As organizações habitualmente estão com um sentimento falso de segurança, no que diz respeito aos seus dados. Apesar de julgarem ter o sistema protegido devido a uma rede segura e atualizada, a questão é que muitas são as vulnerabilidades que constantemente são exploradas, mesmo nos sistemas mais populares.

Grande parte das organizações não têm qualquer ideia de que estão sujeitas a falhas de segurança da informação, até o pior acontecer.

A implementação de boas práticas (processos e procedimentos) de standards reconhecidos mundialmente, como as que se encontram na ISO/IEC 27001:2013, ajudam a colmatar as falhas de segurança existentes tendo em conta a abrangência das matérias envolvidas.

Com a perspetiva de reconhecimento no mercado, a certificação nesta Norma credibiliza as empresas certificadas, garantindo uma imagem de preocupação efetiva com a segurança da sua informação e com a informação dos seus clientes e parceiros. Mesmo que a organização não opte pela certificação, esta deve seguir um conjunto de boas práticas de segurança tendo por base o alinhamento com a norma.

Mesmo que a organização não opte pela certificação, esta deve seguir um conjunto de boas práticas de segurança, que são essenciais para proteger a informação da empresa:

  • Awareness dos empregados sobre os perigos de phishing
  • A maioria dos incidentes de segurança têm origem no interior da organização.
  • Desenvolver políticas e procedimentos de segurança abrangentes, incluindo políticas para equipamentos móveis, teletrabalho, abate de equipamento, encriptação ou instalação e download de aplicações
  • Garantir que os colaboradores conhecem as políticas implementadas e entendem a razão da sua implementação.
  • Garantir e monitorizar a atualização das patches das aplicações, bem como do software de antivírus.
  • Conduzir com regularidade testes de intrusão, mantendo atualizada a informação sobre ameaças e vulnerabilidades.
  • Implementar regras de boas práticas de criação e manutenção de passwords.
  • Utilização de redes seguras de acesso à informação crítica da organização.
  • Garantir a segurança da informação em todo o ciclo de vida dos projetos.

Os requisitos definidos são genéricos e podem ser aplicados a todas as organizações, independentemente do seu tipo, dimensão ou natureza. Esta Norma pode ser implementada com a urgência e orçamento apropriado para cada empresa com o apoio da DRC.