A violação de dados tem vindo a tornar-se parte do nosso dia-a-dia e várias organizações têm sido alvo destes “data breaches” com repercussões altamente negativas para a imagem e negócios. Aplica-se a máxima “Better safe than sorry”.
Qualquer organização, independentemente da sua dimensão, pode ser um alvo. Obviamente que as organizações com maior visibilidade ou cujo negócio depende mais da Internet, têm factores de risco aumentados. Como todas as organizações têm informação sensível, clientes e empregados, tornam-se apetecíveis às tentativas de penetração e de exploração de vulnerabilidades.
A norma ISO/IEC 27001 é o padrão de referência Internacional para a Gestão da Segurança da Informação. Preconiza a criação de um Sistema de Gestão de Segurança da Informação (SGSI ou ISMS) para definição e operacionalização de uma abordagem transversal aos problemas da confidencialidade, disponibilidade e integridade da informação. Esta norma faz parte de uma família de normas, ISO 27000, que endereçam, cada uma, uma área especifica da segurança de informação.
A ISO/IEC 27001 evoluiu com base nos contributos de profissionais e das suas experiências, até ao estabelecimento de uma norma estável, completa e adequada.
Assim, é possível a qualquer empresa usufruir do contributo de especialistas e criar uma base, objectiva, para lidar com as questões da segurança da informação.
Várias instituições em Portugal e no mundo já adotaram as práticas da ISO 27001, usufruindo dos seus benefícios directos, podendo ainda “publicitar” as suas boas práticas através da certificação, demonstrando que cumprem os princípios, requisitos e processos.
A necessidade de evoluir, melhorar e diversificar negócios leva á exposição de riscos que devem ser uma preocupação da gestão. A ISO/IEC 27001 ajuda as organizações a lidar com esta realidade.
A abordagem preconizada pela ISO/IEC 27001 assenta no ciclo de melhoria da ISO - o PDCA (Plan, Do, Check and Act) - o qual permite obter uma base de dados de conhecimento, através da gestão da melhoria.
Quais os serviços de segurança Outsourced?
Porque são estes serviços Outsourced?
A ISO/IEC 27001 é composta por duas partes:
Norma
- A norma onde estão descritos os requisitos dos Sistema de Gestão, é onde são definidas as políticas, regras e os requisitos da norma.
Controlos
- Os controlos (denominado anexo A), são um conjunto de medidas operacionais que as organizações devem adotar de foram a permitir conferir se as regras e requisitos estão a ser respeitadas.
Benefícios para si, para os seus clientes e parceiros?
- Cria uma cultura de segurança o que leva a uma diminuição de risco de exposição
- Os executivos passam a ter um compromisso para com a segurança da informação
- Aumenta a fiabilidade, a segurança da informação e dos sistemas
- Direciona os investimentos para a diminuição de risco, ignorando modas e tendências.
- Aumenta a confiança dos clientes e parceiros
Quem audita os resultados?
Caso as organizações pretendam certificar-se, isto é, anunciar ao mundo que seguem as boas práticas e regras ditadas pela ISO 27001, serão ciclicamente auditadas de forma a garantir a manutenção dessas boas práticas. As auditorias serão realizadas por auditores de instituições externas, independentes, habilitadas e idóneas.