Na era da digitalização, é uma informação valiosa que deve ser preservada ou protegida acima de tudo. Para as empresas, isto significa que, a par da protecção de dados, a segurança da informação é uma necessidade absoluta. A boa notícia é: as empresas que possuem um sistema de gestão de qualidade certificado de acordo com a ISO 9001 já criaram uma boa base para a introdução passo a passo de uma segurança de informação totalmente abrangente.

Loading...

O tema da segurança da informação não é novo. Os perigos que ameaçam o extenso panorama da informação nas organizações são conhecidos há muito tempo. De acordo com o BSI "Cyber Security Survey" de abril de 2019, 43% das grandes empresas relataram ter sido afectadas por incidentes de segurança cibernética em 2018.

Para as pequenas e médias empresas, o número foi de 26%. E de acordo com o "Relatório da Situação da Segurança Informática na Alemanha 2021" do Escritório Federal Alemão para Segurança da Informação (BSI), os casos de crimes cibernéticos aumentaram mais uma vez significativamente. No período de 1 de junho de 2020 a 31 de maio de 2021, não só houve um aumento de 22% em novas variantes de malware (cerca de 144 milhões), mas a qualidade dos ataques também continuou a aumentar consideravelmente. No processo, muitos perpetradores exploraram a angústia da Corona de muitas empresas e pessoas.

No entanto, a segurança das informações confidenciais da empresa ainda é negligenciada. Muitas vezes há uma falta de cautela e de consideração no processamento e armazenamento de informações. A conscientização das consequências do roubo de dados e de outros elementos similares também está longe de estar suficientemente desenvolvida em todos os lugares. Em alguns lugares, as empresas também estão relutantes em investir o tempo e o esforço necessários para proteger eficazmente as suas informações sensíveis.

Passo a passo para uma maior segurança da informação

Mas o esforço necessário para a segurança dos dados não tem de ser tão grande. A boa notícia é que muitas empresas não têm de implementar um sistema de gestão de segurança de informação abrangente de uma só vez. Para infra-estruturas críticas (CRITIS), por outro lado, isto é exigido pela lei alemã de segurança informática.

Uma abordagem passo a passo também é concebível. Isto significa que o primeiro passo, pelo menos em empresas que têm um sistema de gestão de qualidade (QM) de acordo com a ISO 9001, pode ser uma actualização da abordagem baseada no risco necessária - mas já com vista aos requisitos correspondentes da importante norma de segurança da informação ISO 27001.

Loading...

ISO 9001 e ISO 27001 numa era de digitalização

Tópico existente? Agora disponível como um White Paper gratuito!

Do conteúdo:

Quanto papel para a qualidade?
Proteger informação documentada eficazmente
ISO 27001: Base para digitalização segura

Este White Paper é baseado na versão ISO 27001:2013. 

Segurança da informação e gestão da qualidade

ISO 27001 vs. ISO 9001: Onde estão as conexões? Em primeiro lugar, deve ser notado que a norma de gestão da qualidade ISO 9001 exige uma abordagem baseada no risco em toda a linha. No entanto, a implementação deste requisito do sistema de gestão depende, em grande parte, da sua organização. Por exemplo, a gestão da qualidade não requer um processo separado para a avaliação de riscos, mas isto é inquestionavelmente muito pouco no que diz respeito à segurança da informação. No entanto, isso é muito pouco:

A avaliação de risco para questões de gestão da qualidade pode ser facilmente ampliada para incluir a segurança da informação.

Para isso, é útil analisar os requisitos para identificar e lidar com os riscos de segurança da ISO 27001 para um sistema de gestão da segurança da informação (ISMS). A maioria dos aspectos pode ser implementada pelos utilizadores de um sistema de gestão de qualidade com esforço razoável - como um primeiro passo no caminho para a segurança holística da informação, pense em si.

Segurança da informação - riscos e oportunidades

As duas normas internacionais, ISO 27001 para segurança da informação e ISO 9001 para gestão da qualidade, tratam dos temas relevantes no Capítulo 6.1 "Medidas para lidar com os riscos e oportunidades". Em essência, o objectivo é assegurar três aspectos essenciais no sistema de gestão:

  • Atingir os resultados pretendidos pela sua organização
  • Prevenir ou reduzir os efeitos indesejáveis
  • Atingir a melhoria contínua através do cumprimento de certas normas

No que diz respeito à segurança da informação, estes são principalmente os três objectivos essenciais de protecção:

  • Perda de confidencialidade
  • Integridade da informação
  • Disponibilidade da informação

A norma ISMS ISO 27001 especifica os seguintes requisitos (secção 6.1.1):

  • Determinação de riscos e oportunidades
  • Medidas de planeamento para lidar com os riscos e oportunidades identificados
  • Planear como as medidas serão integradas nos processos da empresa e implementadas

Identificar e lidar com os riscos

O próximo subcapítulo (6.1.2) da ISO 27001 requer o estabelecimento e aplicação de um processo de avaliação de risco de segurança da informação. Este processo deve estabelecer e manter critérios de risco de segurança da informação. Isto inclui, em particular, os critérios de aceitação de riscos e a realização de avaliações de risco de segurança da informação.

Além disso, o processo deve garantir que "avaliações repetidas de risco de segurança da informação produzam resultados consistentes, válidos e comparáveis", como diz a norma ISMS. Os seguintes subitens podem ser significativos com um primeiro passo em mente:

  • Identificar os riscos de segurança da informação
  • Analisar os riscos de segurança da informação
  • Avaliar os riscos de segurança da informação

Os requisitos em 6.1.3 requerem o estabelecimento e aplicação de um processo para abordar o risco de segurança da informação, a fim de alcançar o seguinte:

  • Seleccionar opções apropriadas para abordar o risco de segurança, com respeito aos resultados da avaliação de risco
  • Determinar todas as acções necessárias para implementar as opções seleccionadas para enfrentar o risco de segurança
  • Comparar as medidas definidas com os controlos especificados no Anexo A da ISO 27001 (acções alvo)
  • Preparar uma declaração de aplicabilidade relativamente aos motivos para (não) incluir os controlos do Anexo A
  • Formular um plano para o tratamento de riscos de segurança
  • Obter a aprovação e aceitação deste plano por parte dos proprietários de risco
informationssicherheit-standards-zwei schwarze seile laufen horizontal durch das bild und sind in der bildmitte zu einem kreuzknoten verknuepft
Loading...

Certificação de acordo com a ISO 27001

Que esforço precisa esperar para ter seu sistema de gestão de segurança da informação certificado de acordo com a ISO 27001? Descubra.

O Anexo A da ISO 27001 oferece orientação

O Anexo A da conhecida norma de sistema de gestão ISO/IEC 27001 tem um carácter normativo explícito. Pode ser entendida como uma espécie de lista de verificação de 93 possíveis controlos de segurança de informação, focando-se nos 4 tópicos seguintes: 


A.5 Controlos Organizacionais (com 37 controlos)
A.6 Controlos Pessoais (com 8 controlos)
A.7 Controlos Físicos (com 14 controlos)
A.8 Controlos Técnicos (com 34 controlos).

Uma organização pode usar o anexo A para garantir que não ignorou quaisquer itens essenciais para abordar os riscos de segurança. Contudo, não declara ser exaustiva.

Fonte: ISO/IEC 27001:2022

Dica de Leitura: 

Leia também o post de Blog sobre o Anexo A da ISO 27001: Responsabilidades e papéis dos colaboradores e ganhe conhecimento valioso com o nosso Guia de Auditoria Anexo A! 

Toda a informação baseada na ISO 27001:2013.

Segurança da informação e gestão da qualidade - qual é a melhor abordagem?

A ISO 27001 requer, portanto, dois processos separados para avaliar e lidar com os riscos de segurança da informação. Para o primeiro passo, porém, estes poderiam ser combinados em um processo que amplia especificamente a avaliação dos riscos da gestão da qualidade de acordo com os requisitos acima mencionados para incluir o aspecto da segurança da informação. As duas normas proporcionam assim uma boa base para a implementação de medidas de protecção de dados e de segurança informática.

ISO 27001 vs. ISO 9001: A profundidade do processo acima mencionado, em última análise, depende directamente da complexidade do cenário de informação da sua organização e dos dados que requerem protecção. De qualquer forma, é aconselhável que a sua eficácia seja verificada numa auditoria externa. Isto é aconselhável, por exemplo, no decurso de uma auditoria de certificação do seu sistema de gestão da qualidade de acordo com a ISO 9001, que está planeada de qualquer forma.

A segurança da informação vai de encontro à gestão da qualidade - quais são os benefícios?

  • Um processo que olha fundamentalmente os riscos de segurança da informação pode servir como um primeiro e importante passo para um sistema de gestão holístico de segurança da informação de acordo com a ISO/IEC 27001.
  • Ao implementar tal processo, a gestão de topo fortalece a consciência da segurança da informação e dos dados (protecção de dados) a todos os níveis.
  • Com a consideração orientada dos riscos de segurança da informação, uma empresa tem a oportunidade de descobrir a necessidade de acção e de tomar as medidas adequadas (orientadas para a ISO 27001, Anexo A).
  • A avaliação de risco ampliada para incluir a segurança da informação, por exemplo, como parte da gestão da qualidade, reforça a abordagem global baseada no risco de uma empresa.
  • Tanto os recursos financeiros como humanos necessários para a implementação e os testes de eficácia são manejáveis.

DQS: Simplesmente a alavancar a Qualidade

No acto de equilíbrio entre dinâmica e estabilidade, os sistemas de gestão certificados estão se a tornar cada vez mais importantes - um desenvolvimento que a DQS sente de forma positiva. Porque as empresas e organizações de sucesso utilizam os resultados das nossas auditorias para melhorar continuamente os seus resultados. E usam os nossos certificados reconhecidos globalmente como prova objectiva da sua capacidade de qualidade. Isto cria confiança - tanto interna como externamente à sua organização.

A DQS emitiu o primeiro certificado de gestão de qualidade da Alemanha em 1986. A primeira auditoria em agosto de 1986 foi baseada num rascunho da norma. Em 1991, a DQS recebeu a sua primeira certificação para ISO 9001/2/3 pela então TGA Trägergemeinschaft für Akkreditierung GmbH (hoje: DAkkS). A acreditação para certificação de segurança da informação de acordo com a norma britânica BS 7799-2 foi seguida em 2000.

Mais de três décadas de know-how

Os nossos textos e brochuras são escritos exclusivamente pelos nossos especialistas em normas ou auditores com muitos anos de experiência. Se você tiver alguma dúvida para o autor sobre o conteúdo ou nossos serviços, sinta-se à vontade para nos contactar.

audit-gerber-hermsdorf-werner-korall-dqs.jpg
Loading...

Têm questões?

Contacte-nos!

Sem obrigações e gratuitamente

Confiança e Perícia

Os nossos textos e brochuras são escritos exclusivamente pelos nossos peritos ou auditores com muitos anos de experiência. Se tiver alguma questão para o autor acerca de conteúdos ou dos nossos serviços, por favor contacte-nos.

Autor
André Saeckel

Gestor de produto na DQS para gestão da segurança da informação. Como especialista em normas para a área de segurança da informação e catálogo de segurança de IT (infra-estruturas críticas), André Säckel é responsável pelas seguintes normas e normas específicos da indústria, entre outros: ISO 27001, ISIS12, ISO 20000-1, KRITIS e TISAX (segurança da informação na indústria automóvel). Ele também é membro do grupo de trabalho ISO/IEC JTC 1/SC 27/WG 1 como delegado nacional do Instituto Alemão de Normalização DIN.

Loading...