recuperação de falhas.
  • Guia de conduta para a utilização de e-mail, fax, internet e fotocopiadoras.
  • Limitações no acesso a documentos.

Estas acções de gestão, apesar de representarem uma boa iniciativa, são comprometidas pela falta de disciplina. Requer considerações acerca dos danos organizacionais derivados da quebra de confidencialidade, integridade ou disponibilidade e a probabilidade de uma quebra desse tipo ocorrer e ser explorada. Uma avaliação de risco completa é uma tarefa desafiante. Existem produtos próprios que ajudam na execução desta tarefa, mas nenhum pode substituir um empenho da gestão de topo, do pessoal relevante e uma clarificação dos objectivos da empresa. Estabelecer uma base consistente para o valor dos activos, ameaças – tais como furtos, incêndios, inundações ou informação corrompida e a probabilidade da sua ocorrência necessitar de ajuda externa – nomeadamente em assuntos complexos de TI. Trata de evitar, reduzir, aceitar ou transferir riscos ao adoptar critérios apropriados. A selecção dos critérios de verificação é uma ponderação entre os custos e a viabilidade da operação, com o grau de redução de risco alcançado

Neste sentido desenvolvido um Sistema de Gestão capaz de assegurar a implementação de medidas eficazes de Segurança da Informação. A norma ISO 27001 foi desenvolvida para que as organizações pudessem certificar o seu Sistema de Gestão da Segurança da Informação, confirmando publicamente uma correcta conduta no uso e manipulação de dados e informação na sua posse.

Com reconhecido internacionalmente, o Sistema de Gestão da Segurança da Informação, de acordo com a norma ISO 27001, está já largamente implementado e certificado em países com um elevado índice de desenvolvimento de base tecnológica, como o Japão. Portugal tem de acompanhar esta evolução e preparar o futuro, garantindo um desenvolvimento seguro e de confiança.

A certificação permite demonstrar que uma organização pode ser considerada como um parceiro de confiança em termos de segurança da informação, encoraja os fornecedores a assegurarem a obediência continua ás necessidades de segurança da informação dos clientes e fornece uma estrutura para a melhoria contínua.

A SGS ICS possui uma equipa capaz de lidar com a natureza intangível do software e dos dados e informação, recorrendo à experiência, inovação e criatividade para desenvolver soluções adequadas a cada organização e a cada sistema.

 

Pedro Ferreira
Director Técnico
Desenvolvimento de Produtos
SGS ICS

 

Voltar à página principal da Newsletter 06 Topo

Subscrição por email

Cancelar a subscrição

Arquivo de Newsletters

@ Copyright: QualiWork