Autoria: Samuel Cruz
Departamento Sistemas de Informação
A Wondercom obteve a certificação ISO/IEC 27001, uma das normas internacionais de referência na área da segurança da informação. Esta certificação representa um marco importante no nosso percurso de melhoria contínua e demonstra, de forma objetiva, que dispomos de um Sistema de Gestão de Segurança da Informação estruturado, auditado e alinhado com boas práticas reconhecidas internacionalmente.
Mais do que uma certificação técnica, a ISO 27001 é uma certificação de confiança. Num contexto em que a informação é um dos ativos mais valiosos de qualquer organização, proteger dados, sistemas, processos e conhecimento tornou-se uma responsabilidade estratégica. Para os nossos clientes, parceiros e restantes partes interessadas, esta certificação reforça a confiança na forma como gerimos a informação, tratamos riscos e asseguramos a continuidade e a segurança das nossas operações.
Do ponto de vista estratégico, a certificação ISO 27001 posiciona-nos de forma mais sólida no mercado. Demonstra maturidade organizacional, reforça a nossa capacidade de responder a requisitos de clientes e concursos, e evidencia o compromisso da empresa com a proteção da informação. Num setor cada vez mais exigente, onde a segurança é muitas vezes um fator de decisão, esta certificação constitui também uma vantagem competitiva.
Internamente, este processo permitiu-nos rever práticas, formalizar responsabilidades, melhorar controlos, reforçar procedimentos e criar uma abordagem mais consistente à gestão de riscos de segurança da informação. A certificação não significa que o trabalho terminou. Pelo contrário: significa que existe agora uma base sólida, auditada e reconhecida, sobre a qual devemos continuar a evoluir.
A segurança da informação não depende apenas da tecnologia, das ferramentas ou dos departamentos técnicos. Depende de todos nós. Cada colaborador, independentemente da sua função, é também responsável por proteger a informação com que trabalha diariamente. Um email enviado para o destinatário errado, uma password partilhada, um documento guardado num local indevido ou um incidente não comunicado podem ter impacto na organização.
Por isso, é fundamental que todos conheçam e cumpram os processos e procedimentos internos relacionados com a segurança da informação. Entre os documentos mais importantes estão:
Política de Segurança da Informação
Define os princípios gerais de segurança da informação da organização. Estabelece o compromisso da empresa com a proteção da confidencialidade, integridade e disponibilidade da informação, bem como as responsabilidades gerais de todos os colaboradores.
Política de Utilização de Ativos
Define as regras para a utilização correta dos ativos disponibilizados pela organização, incluindo computadores, telemóveis, contas de utilizador, email, acesso à internet, aplicações, sistemas e outros recursos tecnológicos. O objetivo é garantir que estes meios são usados de forma segura, adequada e alinhada com as necessidades profissionais.
Política de Classificação da Informação
Estabelece critérios para classificar a informação de acordo com a sua sensibilidade e importância. Nem toda a informação tem o mesmo nível de risco, pelo que é essencial saber distinguir informação pública, interna, confidencial, aplicando os cuidados adequados em cada caso.
Procedimento de Gestão de Eventos e Incidentes de Segurança da Informação
Define como devem ser identificados, comunicados, analisados e tratados eventos ou incidentes de segurança da informação. Sempre que exista suspeita de perda, divulgação indevida, acesso não autorizado, ataque informático, erro humano com impacto na informação ou qualquer situação anómala, esta deve ser comunicada de acordo com o procedimento definido.
A certificação ISO 27001 é, por isso, motivo de reconhecimento e orgulho, mas também de responsabilidade. Representa o esforço conjunto da organização para elevar o nível de proteção da informação e reforçar a confiança de quem trabalha connosco.
Cabe agora a todos manter este compromisso vivo no dia a dia. A segurança da informação constrói-se com processos, tecnologia e auditorias, mas também com atenção, rigor e responsabilidade individual. Cada colaborador tem um papel essencial neste sistema.
A certificação é da organização. A responsabilidade é de todos.