Presente no mercado desde 1996, a APCER faz este ano duas décadas de existência, sendo atualmente um dos principais players no âmbito da atividade de certificação. No sentido de contextualizar o nosso leitor, de que forma é que caracterizaria o percurso da marca em Portugal?
A APCER comemora 20 anos de atividade. Desde 1996 que a atividade da APCER tem sido pautada por princípios basilares para o sucesso de qualquer organização: compromisso, competência, integridade e agilidade. Como resultado deste posicionamento no mercado, a APCER desde o início da sua atividade posicionou-se como entidade de referência, e líder de mercado, na atividade de certificação.
Resultado da sua elevada resiliência, reflexo da elevada competência dos seus recursos humanos, a APCER sobrepôs-se a organismos de certificação mundialmente reconhecidos, que atuam hoje em dia no mercado português. Ao longo destes 20 anos, a APCER teve a preocupação em prestar serviços de valor acrescentado para as organizações, proporcionando competência e confiança à sociedade, mantendo uma cultura de proximidade com os seus clientes. Para além da atividade de certificação, a APCER é também reconhecida pela sua oferta em serviços de educação & formação e em auditoria (internas e a fornecedores).

A informação é um dos maiores recursos das Organizações. Nas empresas, a informação suporta uma grande diversidade de processos como negociações com clientes e fornecedores, nas fusões, e mesmo nos dados pessoais dos colaboradores. De que forma é que a norma ISO 27001:2013 pode demonstrar a integridade de dados, sistemas, além do compromisso com a segurança e informação?
A norma ISO/IEC 27001 define os requisitos necessários para estabelecer, implementar, manter e melhorar de forma contínua um sistema de gestão de segurança da informação (SGSI). A complexidade de um sistema de gestão de acordo com este referencial vai depender de um conjunto de fatores como necessidades e objetivos da organização, requisitos de segurança, processos organizacionais definidos e dimensão e estrutura da organização. O sistema de gestão preserva a confidencialidade, integridade e disponibilidade da informação através da aplicação de um processo de gestão do risco, e dá confiança a todas as partes interessadas de que os riscos são geridos adequadamente. Para um eficaz sistema de gestão de segurança da informação é fundamental que o mesmo seja integrado com os processos da organização e que a segurança da informação seja considerada na conceção de processos, sistemas de informação e controlos.

A norma ISO 27001:2013 tem como princípio geral a adoção pela organização de um conjunto de requisitos, processos e controlos com o objetivo de mitigarem e gerirem adequadamente o risco da organização. As empresas portuguesas estão preparadas para responder às exigências desta norma?
Sim. De acordo com o estudo da ISO – International Organization for Standardization, de 2014, existiam em Portugal 56 certificados emitidos de acordo com este referencial normativo, o que por si só revela o grau de resposta das organizações portuguesas face aos requisitos da norma. Quando está em causa a gestão do risco de uma atividade, qualquer organização que preze pela sua sustentabilidade deve identificar esses mesmos riscos, classifica-los por ordem de gravidade e tomar medidas adequadas. O processo de gestão dos riscos existe devido ao constante surgimento de novas ameaças aptas a explorar as vulnerabilidades dos ativos da informação, o que exige que se tomem algumas medidas de prevenção.
A avaliação dos riscos deve ser feita tendo em conta uma análise de custo-benefício, para revelar se compensa um risco ser minimizado ou transferido. Em suma, se um risco tem baixa probabilidade de ocorrer e o custo do seu tratamento é muito elevado, pode não compensar essa tomada de decisão, sendo o risco assumido. No entanto, qualquer que seja a decisão, será sempre tomada com base em informação, factos e conhecimento do negócio.

Quais as principais mais-valias para quem a adota a norma ISO 27001:2013 e quais os benefícios para os clientes, fornecedores ou parceiros?
Credibilidade comercial: O facto de a organização ser reconhecida ao nível da proteção da informação é uma garantia para os seus clientes e parceiros da forma como os seus dados são tratados pela organização;
Redução de custo: o custo de um único incidente de segurança poderá ser consideravelmente superior ao investimento em sistemas de proteção. Por outro lado, a certificação pode diminuir o custo de eventuais prémios de seguros que tenham como objeto a segurança da organização;
Cumprimento legal e regulamentar: A certificação demonstra às autoridades competentes e acionistas que a organização cumpre as leis e regulamentos aplicáveis, tanto do ordenamento jurídico português como regulamentos setoriais.
Redução do risco de incidentes de segurança: A certificação proporciona um melhor conhecimento dos sistemas de informação, das suas vulnerabilidades e da forma como os proteger, o que resulta num aumento do nível de proteção contra riscos de negócio.

André Ramos
André Ramos

O universo empresarial português vive alguns momentos de contenção financeiro e sendo esta uma relevante norma na melhoria, a questão do valor é sempre importante. Neste sentido, qual é o custo estimado da implementação e certificação?
Mais do que quantificar os custos inerentes ao processo de implementação e certificação de um sistema de gestão de acordo com a norma ISO/IEC 27001, as organizações devem procurar respostas para as seguintes questões: Quanto custará uma falha que implique uma perda efetiva de informação? Quais as consequências da utilização da informação por pessoas que dela possam fazer uso indevido e não autorizado? Qual o custo da diminuição da produtividade por erros, falhas de sistema ou utilização de informação errada? Qual o peso da ocorrência de incidentes sobre as informações de uma organização? As respostas a estas questões colocam os custos de implementação e certificação a um nível insignificante.

Sente que as empresas lusas têm atualmente outra sensibilidade no domínio da segurança da informação?
Sim, sem dúvida alguma. Os incidentes de cibersegurança estão a aumentar exponencialmente, as técnicas e ferramentas utilizadas são cada vez mais sofisticadas e o seu potencial de devastação para as empresas é maior. É neste contexto que as organizações portuguesas procuram encontrar soluções que mitiguem estas ameaças, e atenuem o risco a que atualmente se encontram expostas. Pretendem, assim, apresentar aos mercados evidências e garantias adicionais das práticas que empregam no desenvolvimento das suas atividades.

Crê que esta norma vem apoiar as empresas portuguesas no domínio da internacionalização, ou seja, o mercado externo identifica quem está munido desta norma e aceita-o melhor, dada a credibilidade e segurança que a mesma aporta?
A certificação de acordo com a norma ISO/IEC 27001 é reconhecida a nível mundial. No final de 2014, e de acordo com o estudo da ISO – International Organization for Standardization, existiam 23.972 certificados emitidos em todo o mundo de acordo com este referencial normativo, um crescimento de 7% face aos números de 2013. Uma das grandes vantagens das organizações que procuram esta certificação, num contexto de mercado complexo, é sem dúvida a possibilidade de conquistarem novos mercados através deste fator diferenciador.

De que forma é que, com esta norma, as empresas conseguem proteger de forma mais eficaz as suas vantagens competitivas e o próprio conhecimento do negócio?
Vivemos numa era em que a informação é considerada a chave dos negócios de uma organização, devido à sua utilidade e importância. A problemática da segurança da informação está associada com a crescente dependência das empresas em sistemas de informação e tecnologias da informação. Reconhecendo o valor da informação, as organizações devem certificar-se de que a gerem de forma eficaz. Um SGSI permite uma gestão dos riscos da segurança da informação para garantir que a informação não é negada nem se tornará indisponível, não será perdida, destruída ou danificada, divulgada sem autorização ou até mesmo roubada.

Que conselho/mensagem deixaria às empresas que ainda vislumbram a norma ISO 27001:2013 com algum ceticismo?
Como dizia Descartes “todo o conhecimento é inseguro e não está livre de dúvidas”. Para aquelas organizações que ainda não encontraram uma certeza absoluta sobre as mais-valias na implementação da ISO/IEC 27001 proponho que procurem fazer algum benchmarking com organizações que possuam um SGSI implementado, ou por outro lado, que avaliem o impacto da perda total ou parcial da informação que gerem em resultado da sua atividade.