A Certificação no setor das TIC

(1)

Orador:

Local e Data:

www.apcergroup.com

A Certificação no setor das TIC

Hermano Correia

[email protected]

“

It’s Time to Talk About…” - 23 fevereiro 2017

(2)

(3)

Orador:

Local e Data:

www.apcergroup.com

Contexto

(4)

www.apcergroup.com

Globalização de

serviços e de

operações

Elevado nível de

competitividade

Segurança: fator

relevante

Competência

Alinhamento

com os negócios

Sustentabilidade

e continuidade

Contexto

(5)

Orador: Local e Data: www.apcergroup.com

Desafios

Diferenciação no

Mercado

Confiança

Satisfação das Partes

Interessadas

Níveis de Serviços de

Excelência

Minimização de

Riscos (Ex: perda de

informação,

interrupção de

serviços)

Assegurar a

Continuidade do

Negócio

(6)

www.apcergroup.com

IS0 223 1

Melhoria

Abordagem Processos

Risco

Continuidade do

Negócio

Qualidade

Contexto

Integridade

Minimizar Impactes

Modelos de Gestão

(7)

Orador:

Local e Data:

www.apcergroup.com

Porquê Modelos de Gestão?

Crescente adoção do uso de normas e de melhores práticas

(ISO 9001, ISO 20000-1, ISO 27001, ITIL, COBIT, SOX, CMMi, SPICE, etc. )

Requisitos do negócio

para melhor alinhamento

do desempenho das TI

Necessidade de melhor

controlo das atividades

das TI

Confiança nos resultados

obtidos pelo uso de

normas e de melhores

práticas – evoluindo de

aproximações casuísticas

e mais ou menos caóticas,

para processos

convenientemente

(8)

www.apcergroup.com

Integração dos Modelos

1. Baseados no Ciclo PDCA

2. Estrutura de Alto Nível (exceto ISO/IEC 20000-1, prevista para 2018): base

que facilita o desenvolvimento e adoção de normas de sistemas de gestão,

facilitando a sua leitura e interpretação pelos utilizadores e a integração de

sistemas de gestão nas organizações

(9)

Orador:

Local e Data:

www.apcergroup.com

ISO 9001 + ISO 20000-1

Embora com propósitos algo diferentes, as duas normas tem como grandes

objetivos a Satisfação do Cliente, a Melhoria Contínua e a entrega de

produto/serviço de uma forma sistemática e de acordo com os níveis de serviço

contratualizados.

(10)

www.apcergroup.com

ISO 9001 + ISO 20000-1

Apesar da ISO/IEC 20000-1 requerer um conjunto mais alargado de processos do

que habitualmente se encontram na ISO 9001, efetivamente existe um conjunto de

requisitos comuns.

(11)

Orador:

Local e Data:

www.apcergroup.com

ISO 20000-1 + ISO 27001

(Fonte: APMG International)

ISO/IEC 27013 – Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC

20000-1.

(12)

www.apcergroup.com

Benefícios ISO/IEC 20000-1

Orientação para o serviço;

Garantir entrega de acordo com os requisitos e níveis de serviço acordados: disponibilidade e

performance;

Redução da exposição operacional a riscos;

Cumprimento dos requisitos contratuais (níveis de serviço);

Demonstração da qualidade dos serviços TI;

(13)

Orador:

Local e Data:

www.apcergroup.com

ISO 27001

A sua implementação demonstra a preocupação da organização em

preservar a confidencialidade, integridade e disponibilidade da informação.

A informação é um bem crítico para a operação e para a sobrevivência de

uma organização.

Eficaz gestão e proteção de toda a informação considerada crítica, através

da correta seleção e implementação dos controlos de segurança, originando

assim um elevado grau de confiança de todas as partes interessadas,

(14)

www.apcergroup.com

ISO 27001 + ISO 22301

Foco nas infraestruturas de informação, proteção da informação critica para suporte

aos processos de negócio.

Controlo A17. Aspetos de Segurança da Informação na Gestão da Continuidade do

Negócio

Não entra em detalhes.

Define um plano de continuidade apenas para as tecnologias de informação com o

objetivo de assegurar a continuidade do negócio em caso de interrupção.

Abordagem mais holística, assegurando que as atividades criticas para o negócio,

que geram valor para o produto ou serviço disponibilizado, são retomadas num curto

espaço de tempo sempre que interrompidas. Confere maior Resiliência por parte da

organização.

(15)

Orador:

Local e Data:

www.apcergroup.com

ISO 27001 + ISO 22301

A segurança da informação e a continuidade de negócio têm como foco a

Disponibilidade, como também a Confidencialidade e Integridade (controlos A17)

Baseadas no ciclo PDCA

Gestão do Risco: os objetivos são diferentes mas os processos e resultados esperados

são semelhantes ( ISO 31000).

As organizações que implementam os dois referenciais (âmbito compatível) possuem um

DRP (Disaster Recovery Plan) que cumpre princípios de governança (alinhamento das

(16)

www.apcergroup.com

Benefícios ISO 27001

Identificação proativa dos riscos (ex: ameaças e vulnerabilidades)

Definição de um plano de recuperação de desastres, considerando os procedimentos existentes

para reativação dos serviços e infraestruturas críticas;

Confidencialidade e integridade da informação;

Criação de uma cultura de segurança da informação, através da divulgação de políticas e de

linhas de orientação;

Monitorização contínua das infraestruturas que suportam os sistemas.

(17)

Orador:

Local e Data:

www.apcergroup.com

A Gestão de Continuidade de Negócio está integrada com a gestão do risco, na vertente de risco

operacional

Processo de gestão “holístico” (pressupõe uma análise global e um entendimento geral dos

fenómenos a que a organização está sujeita);

Identifica as potenciais ameaças (sejam grandes desastres ou pequenos incidentes) para uma

organização e os impactes que essas ameaças podem causar no negócio, caso ocorram;

Fornece um enquadramento para o aumento da resiliência da organização (capacidade de superar,

e recuperar das adversidades) e da capacidade para uma resposta eficaz que salvaguarde os

interesses das principais partes interessadas, defenda a marca e a reputação e as atividades

geradoras de valor acrescentado.

(18)

www.apcergroup.com

Benefícios ISO 22301

Focalizada nos processos críticos da organização;

Permite à organização reagir a grandes incidentes, através do estabelecimento de medidas adequadas;

Minimiza perdas resultantes de ruturas ou avarias de processos cooperativos;

Previne ruturas de processos críticos ao longo da cadeia de fornecimento;

Melhora a compreensão holística da organização promovendo a melhoria contínua;

Evidência do cumprimento da legislação e regulamentos aplicáveis;

Fornece uma base sólida para a negociação com prestadores de serviços financeiros;

Aumento da confiança de todas as partes interessadas.

(19)

Orador:

Local e Data:

www.apcergroup.com

(20)

www.apcergroup.com 0 200000 400000 600000 800000 1000000 1200000 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Evolução Certificados | Mundo

ISO 9001

(ISO SURVEY 2015)

5000 6000 7000 8000 9000

(21)

Continente

N.º Certificados

Africa 12.154 Central / South America 49.265 North America 46.938 Europe 439.477 East Asia and Pacific 422.519 Central and South Asia 40.822 Middle East 22.761

TOTAL

1.033.936 Países

N.º Certificados

2015

China 292.559 Italy 132.870 Germany 52.995 Japan 47.101 United Kingdom 40.161 India 36.305 United States of America 33.103 Spain 32.730 France 27.844 Romania 20.524

Setor Atividade

N.º Certificados

2015

Basic metal & fabricated

metal products 104.652 Electrical and optical

equipment 75.260 Construction 67.354 Wholesale & retail trade;

repairs of motor vehicles, motorcycles & personal & household goods

66.975

Machinery and equipment 56.413

……. ……

Information technology 29.162

Portugal

7.498 ISO 9001

(ISO SURVEY 2015)

(22)

www.apcergroup.com

Continente

N.º Certificados

Africa 25 Central / South America 88 North America 254 Europe 1.120 East Asia and Pacific 758 Central and South Asia 434 Middle East 99

TOTAL

2.778 ISO 20000-1

(ISO SURVEY 2015)

Países

N.º Certificados

India 425 Japan 299 Spain 231 United States of America 223 United Kingdom 197 China 138 Germany 108 Thailand 97 Czech Republic 90 Italy 86

Setor Atividade

N.º Certificados

2015

Information technology 735 Food products, beverages

and tobacco 74 Electrical and optical

equipment 55 Other Services 29 Financial intermediation,

(23)

Continente

N.º Certificados

Africa 129 Central / South America 347 North America 1.445 Europe 10.446 East Asia and Pacific 11.994 Central and South Asia 2.569 Middle East 606

TOTAL

27.536

5797 7732 9246 12935 15626 17355 19620 21604 23005 27536 0 5000 10000 15000 20000 25000 30000 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015

Evolução Certificados

(24)

www.apcergroup.com

ISO/IEC 27001

(ISO SURVEY 2015)

Países

N.º Certificados

Japan 8240 United Kingdom 2790 India 2490 China 2469 United States of America 1247 Romania 1078 Italy 1013 Germany 994 Taipei, Chinese 939 Spain 676

Setor Atividade

N.º Certificados

Information technology 5.573 Other Services 959 Transport, storage and

communication 301 Electrical and optical equipment 296 Health and social Sector 231

(25)

Orador:

Local e Data:

www.apcergroup.com

ISO 22301

(ISO SURVEY 2015)

Países

N.º Certificados

India 480 United Kingdom 345 Japan 200 Singapore 160 Netherlands 64 Korea, Republic of 48 United Arab Emirates 47 Philippines 43

USA 40

Turkey 39

Portugal

5 Setor Atividade

N.º Certificados

Information technology

206 Financial intermediation,

real estate, rental 39 Other Services ₇₃ Transport, storage and

communication 60 Wholesale & retail trade;

repairs of motor vehicles, motorcycles & personal & household goods 30

Continente

N.º Certificados

Africa 55 Central / South America 15 North America 62 Europe 791 East Asia and Pacific 520 Central and South Asia 1.573 Middle East 117