Inicio Tags Certificação internacional ISO 27001:2013

Tag: certificação internacional ISO 27001:2013

.PT: “mais resiliente, seguro e confiável”

Inês Esteves

Depois de ter sido distinguido com a certificação do sistema de gestão de qualidade ISO 9001 que comprovou o compromisso desde sempre assumido com a qualidade e satisfação dos clientes, o .PT viu recentemente o seu modelo global de segurança de informação ser reconhecido com a certificação internacional ISO 27001:2013. Mais do que uma vitória depois de um longo e complexo processo, a atribuição deste referencial “abriu um processo de reflexão e de formalização de determinados aspetos com vista ao cumprimento dos requisitos impostos por este referencial”, clarificou Inês Esteves, Vogal do Conselho Diretivo da Associação DNS.PT com a responsabilidade pela área da segurança da informação. Com o reconhecimento por parte de uma entidade externa e independente que atestou o nível de implementação e de adequabilidade do referencial, a ISO 27001:2013 “é o culminar de um trabalho que a associação tem vindo a desenvolver na área da segurança da informação com vista a promover continuamente a adoção das e melhores práticas internacionais nesta área”.
No entanto, a concretização desta certificação não é o fim do processo mas sim uma etapa da estratégia e dos objetivos que .PT quer atingir. Para tal, “pretendemos envolver entidades nacionais e internacionais de referência nesta área, parceiros e registrars, que também têm um interesse acrescido no que respeita à segurança. Neste modelo internacional multistakeholder assumido pela associação, queremos chamar todas as partes interessadas”, afirmou Inês Esteves.
Desde a sua criação que a Associação DNS.PT, entidade nacional responsável pelo domínio de topo da Internet de Portugal, assumiu o compromisso de se dedicar ao estudo e ao desenvolvimento de soluções que permitam tornar o .PT “mais resiliente, seguro e confiável para a comunidade de utilizadores”. O Registry Lock Service (um serviço que disponibiliza uma proteção adicional de segurança aos dados associados a nomes de domínio) ou o DNSSEC (extensões de segurança ao protocolo DNS criadas para proteger e autenticar o tráfego DNS) são, aliás, exemplos desse real compromisso com a segurança da informação. Esta é a missão da associação que tem merecido o reconhecimento não só da comunidade de utilizadores e dos parceiros, mas também da comunidade europeia de ccTLDs (domínios de topo de um país).
Apesar de recente, já é possível avaliar o impacto que esta certificação teve junto da comunidade de parceiros e de utilizadores. “Mais confiança” acrescentou Inês Esteves. Confiança que não se esgota na comunidade já existente. A certificação gera ainda confiança adicional para quem procura um registo fiável e seguro como é o caso do .PT “que está preparado para os desafios atuais nas matérias ligadas à segurança da informação”, assegurou a responsável. Estar preparado significa saber que cada vez mais existe um conjunto de ameaças a que se está exposto e que existe, para tal, outro conjunto de práticas que permitem mitigar e garantir uma resposta adequada a essas vulnerabilidades.

Evolução das ameaças exige permanente atualização
A exposição a ataques e ameaças é permanente. Tendo em conta esta realidade, importa adotar uma contínua atualização de conhecimento técnico e tecnológico para que se consiga dar uma resposta rigorosa e eficaz. “As ameaças estão sempre a evoluir e, para isso, é fundamental ter uma atuação orientado para a inovação e permanente atualização, ao mesmo tempo que se estimula o contacto com entidades estratégicas nacionais e internacionais que contribuem para nos mantermos a par das mais reais e atuais vulnerabilidades nesta área”, disse Inês Esteves, que deixou alguns exemplos de possíveis ataques e ameaças que o .PT pode ser alvo: “ataques de DDoS aos servidores de DNS ou ao serviço whois; tentativas de intrusão nos sistemas web do DNS.PT, SQL injection nos sistemas web ou tentativas de personificação”.
Por parte das empresas, Inês Esteves acredita que cada vez mais há uma preocupação genuína no domínio da segurança da informação, considerado um dos maiores recursos de qualquer organização. “Sabemos que não conseguimos erradicar todas as ameaças e assegurar que estamos 100% seguros mas estamos conscientes de que temos um maior conhecimento interno das nossas possíveis fragilidades e sabemos como atuar, tornando-nos mais resilientes perante ameaças externas”, garantiu Inês Esteves.
A todas as entidades que estejam a trabalhar para alcançar a conformidade com este referencial internacional, Inês Esteves deixou um último conselho: “este é um processo complexo e muito exigente para as organizações. É necessário um comprometimento inequívoco. A organização tem de fazer uma reflexão e uma autoanálise antes de começar o processo de implementação de um referencial tão exigente. A partir daí, identificando as suas vulnerabilidades e os aspetos que devem ser melhorados atuar na sua mitigação, tudo deverá estar em conformidade”.
Da parte do .PT, segue-se um longo trabalho de consolidação e amadurecimento. “Estamos abertos e disponíveis para desenvolver este sistema de gestão, tornando-o ainda mais robusto, colocando-o ao serviço da nossa comunidade e refletindo sobre outros aspetos críticos para a associação”, assegurou Inês Esteves. Para tal, há a certeza de que o .PT conta com uma “equipa comprometida e orientada para uma missão que é de todos nós: garantir a segurança, resiliência e a continuidade da Internet em .PT ”.

O que é a ISO 27001:2013?
Publicada pela International Standardization Organization (ISO), a ISO 27001 descreve as melhores práticas para a implementação da gestão da segurança da informação numa organização, quer seja pública ou privada, de pequena, média ou grande dimensão. A versão mais recente foi publicada em 2013, daí que a sua designação tenha sido alterada para ISO/IEC 27001:2013. Receber esta certificação significa que a entidade em questão implementou a segurança da informação em conformidade com a ISO 27001:2013.

EMPRESAS