Autor:
Sérgio Ferreira
Auditor e Coordenador Digital & Innovation da SGS Portugal
A ISO 27001 fornece as diretrizes necessárias à definição de um Sistema de Gestão de Segurança da Informação. Este engloba não apenas os aspetos técnicos, como infraestrutura e meios técnicos, mas também boas práticas de negócio, políticas de processamento da informação, formação de colaboradores, planos de contingência, entre outros.
Quais são os principais princípios e requisitos da ISO 27001?
1 — Contexto da Organização
Diferentes organizações de diferentes setores estão potencialmente expostas a diferentes fatores, quer internos quer externos, capazes de constituir ameaças à forma como gerem a informação. Aqui entram as características técnicas dos sistemas de informação, as expetativas das partes interessadas, requisitos legais, obrigações contratuais, informação particularmente sensível, entre outras questões.
2 — Âmbito do SGSI
Um Sistema de Gestão da Segurança da Informação (SGSI) deve ser planeado tendo em conta o seu âmbito de aplicação, isto é, definindo os processos e atividades envolvidos, os tipos de informação a monitorizar e proteger e, por oposição, definindo também os seus limites, técnicos ou outros. Para maior efetividade, o SGSI deve integrar os sistemas e processos de gestão em funcionamento na organização.
3 — Liderança
A liderança da organização tem um papel fundamental na definição e manutenção deste sistema de gestão. É aos responsáveis hierárquicos que cabe a redação de uma política de segurança da informação, a sua integração nos processos da organização, a comunicação dos seus princípios através da cadeia hierárquica e a promoção contínua do tema no seu seio, incluindo a disponibilização de formação adequada à sua força de trabalho.
4 — Planeamento
O planeamento é fundamental, nomeadamente no que diz respeito ao estabelecimento de processos de gestão do risco e oportunidades no âmbito do SGSI, incluindo: critérios de risco, identificação de ameaças, avaliação de riscos associados a cada perigo, medidas de mitigação e controlo, incluindo planos para o tratamento de risco, não esquecendo a definição de objetivos em Segurança da Informação.
5 — Suporte
Por suporte entende-se a aquisição e alocação de todos os recursos necessários à efetiva implementação do sistema de gestão. Podem considerar-se aqui infraestruturas (ex.: servidores e software), meios humanos (ex.: colaboradores especializados ou fornecedores externos) e competências técnicas (ex.: formação ou ações de sensibilização).
6 — Operação
É nesta fase que se concretiza toda a execução dos planos e processos acima definidos. É importante referir que a fase de operações deve ser acompanhada por uma produção atenta e bem-organizada de documentação, capaz de detalhar todas as atividades desempenhadas. Só assim será possível, em fase posterior, avaliar o trabalho desenvolvido e detetar eventuais problemas e riscos a corrigir.
7 — Avaliação de desempenho
Sem surpresas, a fase de avaliação de desempenho procura assegurar a qualidade do trabalho desenvolvido, sendo o garante da efetividade do SGSI e potenciando a introdução de melhorias futuras, assim como a minimização de problemas detetados, alimentando os processos de auditoria interna.
8 — Melhoria
Qualquer problema ou não-conformidade detetada na fase de avaliação deve originar uma intervenção rápida, seja no sentido de minimizar potenciais perdas e danos, seja com o intuito de evitar a sua reprodução futura. Qualquer vulnerabilidade do ponto de vista da segurança da informação pode ter fortes impactos a nível reputacional e legal, nomeadamente no quadro do RGPD, onde as coimas são calculadas com base no volume de vendas anual de uma organização.
Conheça os nossos serviços de Cibersegurança:
Se pretende saber mais sobre a ISO 27001 e Sistemas de Gestão de Segurança da Informação, descubra os nossos cursos >>
Para mais informações ou inscrições, por favor contacte:
tel: 808 200 747 (Seg. a Sex. das 9h às 18h)
@:pt.info@sgs.com
SOBRE A SGS
Somos a SGS - a empresa líder mundial em testes, inspeção e certificação. Somos reconhecidos como a referência mundial em qualidade e integridade. Os nossos 96.000 colaboradores operam numa rede de 2.600 escritórios e laboratórios, e trabalham em conjunto para possibilitar um mundo melhor, mais seguro e interligado.
Polo Tecnológico de Lisboa,
Rua Cesina Adães Bermudes 5, Lote 11, 1600-604,
Lisboa,
Portugal