home > notícias

ASSOCIADOS

29/03/2016

APCER: A importância da Segurança da Informação para a Sustentabilidade das Organizações

A norma ISO/IEC 27001 – Sistema de Gestão da Segurança de Informação define os requisitos necessários para estabelecer, implementar, manter e melhorar de forma continua um sistema de gestão de segurança da informação (SGSI).

A complexidade de um sistema de gestão de acordo com este referencial vai depender de um conjunto de fatores como: necessidades e objetivos da organização, requisitos de segurança, processos organizacionais definidos e dimensão e estrutura da organização. O sistema de gestão preserva a confidencialidade, integridade e disponibilidade da informação através da aplicação de um processo de gestão do risco e dá confiança a todas as partes interessadas de que os riscos são geridos adequadamente. Para um eficaz sistema de gestão de segurança da informação é fundamental que o mesmo seja integrado com os processos da organização e que a segurança da informação seja considerada na concessão de processos, sistemas de informação e controles.

Com base em estudo da ISO – International Organization for Standardization, de 2014, existe cerca de 24.000 certificados emitidos em todo o mundo em conformidade com este referencial normativo, um crescimento de 7% em relação a 2013, o que revela o grau de resposta das organizações face aos requisitos da norma. No mercado brasileiro, e de acordo com o mesmo estudo de 2014, existiam 86 certificados emitidos. Este é um sinal de que as organizações brasileiras procuram cada vez mais soluções eficientes, investindo na qualificação dos seus profissionais e no desenvolvimento de tecnologia.

Quando está em causa a gestão do risco de uma atividade, qualquer organização que preze pela sua sustentabilidade deve identificar esses mesmos riscos, classifica-los por ordem de gravidade e tomar medidas adequadas. O processo de gestão dos riscos existe devido ao constante surgimento de novas ameaças aptas a explorar as vulnerabilidades dos ativos da informação, o que exige que se tomem algumas medidas de prevenção.

A avaliação dos riscos deve ser feita tendo em conta uma análise de custo-benefício, para revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa probabilidade de ocorrer e o seu custo de tratamento é elevado, não compensa essa tomada de decisão. Os principais benefícios para as organizações que implementam e certificam um sistema de gestão conforme a ISO/IEC 27001 são:

Credibilidade comercial: O fato de a organização ser reconhecida ao nível da proteção da informação é uma garantia para os seus clientes e parceiros da forma como os seus dados são tratados pela organização;

Redução de custo: De um lado o custo de um único incidente de segurança poderá ser consideravelmente superior ao investimento em sistemas de proteção. Por outro a certificação pode diminuir o custo de eventuais prêmios de seguros que tenham como objeto a segurança da organização;

Cumprimento legal e regulamentar: A certificação demonstra às autoridades competentes e acionistas que a organização cumpre as leis e regulamentos aplicáveis, tanto do ordenamento jurídico nacional como regulamentos setoriais.

Redução do risco de incidentes de segurança: A certificação proporciona um melhor conhecimento dos sistemas de informação, das suas vulnerabilidades e da forma como os proteger, o que resulta em um aumento do nível de proteção contra riscos de negócio.

As organizações devem, mais do que quantificarem os custos inerentes a um processo de implementação e certificação de um sistema de gestão de acordo com a norma ISO/IEC 27001, procurar respostas para as seguintes questões: Quanto custará uma falha que implique uma perda efetiva de informação? Quais as consequências da utilização da informação por pessoas que dela possam fazer uso indevido e não autorizado? Qual o custo da diminuição da produtividade por erros, falhas de sistema ou utilização de informação errada? Qual o peso da ocorrência de incidentes sobre as informações de uma organização? As respostas a estas questões colocam os custos de implementação e certificação a um nível insignificante.

Os incidentes de cibersegurança estão aumentando exponencialmente, as técnicas e ferramentas utilizadas são cada vez mais sofisticadas e o seu potencial de devastação para as empresas é maior. É neste contexto que as organizações portuguesas procuram encontrar soluções que mitiguem estas ameaças, e atenuem o risco a que atualmente se encontram expostas. Pretendem assim apresentar aos mercados, evidências e garantias adicionais das práticas que empregam no desenvolvimento das suas atividades.

Vivemos numa era em que a informação é considerada a chave dos negócios de uma organização, devido à sua utilidade e importância. A problemática da segurança da informação está associada com a crescente dependência das empresas em sistemas de informação e tecnologias da informação. Reconhecendo o valor da informação, as organizações devem certificar-se de que a gerem de forma eficaz. Um SGSI permite uma gestão dos riscos da segurança da informação para garantir que a informação não é negada nem se tornará indisponível, não será perdida, destruída ou danificada, divulgada sem autorização ou até mesmo roubada.

Como dizia Descartes “todo o conhecimento é inseguro e não está livre de dúvidas”. Para aquelas organizações que ainda não encontraram uma certeza absoluta sobre as mais-valias na implementação da ISO/IEC 27001, proponho algum benchmarking com organizações que possuam um SGSI implementado, ou por outro lado, que avaliem o impacto da perda total ou parcial da informação que gerem em resultado da sua atividade.

André Ramos, Diretor de Marketing APCER

Fonte: Assessoria



NOTÍCIAS RELACIONADAS
07/11/2017
Comissário Carlos Moedas antecipa uma "revolução" na indústria de pagamentos bancários [Roland Berger]
07/11/2017
Lucro da EDP aumenta 86% para 1.147 milhões nos primeiros nove meses do ano [EDP]
07/11/2017
EDP Espírito Santo promoveu oficina de grafite e rimas em Guarapari [EDP]
07/11/2017
Franco | Advogados anuncia expansão no atendimento Penal [Franco Advogados]
06/11/2017
Instituto Tomie Ohtake apresenta exposição com as obras dos vencedores EDP nas artes [EDP]
06/11/2017
Medida Provisória nº 806/17: Instituição de Tributação de Fundos de Investimento Fechados e Alterações na Sistemática de Tributação de Outros Fundos [CPBS]