Prime Alliance
Prime Alliance

 

A violação de dados tem vindo a tornar-se parte do nosso dia-a-dia e várias organizações têm sido alvo destes “data breaches” com repercussões altamente negativas para a imagem e negócios. Aplica-se a máxima “Better safe than sorry”.

Qualquer organização, independentemente da sua dimensão, pode ser um alvo. Obviamente que as organizações com maior visibilidade ou cujo negócio depende mais da Internet, têm factores de risco aumentados. Como todas as organizações têm informação sensível, clientes e empregados, tornam-se apetecíveis às tentativas de penetração e de exploração de vulnerabilidades.

 

 

A norma ISO/IEC 27001 é o padrão de referência Internacional para a Gestão da Segurança da Informação. Preconiza a criação de um Sistema de Gestão de Segurança da Informação (SGSI ou ISMS) para definição e operacionalização de uma abordagem transversal aos problemas da confidencialidade, disponibilidade e integridade da informação. Esta norma faz parte de uma família de normas, ISO 27000, que endereçam, cada uma, uma área especifica da segurança de informação.

Prime Alliance

A ISO/IEC 27001 evoluiu com base nos contributos de profissionais e das suas experiências, até ao estabelecimento de uma norma estável, completa e adequada.

Assim, é possível a qualquer empresa usufruir do contributo de especialistas e criar uma base, objectiva, para lidar com as questões da segurança da informação.

Várias instituições em Portugal e no mundo já adotaram as práticas da ISO 27001, usufruindo dos seus benefícios directos, podendo ainda “publicitar” as suas boas práticas através da certificação, demonstrando que cumprem os princípios, requisitos e processos.

A necessidade de evoluir, melhorar e diversificar negócios leva á exposição de riscos que devem ser uma preocupação da gestão. A ISO/IEC 27001 ajuda as organizações a lidar com esta realidade.

A abordagem preconizada pela ISO/IEC 27001 assenta no ciclo de melhoria da ISO - o PDCA (Plan, Do, Check and Act) - o qual permite obter uma base de dados de conhecimento, através da gestão da melhoria.

 

Quais os serviços de segurança Outsourced?

Advice and Consult.
52%
Audit
47%
Monitoring
44%
Incident Response
42%

Porque são estes serviços Outsourced?

More cost-efficient
53%
Desire for Unbiased Insight
49%
More timely response to incidents
46%
Lack of Internal Expertise
31%

O que é que a norma ISO/IEC 27001 endereça?

A norma tem como princípio geral a mitigação do risco, adotando um conjunto de princípios, processos e controlos de forma a identificar e gerir adequadamente esses riscos.

Com uma perspetiva holística e independente, a adoção da ISO/IEC 27001 permite implementar, operar, monitorizar, rever e gerir o Sistema de Gestão de Segurança da Informação.

A abordagem à Segurança da Informação, nas suas múltiplas vertentes, adequa-se às telecomunicações, segurança aplicacional, proteção do meio físico, recursos humanos, continuidade de negócio, conformidade legislativa, licenciamento, entre outros.

Prime Alliance

A ISO/IEC 27001 é composta por duas partes:

Norma

  • A norma onde estão descritos os requisitos dos Sistema de Gestão, é onde são definidas as políticas, regras e os requisitos da norma.

Controlos

  • Os controlos (denominado anexo A), são um conjunto de medidas operacionais que as organizações devem adotar de foram a permitir conferir se as regras e requisitos estão a ser respeitadas.

Benefícios para si, para os seus clientes e parceiros?


Independentemente das empresas se certificarem ou não, a adopção das práticas de gestão documentadas na norma, representa um conjunto de benefícios, nomeadamente:

  1. Cria uma cultura de segurança o que leva a uma diminuição de risco de exposição
  2. Os executivos passam a ter um compromisso para com a segurança da informação
  3. Aumenta a fiabilidade, a segurança da informação e dos sistemas
  4. Direciona os investimentos para a diminuição de risco, ignorando modas e tendências.
  5. Aumenta a confiança dos clientes e parceiros

Quem audita os resultados?



Caso as organizações pretendam certificar-se, isto é, anunciar ao mundo que seguem as boas práticas e regras ditadas pela ISO 27001, serão ciclicamente auditadas de forma a garantir a manutenção dessas boas práticas. As auditorias serão realizadas por auditores de instituições externas, independentes, habilitadas e idóneas.