Autoria: Samuel Cruz Departamento de Sistemas de Informação
A organização conhecida hoje como ISO surgiu em 1926 com o nome International Standardizing Associations (ISA), na altura muito centrada no sector da engenharia mecânica. Foi dissolvida em 1942, durante a segunda guerra mundial e recriada já com o nome ISO (International Organization for Standardization) em 1946. Os objetivos da ISO são desenvolver e publicar standards internacionais que respondam às necessidades do mercado. Uma empresa certificada por uma ou mais normas ISO assegura que cumpre critérios e procedimentos reconhecidos internacionalmente.
A ISO 27001 ISMS, ou Information Security Management System é a norma padrão e referência internacional, que estabelece um padrão de boas práticas na gestão da segurança da informação.
A maioria das organizações possui inúmeros processos com vista à segurança da informação. No entanto, sem um sistema de gestão de segurança da informação (SGSI), estes processos tendem a ser pouco transversais e por vezes desconexos, tendo sido implementados muitas vezes como soluções pontuais para situações específicas. Os mecanismos de controlo de segurança de informação tipicamente implementados abordam determinados aspectos de tecnologia da informação (TI) ou segurança de dados especificamente, deixando com frequência os ativos de informação que não são de TI (como documentos em papel e propriedade intelectual) menos protegidos em geral.
Assim, a ISO27001 exige que a organização examine sistematicamente os riscos para a segurança da informação, tendo em consideração as ameaças, vulnerabilidades e impactos. Obriga a projetar e implementar um conjunto abrangente de medidas de segurança da informação e/ou outras formas de tratamento de risco (como prevenção ou transferência de risco) para lidar com os riscos considerados inaceitáveis, e estabelece que se adopte um processo de gestão abrangente para garantir que os mecanismos de segurança da informação continuem a satisfazer as necessidades de segurança da informação da organização de forma contínua.
Com isto em mente, e estando a Wondercom no mercado das TI, esta certificação reveste-se de especial importância estratégica, pelo que foi decidido que a iremos implementar. Os primeiros passos já foram dados, e está neste momento a ser elaborado um levantamento de necessidades de processos e procedimentos a criar.. Muito trabalho já havia sido feito no passado e, na verdade, a maior parte dos mecanismos de segurança que a norma exige já os tínhamos implementado, pelo que não estamos a partir do zero. O desafio vai ser maioritariamente criar os processos de controlo aos mecanismos de segurança que já temos. Isto vai implicar, é certo, algumas alterações a determinados processos de todos os departamentos, pelo que é fundamental que todos estejamos conscientes da importância estratégica desta certificação.
Contamos com a colaboração de todos!
