Inicio Tags APCER

Tag: APCER

Qualidade como estratégia de competitividade

O resultado de Portugal reflete a melhoria da avaliação da economia nacional nas quatro dimensões avaliadas: performance económica, eficiência governamental, eficiência nos negócios e infraestruturas.

O ranking do IMD destaca a competitividade dos custos, a mão-de-obra qualificada, a qualidade das infraestruturas, a mentalidade aberta e atitude positiva, assim como o elevado nível de educação.

Por conseguinte, debruçamo-nos sobre qual o verdadeiro impacto de um sistema de gestão da qualidade na competitividade das organizações e, consequentemente, do mercado?

Anteriormente, quando falávamos em qualidade e de forma algo elementar, estávamos a caracterizar atributos de um produto, de um serviço ou de algo passível de qualificar. Nos dias de hoje o conceito de qualidade é muito mais abrangente, pode estar relacionado com a estratégia de uma organização, com os objetivos definidos, com os resultados alcançados, com o nível de competência, bem como, com a sustentabilidade organizacional. Se, em tempos passados, era visto como um atributo desejável, nos tempos atuais é uma condição fundamental.

O principal fator para esta mudança de paradigma foi, essencialmente, o maior grau de exigência por parte dos consumidores. A qualidade passou a ser o fator estratégico de competitividade e sustentabilidade das organizações, presente não só nos produtos e/ou serviços, mas também nas infraestruturas, nos processos, na relação com o cliente, na capacidade de inovar, na procura de novas soluções tecnológicas, no conhecimento organizacional, entre outros, e nos resultados.

A qualidade sustenta três pilares que compõem uma estrutura organizacional: estrutura de recursos humanos (quem é quem, quem faz o quê?), a estrutura dos processos (quais são os processos chave? Como se relacionam entre si? Quais os seus indicadores de desempenho?) e a estrutura de produto/serviço (recursos necessários para fabricação do produto e/ou entrega do serviço).

O referencial ISO 9001:2015 – Sistema de Gestão da Qualidade, possui um conjunto de requisitos que, devidamente implementados, contribuem significativamente para o sucesso de uma organização, como a necessidade de compreender a mesma e o contexto em que se enquadra, compreender as necessidades e as expectativas das partes interessadas, o pensamento baseado no risco, a necessidade de um forte envolvimento da gestão de topo e a definição das competências necessárias para todos os colaboradores que afetam o desempenho e eficácia do sistema de gestão.

De acordo com o ISO SURVEY de 2017, dados a 31 de dezembro de 2017, foram emitidos 1.058.504 certificados ISO 9001 – Sistema de Gestão da Qualidade, em todo o mundo. O que procuram estas organizações com a implementação e posterior certificação de um sistema de gestão da qualidade? Que benefícios esta ferramenta de gestão proporciona às organizações? Estes superam o esforço financeiro da organização em implementar e manter o sistema de gestão?

Estas são alguma das questões que nos são colocadas diariamente. A decisão de implementar um sistema de gestão da qualidade pode ter origem em motivações internas e/ou externas.

A  necessidade de definir de uma forma clara, as funções e responsabilidades dos colaboradores, os critérios de recrutamento adequados aos perfis de competência desejados, os processos chave e de suporte à atividade, os indicadores e objetivos de desempenho, os métodos de monitorização e medição do desempenho dos processos, o método de avaliação da satisfação dos clientes e as metodologias para melhorar continuamente os resultados da organização, são os principais fatores motivacionais (internos) para uma organização decidir pela implementação de um sistema de gestão da qualidade.

Por outro lado, e como principais fatores motivacionais externos, surgem a exigência por parte dos clientes, a pressão da concorrência, o acesso a novos mercados e a melhoria de imagem da organização no mercado.

Concluindo, a norma ISO 9001 é uma ferramenta de gestão por excelência, assim o comprova o número de certificados emitidos em todo o mundo, que as organizações devem integrar no seu modelo estratégico de negócio, permitindo assim uma eficaz monitorização e medição dos resultados provenientes da sua implementação. Olhar a qualidade como estratégia para a competitividade não é apenas mais um fator de diferenciação, é uma premissa essencial.

André Ramos, Diretor de Marketingna APCER e Auditor Coordenador ISO 9001

Segurança de Informação

A preocupação pela proteção da informação é um imperativo do negócio sentido pelas organizações. Num contexto de crescente competição empresarial, cada empresa têm de proteger de forma eficaz as suas vantagens competitivas, isto é, o seu conhecimento do negócio. Relacionado também com a transformação digital emerge a preocupação com os riscos relacionados com a tecnologia e de definir boas práticas de controlo e gestão dos riscos associados.

A segurança das organizações deve ser entendida em vários níveis, nomeadamente em termos de segurança informática e de segurança da informação. Apesar de os conceitos se interligarem mutuamente, e de alguma forma poderem ser confundidos, existe uma diferença fundamental: enquanto a segurança informática pretende proteger sistemas informáticos (aplicações, base de dados, sistemas operativos), a segurança da informação pretende proteger a informação crítica do negócio nos seus vários suportes (documentos em papel, base de dados, pessoas, etc.).

A ISO/IEC 27001 estabelece requisitos de como lidar com a informação, consolidando um conjunto das melhores práticas da gestão de segurança da informação.

Um sistema de gestão da segurança da informação (SGSI) tem três componentes principais:

A norma ISO/IEC 27001 (evolução da antiga BS 7799-2:2002) certifica as organizações em termos de gestão de segurança da informação. A certificação demonstra que estas organizações possuem um sistema de gestão que protege a sua informação com mecanismos de controle adequados às suas necessidades e realidade, verificados por uma entidade externa. Através da avaliação e gestão do risco este sistema procura garantir a continuidade de negócio e diminuir o impacto de eventuais incidentes de segurança.

Ciente da importância de desenvolver profissionais nesta área de gestão de segurança da informação e da auditoria com os conhecimentos, as habilidades e os comportamentos adequados às exigências desta atividade, a APCER aposta numa oferta ampla de formação. Formação mais elementar sobre os sistemas de gestão para os novos que iniciam a carreira ou que desempenham outras funções; até formação avançada ou certificada para profissionais maduros que procuram um entendimento completo da gestão da segurança de informação e que aspiram a posições de maior liderança na gestão e em auditorias.

Para estes profissionais exigentes, a APCER, recentemente, lançou a 1ª Edição da Pós-Graduação em Sistemas de Segurança da Informação Das Metodologias à Implementação e disponibiliza o curso ISMS Lead Auditor certificado internacionalmente pelo CQI | IRCA, o maior organismo de certificação de auditores no mundo.

A Pós-Graduação proporciona aos formandos uma abordagem inovadora, a temas correntes e convergentes relacionados com a segurança das organizações. Tendo como plano de fundo desta abordagem, o referencial ISO 27001, o programa do curso integra os compromissos e requisitos da norma, como ponta da pirâmide de uma estrutura de segurança integrada. A Pós-Graduação trata igualmente o RGPD – Regulamento Geral de Proteção de Dados, como oportunidade para integração da gestão da privacidade e não apenas uma necessidade legal das organizações.

Com o objetivo de oferecer aos formandos as melhores referências normativas e práticas, o corpo docente é composto por auditores coordenadores e professores universitários com elevada experiência nestas matérias que disponibilizam o seu conhecimento em várias Unidades Científicas que se interligam entre si. Neste âmbito, os formandos terão também oportunidade de percorrer todo o ciclo de vida de uma auditoria, sendo convidados a participar em atividades de auditoria reais.

São integrados neste contexto, temas como:

→ Gestão do Risco

→ Gestão de Incidentes

→ Gestão da Continuidade de Negócio

→ Gestão da Cibersegurança

→ Gestão da Segurança em ambiente Cloud

→ Serviços de Confiança Digital eIDAS

→ Segurança de infraestruturas críticas (como o caso de Datacenters)

Como destinatários desta Pós-graduação podemos ter: Diretores de Sistemas da Informação ou funções similares; CISO – Chief Information Security Oficer; DPO – Data Protection Officer Gestores de Infraestruturas Críticas, Gestores de Conformdiade. Auditores e Consultores de Segurança da Informação.

O curso ISMS Lead Auditor ISO IEC 27001 fornece uma compreensão global, completa e prática da auditoria a sistemas de gestão de segurança de informação e mostra aos formandos como podem aplicar esses conhecimentos na sua atividade ou na sua organização.

Concretamente, este curso proporciona o conhecimento e as competências para os profissionais realizarem auditorias de 1ª (auditorias internas), 2ª (auditorias a fornecedores) ou 3ª parte (auditorias de certificação) ao sistema de gestão de segurança da informação de acordo com a norma ISO 19011 e/ou a ISO 17021, através de uma pedagogia prática e variada com base em estudos de casos, atividades práticas e role play de uma auditoria.

O curso foi projetado para profissionais que atualmente desenvolvem atividade nesta área e ambicionam progredir na carreira de gestão ou de auditoria para posições de líder.

Em resumo, estas formações avançadas de níveis de exigência superior são uma oportunidade de capacitação de profissionais que pretendam elevar os seus conhecimentos em matérias de segurança da informação nas organizações, com uma abordagem prática e multidisciplinar.

Opinião de Joana Freitas – Gestora Comercial Education & Training Apcer

Novidades das Normas ISO 9001:2015 E ISO 14001:2015

As duas normas de sistemas de gestão mais utilizadas a nível global, a ISO 9001 e ISO 14001, foram revistas e publicadas a 15 de setembro de 2015, integrando melhorias significativas para os sistemas de gestão da qualidade e ambiental das Organizações.  A ISO 9001:2015 é o culminar de uma adaptação ao mundo atual, tentando ir ao encontro das necessidades e expectativas dos seus utilizadores no contexto dinâmico e complexo em que operam. Sendo mais explícita e compatível com outras normas de sistemas de gestão, facilita a sua implementação e integração com outros sistemas de gestão adotados pelas Organizações. Esta nova versão está focalizada no desempenho organizacional, exigindo às Organizações uma gestão eficiente e eficaz dos seus processos, aplicando uma abordagem de “pensamento baseado em risco” na determinação do grau de planeamento e controlo necessários, gerindo os processos e o sistema como um todo, utilizando o ciclo “Plan-Do-Check- Act”. A norma ISO 14001:2015 responde às tendências mais recentes em gestão ambiental, como sejam a análise de risco e oportunidades, um maior compromisso da liderança e envolvimento das partes interessadas. A norma inclui várias alterações, tanto ao nível do sistema de gestão como especificamente ambientais. As principais alterações nas duas normas centram-se na adoção da estrutura de alto nível (que visa homogeneizar a estrutura das normas ISO), na inclusão do pensamento baseado em risco, na determinação do contexto organizacional, no reforço do papel da gestão de topo como líder na gestão organizacional e, especificamente para a ISO 14001, na perspetiva de ciclo de vida dos produtos/ serviços.

Atividades como:

– a análise do contexto externo e interno (cada Organização é diferente e única. Por esta razão as normas requerem que as Organizações determinem seu contexto específico no qual operam de forma a garantir que o seu sistema de gestão seja apropriado à realidade);

– a determinação de requisitos das partes interessadas relevantes (as Organizações devem pensar para além dos requisitos contratuais dos seus clientes e considerar as necessidades expectáveis relevantes de outras partes interessadas);

– a determinação de riscos e oportunidades (o “pensamento baseado em risco” está integrado nas normas pressionando as Organizações a identificar os riscos (e oportunidades!) associados às suas atividades, e tomar medidas para os reduzir ou controlar);

– a gestão do conhecimento organizacional (os conhecimentos e experiências adquiridas ao longo dos anos estão entre os maiores patrimónios de qualquer organização);

– a determinação de requisitos de produto que vão ao encontro das necessidades e expectativas do cliente (o foco primordial da gestão da qualidade é a satisfação dos requisitos dos clientes e o esforço em exceder as suas expectativas);

– o comprometimento e envolvimento da gestão de topo (qualquer iniciativa organizacional depende da forte liderança vinda do topo);

– considerar a perspetiva do ciclo de vida dos produtos e serviços (determinando quais as etapas do ciclo de vida que são controláveis ou influenciáveis pela organização. Questão específica da ISO 14001);

têm como principal objetivo o aumento e reforço da confiança nas organizações que consistentemente aplicam estes sistemas de gestão. Acreditamos que os novos referenciais encerram inúmeras oportunidades para as organizações melhorarem os seus processos, produtos e serviços e o seu desempenho ambiental, em sintonia com a sua orientação estratégica, o alcance dos seus objetivos e, sobretudo, as necessidades e expectativas das partes interessadas.

Prazos para a Transição

Durante três anos após a data de publicação, as duas versões estarão em vigor (ISO 9001 de 2008 e 2015 e ISO 14001 de 2004 e 2015), pelo que coexistirão até 15 de setembro de 2018. A partir desta data apenas estarão em vigor as normas ISO 9001:2015 e ISO 14001:2015.

Até dia 15 de setembro de 2018 as organizações certificadas devem realizar uma auditoria de transição para manterem os seus certificados válidos. Aconselhamos que a auditoria de transição coincida com uma auditoria do ciclo e certificação e que seja realizada com a maior antecedência possível em relação àquela data. A leitura dos guias APCER ISO 9001 e ISO 14001 (www.apcergroup.com/ Publicações) poderá ser útil para ajudar na interpretação das novas normas.

Opinião de Carolina Nogueira, Gestora de Produto APCER.

Norma ISO/IEC 27001- Um fator Diferenciador

Presente no mercado desde 1996, a APCER faz este ano duas décadas de existência, sendo atualmente um dos principais players no âmbito da atividade de certificação. No sentido de contextualizar o nosso leitor, de que forma é que caracterizaria o percurso da marca em Portugal?
A APCER comemora 20 anos de atividade. Desde 1996 que a atividade da APCER tem sido pautada por princípios basilares para o sucesso de qualquer organização: compromisso, competência, integridade e agilidade. Como resultado deste posicionamento no mercado, a APCER desde o início da sua atividade posicionou-se como entidade de referência, e líder de mercado, na atividade de certificação.
Resultado da sua elevada resiliência, reflexo da elevada competência dos seus recursos humanos, a APCER sobrepôs-se a organismos de certificação mundialmente reconhecidos, que atuam hoje em dia no mercado português. Ao longo destes 20 anos, a APCER teve a preocupação em prestar serviços de valor acrescentado para as organizações, proporcionando competência e confiança à sociedade, mantendo uma cultura de proximidade com os seus clientes. Para além da atividade de certificação, a APCER é também reconhecida pela sua oferta em serviços de educação & formação e em auditoria (internas e a fornecedores).

A informação é um dos maiores recursos das Organizações. Nas empresas, a informação suporta uma grande diversidade de processos como negociações com clientes e fornecedores, nas fusões, e mesmo nos dados pessoais dos colaboradores. De que forma é que a norma ISO 27001:2013 pode demonstrar a integridade de dados, sistemas, além do compromisso com a segurança e informação?
A norma ISO/IEC 27001 define os requisitos necessários para estabelecer, implementar, manter e melhorar de forma contínua um sistema de gestão de segurança da informação (SGSI). A complexidade de um sistema de gestão de acordo com este referencial vai depender de um conjunto de fatores como necessidades e objetivos da organização, requisitos de segurança, processos organizacionais definidos e dimensão e estrutura da organização. O sistema de gestão preserva a confidencialidade, integridade e disponibilidade da informação através da aplicação de um processo de gestão do risco, e dá confiança a todas as partes interessadas de que os riscos são geridos adequadamente. Para um eficaz sistema de gestão de segurança da informação é fundamental que o mesmo seja integrado com os processos da organização e que a segurança da informação seja considerada na conceção de processos, sistemas de informação e controlos.

A norma ISO 27001:2013 tem como princípio geral a adoção pela organização de um conjunto de requisitos, processos e controlos com o objetivo de mitigarem e gerirem adequadamente o risco da organização. As empresas portuguesas estão preparadas para responder às exigências desta norma?
Sim. De acordo com o estudo da ISO – International Organization for Standardization, de 2014, existiam em Portugal 56 certificados emitidos de acordo com este referencial normativo, o que por si só revela o grau de resposta das organizações portuguesas face aos requisitos da norma. Quando está em causa a gestão do risco de uma atividade, qualquer organização que preze pela sua sustentabilidade deve identificar esses mesmos riscos, classifica-los por ordem de gravidade e tomar medidas adequadas. O processo de gestão dos riscos existe devido ao constante surgimento de novas ameaças aptas a explorar as vulnerabilidades dos ativos da informação, o que exige que se tomem algumas medidas de prevenção.
A avaliação dos riscos deve ser feita tendo em conta uma análise de custo-benefício, para revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa probabilidade de ocorrer e o custo do seu tratamento é muito elevado, pode não compensar essa tomada de decisão, sendo o risco assumido. No entanto, qualquer que seja a decisão, será sempre tomada com base em informação, factos e conhecimento do negócio.

Quais as principais mais-valias para quem a adota a norma ISO 27001:2013 e quais os benefícios para os clientes, fornecedores ou parceiros?
Credibilidade comercial: O facto de a organização ser reconhecida ao nível da proteção da informação é uma garantia para os seus clientes e parceiros da forma como os seus dados são tratados pela organização;
Redução de custo: o custo de um único incidente de segurança poderá ser consideravelmente superior ao investimento em sistemas de proteção. Por outro lado, a certificação pode diminuir o custo de eventuais prémios de seguros que tenham como objeto a segurança da organização;
Cumprimento legal e regulamentar: A certificação demonstra às autoridades competentes e acionistas que a organização cumpre as leis e regulamentos aplicáveis, tanto do ordenamento jurídico português como regulamentos setoriais.
Redução do risco de incidentes de segurança: A certificação proporciona um melhor conhecimento dos sistemas de informação, das suas vulnerabilidades e da forma como os proteger, o que resulta num aumento do nível de proteção contra riscos de negócio.

André Ramos
André Ramos

O universo empresarial português vive alguns momentos de contenção financeiro e sendo esta uma relevante norma na melhoria, a questão do valor é sempre importante. Neste sentido, qual é o custo estimado da implementação e certificação?
Mais do que quantificar os custos inerentes ao processo de implementação e certificação de um sistema de gestão de acordo com a norma ISO/IEC 27001, as organizações devem procurar respostas para as seguintes questões: Quanto custará uma falha que implique uma perda efetiva de informação? Quais as consequências da utilização da informação por pessoas que dela possam fazer uso indevido e não autorizado? Qual o custo da diminuição da produtividade por erros, falhas de sistema ou utilização de informação errada? Qual o peso da ocorrência de incidentes sobre as informações de uma organização? As respostas a estas questões colocam os custos de implementação e certificação a um nível insignificante.

Sente que as empresas lusas têm atualmente outra sensibilidade no domínio da segurança da informação?
Sim, sem dúvida alguma. Os incidentes de cibersegurança estão a aumentar exponencialmente, as técnicas e ferramentas utilizadas são cada vez mais sofisticadas e o seu potencial de devastação para as empresas é maior. É neste contexto que as organizações portuguesas procuram encontrar soluções que mitiguem estas ameaças, e atenuem o risco a que atualmente se encontram expostas. Pretendem, assim, apresentar aos mercados evidências e garantias adicionais das práticas que empregam no desenvolvimento das suas atividades.

Crê que esta norma vem apoiar as empresas portuguesas no domínio da internacionalização, ou seja, o mercado externo identifica quem está munido desta norma e aceita-o melhor, dada a credibilidade e segurança que a mesma aporta?
A certificação de acordo com a norma ISO/IEC 27001 é reconhecida a nível mundial. No final de 2014, e de acordo com o estudo da ISO – International Organization for Standardization, existiam 23.972 certificados emitidos em todo o mundo de acordo com este referencial normativo, um crescimento de 7% face aos números de 2013. Uma das grandes vantagens das organizações que procuram esta certificação, num contexto de mercado complexo, é sem dúvida a possibilidade de conquistarem novos mercados através deste fator diferenciador.

De que forma é que, com esta norma, as empresas conseguem proteger de forma mais eficaz as suas vantagens competitivas e o próprio conhecimento do negócio?
Vivemos numa era em que a informação é considerada a chave dos negócios de uma organização, devido à sua utilidade e importância. A problemática da segurança da informação está associada com a crescente dependência das empresas em sistemas de informação e tecnologias da informação. Reconhecendo o valor da informação, as organizações devem certificar-se de que a gerem de forma eficaz. Um SGSI permite uma gestão dos riscos da segurança da informação para garantir que a informação não é negada nem se tornará indisponível, não será perdida, destruída ou danificada, divulgada sem autorização ou até mesmo roubada.

Que conselho/mensagem deixaria às empresas que ainda vislumbram a norma ISO 27001:2013 com algum ceticismo?
Como dizia Descartes “todo o conhecimento é inseguro e não está livre de dúvidas”. Para aquelas organizações que ainda não encontraram uma certeza absoluta sobre as mais-valias na implementação da ISO/IEC 27001 proponho que procurem fazer algum benchmarking com organizações que possuam um SGSI implementado, ou por outro lado, que avaliem o impacto da perda total ou parcial da informação que gerem em resultado da sua atividade.

EMPRESAS