Riscos constantes exigem estratégia de segurança

Os sistemas de informação das empresas estão sob ameaça constante e podem colocar em risco todo o negócio. Até mesmo a sua sobrevivência. Segurança e a auditoria são, pois, ferramentas importantes para evitar o risco, ao qual não escapam os organismos públicos. 

Processamento de salários, faturação ou portais de relacionamento com o cliente são apenas alguns exemplos dos sistemas de informação usados pelas empresas que estão sob ameaça constante e precisam de mecanismos de segurança informática para garantir que os piores cenários não acontecem. O risco é detetado por quem lida diariamente com este tipo de sistemas, como é o caso da SQS.

“Temos clientes que têm grande parte do seu negócio baseado num portal. Esse portal pode ser vítima de um ataque, que poderá ser do tipo “malware” (software nocivo) ou “ransomware” (software de resgate). Ou seja, um “hacker” pode apoderar-se da lista de contactos de clientes de uma empresa e exigir um resgate pela reposição da mesma. Isto é algo que pode colocar em risco todo o negócio durante meses ou até mesmo a sobrevivência da empresa. Por isso, é tão importante existir uma estratégia de segurança da informação”, explica Álvaro Carvalho, general manager da SQS.

Este cenário pode afetar empresas e organizações de pequena, média ou grande dimensão, pode ter consequências ao nível corporativo e exige políticas de gestão de risco para se poder falar verdadeiramente de “segurança da informação”. É, pois, necessário que as empresas tenham bons planos estratégicos de segurança.

AUDITORIAS DE QUALIDADE DE SOFTWARE

A segurança informática é apenas uma das duas vertentes a ter em conta num contexto de risco. A outra vertente é a auditoria de qualidade de software.

No caso das auditorias, explica Álvaro Carvalho, pode ser aplicável a ISO 25 000 e, neste caso, estamos perante auditorias técnicas. Contudo, ainda não existe uma certificação acreditada que seja consensual devido à diversidade de motivos técnicos, políticos e estratégicos que podem estar em causa.

O responsável da SQS explica que, no caso das auditorias de qualidade, é o cliente que “define as áreas que são mais críticas para a empresa. Então, segundo aquilo que é definido, é feita uma auditoria baseada nesses indicadores mais importantes”.

CASOS DE SEGURANÇA INFORMÁTICA

As empresas da área do retalho são um bom exemplo do que está em causa em matéria de questões de segurança informática. Ao terem 95% do seu negócio no mercado de vendas online, torna-se essencial que o portal esteja seguro contra possíveis invasões. Além de um sistema de segurança de qualidade, é necessário que a empresa tenha um software de qualidade que otimize o tempo desde a entrada do cliente no portal até à compra do produto. Segundo Álvaro Carvalho, este sistema tem a vantagem de permitir avaliar o que leva um utilizador a desistir a meio da compra de um produto e, desta forma, diminuir os riscos de negócio através de uma otimização do sistema informático.

Mas estas exigências não se colocam apenas às empresas. Também o setor público tem fortes motivos para dar uma atenção especial às questões da segurança informática. “Mesmo ao nível de portais públicos, o próprio Estado utiliza sistemas de informação para dar suporte ao seu negócio, nomeadamente a recolha de impostos ou o sistema de colocação de professores ou até mesmo o sistema de justiça”, acrescenta o general manager da SQS. Dá como exemplo a validação de faturas para explicar a importância de um sistema de informação seguro e competente.

“Temos um sistema, o portal das Finanças, que é consultado em grande número duas vezes por ano e este tem o dever de funcionar corretamente. Se isto não acontecer é mau para o Estado e para o contribuinte. Logo, para garantir que o portal funciona corretamente é importante fazer uma auditoria e uma avaliação do desempenho do mesmo para garantir que o serviço continua em funcionamento nestas alturas críticas em que o sistema tem muitas pessoas a aceder ao portal.”

Com uma experiência de décadas nas áreas de segurança da informação e da avaliação da adequação funcional e desempenho das aplicações e sistemas informáticos, a SQS aconselha as empresas e as organizações a gerirem e a mitigarem os riscos corporativos e de negócio associados aos seus sistemas de informação.

MILLENNIUM ANGOLA

AUDITORIA VALIDA OPERAÇÕES DIGITAIS

A aposta na realização de operações online é um fator crítico para os bancos na era digital. Num processo de modernização em curso no Banco Millennium Angola, a instituição tem vindo a aumentar o número de operações disponíveis no seu site.

No âmbito deste projeto, o banco percebeu desde cedo que era importante acautelar as questões de segurança, mas também as questões de desempenho da plataforma informática e o grau de facilidade de acesso à mesma. Foi nesse sentido que, em 2015, o Banco Millennium Angola recebeu o Atestado de Qualidade de Software com base na Norma ISSO/IEC 25010 atribuído pelo instituto tecnológico ISQapave e SQS Portugal. Utilizando como referência principal esta norma, foi avaliada a conformidade aplicacional, que utiliza essencialmente testes funcionais e operacionais, de segurança, de carga e de desempenho, características estas que vão ao encontro dos objetivos delineados pelo banco.

Através desta auditoria técnica independente, o Banco Millennium Angola viu a sua aplicação ser avaliada e validada tecnicamente pela SQS, entidade autónoma e reconhecida no mercado internacional de auditoria. Foi também realizada uma auditoria de software que reconheceu a adequação funcional deste sistema nos pagamentos e transferências nacionais e internacionais das empresas utilizadoras. Comprovou-se o seu bom desempenho, constatando-se um elevado grau de segurança tendo em conta que a aplicação assegura a proteção da informação, quer ao nível da confidencialidade, quer da integridade.

Segurança: SQS AVALIA REQUISITOS DE SOFTWARE

Nascida na Alemanha em 2002, a multinacional SQS chegou a Portugal pela mão do ISQ.

A SQS é uma empresa vocacionada para mercados maduros na qualificação de software, como o Norte da Europa e os EUA, mas que começou recentemente a expandir-se para a América Latina, nomeadamente para o Brasil.

A empresa pode atuar ao nível da inspeção e avaliação de software, de modo a garantir que determinada empresa cumpre os requisitos de segurança. Pode fazê-lo num contexto de consultoria ou de auditoria.

 

Por Álvaro Carvalho, manager da SQS

Com Ana Paula Pinheiro, ISQ

ISQ

ISQ

O ISQ é uma entidade privada e independente com 50 anos de actividade, que presta serviços de inspecção, ensaio, formação e consultoria técnica.

Oferecemos aos nossos clientes serviços e soluções integradas e inovadoras garantindo a conformidade dos seus activos e produtos com as normas e regulamentos em termos de qualidade, segurança, ambiente e responsabilidade social.
ISQ
0 respostas

Deixe uma resposta

Quer contribuir para a discussão?
Sinta-se a vontade para contribuir!

Deixar uma resposta