Skip to main content

A segurança da informação além do certificado ISO 27001

ISO 27001

A empresa que possui este selo demonstra ao mercado que possui um modelo de Gestão da Segurança da Informação dentro dos parâmetros aceites internacionalmente num ambiente de negócio seguro. 

Em termos práticos, a informação é um conjunto de dados e conhecimentos organizados, que contam-nos algo, e que possibilita a tomada de decisões a partir de tal informação.

É por isso que a informação se tornou o bem mais valioso nos dias atuais, conhecidos como a era da informação. Porém, não foram apenas as empresas que perceberam a informação como um ativo valioso.

O drástico aumento no número de ataques cibernéticos, que cresceu ainda mais durante a pandemia, demonstra o poder da informação e o quão lucrativo esse crime pode ser para os piratas cibernéticos. Sendo assim, mais do que um diferencial competitivo, proteger os dados da sua empresa nunca foi tão necessário como nos dias atuais.

É nesse sentido que a posse de informação pode colocar em risco toda uma empresa, quando não há segurança para o seu tratamento.

Os pilares da Segurança da Informação são: confidencialidade, integridade e disponibilidade dos dados. Em termos genéricos, garantir a segurança da informação é protegê-la da fuga e de divulgações não autorizadas, de uma forma que permaneça sempre íntegra para serem confiáveis e que esteja sempre disponível quando necessário.

Neste cenário, a ISO 27001 é uma norma de governo das empresas que indica um conjunto de políticas, processos e controlos que visam regular a forma como a empresa administra e controla os riscos de informação e, é por isso, que este assunto está em pauta na gestão de topo das organizações.

A sua empresa recebe todos os benefícios de um Sistema de Gestão de Segurança da Informação

PROTEGER A INFORMAÇÃO
CRÍTICA DE CIBERATAQUES

EVITAR COIMA DE ATÉ 4% SOBRE A FATURAÇÃO

MANTER A CONFIANÇA E A REPUTAÇÃO

DETER E GERIR AS FALHAS DE SEGURANÇA

ASSEGURAR AOS CLIENTES A SEGURANÇA DA INFORMAÇÃO

IDENTIFICAR E GERIR OS RISCOS

E por que usar a norma ISO 27001 como base durante o processo de implementação da segurança da informação?

Como toda norma ISO, a ISO 27001 também foi elaborada por um comitê que reúne os melhores especialistas a nível mundial, que discutem e analisam as melhores práticas neste âmbito e, de forma consensuada, desenvolvem um padrão passível de aplicação à qualquer organização, independente da localização, do setor e da dimensão.

Padronizar os processos de segurança da informação com base na ISO 27001 é garantir que a organização segue as diretrizes de um padrão mundialmente reconhecido e, por isso, desenvolve as suas atividades de forma segura e não coloca em risco as informações que detém. 

E, padronizar os seus processos é uniformizar os seus serviços e as atividades desenvolvidos trazendo a melhor forma de execução de um trabalho, deixando-o mais seguro e confiável.

Desta forma, deve implementar a norma ISO 27001 para aplicar na sua empresa as melhores práticas para identificar, analisar e controlar a gestão de riscos relacionados à segurança da informação e, assim, proteger a confidencialidade, a integridade e a disponibilidade de dados.

Um Sistema de Gestão de Segurança da Informação vai proteger a sua empresa, responder aos desejos e necessidades dos seus clientes e dos parceiros de negócio (cada vez mais exigentes!) e cumprir como regulamento de proteção de dados, sempre a somar regras.

Por fim, se ainda não implementou um sistema de gestão ISO 27001, lembre-se que é uma questão de tempo até que todos os seus clientes e fornecedores exijam a certificação. Afinal, a segurança da informação é o “must have” dos tempos modernos!

Um guia para implementar os melhores controlos de segurança da informação

A ISO 27001 tem como objetivo gerir de forma eficaz e contínua um sistema de proteção da informação. Mas, para atingir este objetivo, a sua empresa tem de implementar os requisitos, os métodos e os processos de controlo de segurança da norma e depois prosseguir com a manutenção e monitorização contínua das infraestruturas que suportam os sistemas de informação. 

Desta forma, consegue identificar e prevenir potenciais problemas e riscos que podem ocorrer com a informação. A norma serve também para reforçar a credibilidade e mostrar às partes interessadas que a sua empresa se importa com a confidencialidade e a integridade dos dados.

Quais são as etapas para a implementação da ISO 27001?

1

Iniciando o projeto

O objetivo dessa etapa é criar a estrutura inicial para o processo de implementação, nomeadamente, relacionado à gestão de tempo, interlocutor, equipa de gestão, comunicação, e também, executar o diagnóstico inicial na gestão de ativos e riscos da organização.
2

Contexto da Organização

A etapa tem por objetivo determinar o direcionamento estratégico da empresa, incluindo fatores internos e externos que podem impactar na sua organização, também definiremos o manifesto da segurança da informação que demonstra a preocupação e importância relacionada a segurança das informações operadas pela empresa.
3

Planeamento do Sistema SGSI

Nesta etapa faremos o mapeamento e definição dos processos e departamentos, mapeamento de todas as informações que a empresa opera, classificação e rotulagem das informações de forma a analisar a confidencialidade, integridade e disponibilidade de cada informação, mapeamento dos ativos da organização, análise das ameaças, vulnerabilidade e riscos de cada ativo, definição do plano de ação para minimizar os primeiros riscos mapeados.
4

Infraestrutura Geral

Analisaremos os riscos na estrutura física da empresa de forma a mitigar possíveis falhas de segurança da informação, atuaremos na definição do controlo de todos os equipamentos utilizados na empresa, mídias removíveis, servidores, na definição do processo de descarte de equipamentos, adequação à emergências como incêndios ou alagamentos,
5

Infraestrutura de TI – I

É a etapa de definição dos controlos para aceder os sistemas operacionais e informações da empresa, análise e adequação das redes internas, definição dos meios de comunicação oficiais da empresa, dos controlos criptográficos necessários para a empresa, de uso de mídias removíveis e adequação de controlo de utilização, definição de acordos de confidencialidade definição dos controlos relacionados à norma.
6

Infraestrutura de TI - II

Análise e definição dos backups da empresa, análise e definição de controlo dos softwares operacionais, definição de sistemática ou ferramenta de monitorização de rede, controlo de logs, análise e adequação das vulnerabilidades técnicas, definição de indicadores relacionados a segurança da informação, definição dos controlos relacionados à norma.
7

Desenvolvimento de Software

Nesta etapa será analisado o processo de desenvolvimento de software, conforme requisitos da ISO/IEC 27001 e definição dos controlos relacionados à norma.
8

Gestão de Pessoas

A etapa define os processos de recursos humanos com base na segurança da informação, desde a contratação até o desligamento do colaborador, atua também na definição das responsabilidades com base nos cargos, na análise de competências, na definição da comunicação interna e externa relacionado a segurança da informação, na definição da sistemática para violações de segurança, definição de controlo das informações documentadas e definição dos controlos relacionados à norma.
9

Compras

Nesta etapa analisaremos os fornecedores que acedem os ativos da organização e efetuaremos adequações no contrato para que abranjam a segurança da informação, atuaremos na definição de sistemática para monitorização de fornecedores com base na segurança da informação, análise de dados e definição dos controlos relacionados à norma.
10

Controlo, análise e melhoria

É a etapa para definição da gestão de incidentes relacionados a segurança das informações, tratamento das evidências relacionados aos incidentes de segurança da informação, definição de sistemática para tratativas de saídas não conformes, realização de auditoria interna para validação do Sistema de Gestão de Segurança da Informação implementado.

Garanta a Segurança da Informação na sua empresa com a ISO 27001!

Pare agora de perder negócios por falta da ISO 27001!

A sua empresa recebe todos os benefícios de um Sistema de Gestão de Segurança da Informação

segurança da informação

REDUÇÃO DE CUSTOS

segurança da informação

VANTAGEM NO MERCADO

segurança da informação

ORGANIZAÇÃO INTERNA

segurança da informação

CONFORMIDADE DOS PROCESSOS

segurança da informação

GARANTIR A MELHORIA CONTÍNUA

DÚVIDAS FREQUENTES

Se a sua dúvida não estiver aqui, pode entrar em contacto connosco.

Para que tipo de empresa é aplicável a Certificação ISO 27001?

A ISO 27001 é aplicável às empresas que se preocupam em ter os seus ambientes, digitais e físicos, seguros, de forma a garantir a disponibilidade, a confidencialidade e a integridade da informação.

Porquê implementar a ISO 27001 se já tenho o RGPD?

No RGPD verificamos somente as informações relacionadas com os dados pessoais com que a empresa opera, e enquanto isso na ISO 27001 são considerados não só dados pessoais, mas qualquer informação que seja importante para a organização. Como por exemplo, informações estratégicas de negócios, segredos industriais, informações de clientes etc. Sempre levando em consideração os 3 pilares da norma: confidencialidade, integridade e disponibilidade das informações.

Com isto há uma infinidade de informações que a empresa opera que, quando olhamos somente para o RGPD, não são analisadas e, por consequência, pode implicar falhas na segurança dessas informações provocando fuga de dados. Por exemplo, algum software pode não fazer parte das análises de riscos e cria uma vulnerabilidade interna que pode resultar na fuga de informações sigilosas.

Posso obter a certificação apenas num produto/serviço que ofereço ao mercado?

A ISO 27001 permite às empresas ter âmbito reduzido, ou seja, poderá ser relativo a uma atividade ou produção de um produto ou serviço específico.

A análise é se compensa ou não ter o âmbito reduzido, uma vez que mesmo com a redução alguns controlos precisarão de ser implementados de forma integral na empresa.

Quanto tempo em média demora para obter a certificação?

Isso depende de algumas variáveis que deve levar em consideração para esse cálculo, que são:

  1. Equipa: quem são as pessoas que farão parte desse projeto e o nível de conhecimento que têm dos processos internos e do negócio da empresa. Como se trata de uma norma de gestão de risco, quanto maior o conhecimento sobre a organização, mais ágil será o processo de implementação.
  2. Tempo: qual é o tempo disponível das pessoas para a dedicação nesse projeto. Aqui na Templum indicamos a necessidade de uma dedicação diária ao projeto para que as atividades estejam conectadas e assim diminuir a quantidade de retrabalho.
  3. Método: qual é o método escolhido para essa implementação? Se optar pela consultoria online da Templum, seguindo as nossas instruções garantimos uma agilidade maior em relação a outros métodos.

Desta forma, uma empresa de média dimensão, que aplica as variáveis acima indicadas, consegue obter a certificação, na média, em 12 meses.

Posso implementar a ISO 27001 com os meus colaboradores em teletrabalho?

Sim, inclusive a norma ISO 27001 é essencial nesse caso, pois, ajudará a estabelecer padrões, políticas e controlos que irão auxiliar a sua empresa no contexto da segurança da informação, mesmo com os colaboradores em teletrabalho.

Será necessário apoio jurídico durante a implementação?

Sim, durante a consultoria ISO 27001 será necessário um apoio jurídico para que seja analisada a parte legal nas relações com colaboradores e fornecedores relacionadas à segurança da informação e demais definições dependendo do seu setor de atuação. Este apoio deverá ser providenciado pela sua empresa.

Qual é o custo para obter a Certificação ISO 27001?

Esta é uma resposta bem particular para cada empresa e só conseguiremos ter a certeza desse investimento após a aplicação do Diagnóstico Inicial.

De forma geral, qualquer empresa que quiser obter a Certificação ISO 27001 precisará de realizar alguns investimentos:

  1. Contratar uma consultoria para auxiliar a empresa na implementação;
  2. Fazer um Gap Analysis (Diagnóstico Inicial);
  3. Ter apoio jurídico na adequação de contratos:
  4. Investir em segurança física das instalações e dos equipamentos;
  5. Contratar um Pentest (Teste de Intrusão) para assegurar resposta às vulnerabilidades;
  6. Realizar a auditoria interna no final da implementação;
  7. Realizar a auditoria de certificação pela Entidade Certificadora;
  8. Manter ações de melhoria contínua e verificação independente do Sistema de Gestão.
Templum Consultoria

Contamos com 12 anos de história, mais de 1500 empresas certificadas e garantimos em contrato a devolução do valor pago na consultoria caso não conquiste a certificação ISO.

Diferencial competitivo

A segurança da informação é o assunto do momento em todas as rodas de discussões empresariais. Então, se de facto quiser um diferencial competitivo da sua empresa face aos seus concorrentes, não deixe de colocar a ISO 27001 no seu radar. Temos a  certeza que fará grande diferença no seu negócio!

SOLICITE UMA PROPOSTA

A Consultoria que levou mais de 1.500 empresas até a certificação

Como nós o conduzimos ao sucesso?

  • Diagnóstico ISO 27001 X Realidade
    Identificaremos os pontos que precisarão de ajustes para conseguir a certificação. Nem mais, nem menos…
  • Cronograma (passo-a-passo)
    Criaremos um trajeto, sem distrações, até à sua certificação.
  • Validação a cada passo concluído
    Validaremos cada passo sem deixar nada pendente para trás.
  • Interação Frequente e Ilimitada com o Consultor
    Contactos diários, reuniões frequentes e produtivas com o consultor.
  • Documentos pré-formatados
    Elaboramos previamente os modelos dos documentos e ajustamos da forma mais útil e adequada à realidade do seu negócio.

NOSSOS CLIENTES

ESTAMOS SEMPRE DISPONÍVEIS
ATRAVÉS DA TECNOLOGIA.

Controlamos detalhadamente todas as atividades da sua jornada na consultoria, facultando o apoio necessário para que maximize os seus resultados. Tudo isto através de tecnologia intuitiva, uma plataforma disponível 24h, 7 dias por semana e com suporte ilimitado de um consultor especialista. É assim que conseguimos garantir o avanço no cronograma para que a sua empresa conquiste a certificação no prazo desejado.

online-icones-consultoria-iso-27001-templum-portugal-2