Modo operatório: os 5 melhores formatos com exemplos
Os modos operatórios são documentos que apresentam de forma simples e detalhada as etapas de um procedimento, tarefa a tarefa.
ISO 27001, PCI DSS, ITIL, RGPD, ISO 20000, NIST: as 6 certificações que os CIOs e equipas de TI precisam para proteger os sistemas.
As seis certificações de segurança de sistemas de informação mais importantes são a ISO/IEC 27001, a ISO/IEC 20000, o PCI DSS (Payment Card Industry Data Security Standard), a certificação de conformidade com o RGPD (Regulamento Geral sobre a Proteção de Dados), o ITIL (Information Technology Infrastructure Library) e o Framework de Cibersegurança do NIST (National Institute of Standards and Technology). Em conjunto, estas normas oferecem aos CIOs (Chief Information Officers) e CISOs (Chief Information Security Officers) um roteiro estruturado para proteger dados, gerir riscos e demonstrar conformidade tanto a clientes como a reguladores.
À medida que as ameaças de cibersegurança crescem em escala e sofisticação, os responsáveis de TI enfrentam uma pressão crescente para implementar políticas de segurança que sejam simultaneamente eficazes e auditáveis. Normas como a ISO 27001, o PCI DSS e o Framework de Cibersegurança do NIST funcionam como bússolas práticas para qualquer organização que pretenda reforçar a sua postura de segurança da informação. Este guia aborda cada certificação em termos simples, explicando o que cobre, quem precisa dela e que valor acrescenta ao negócio. Para uma análise mais aprofundada sobre como as ferramentas digitais podem acelerar a formação em conformidade e a adoção de software pelas equipas de TI, vale a pena explorar a solução de suporte e adoção de TI da Lemon Learning.
A ISO/IEC 27001 é a norma internacional para os sistemas de gestão da segurança da informação (SGSI). É o framework mais reconhecido mundialmente para ajudar as organizações a gerir de forma sistemática a segurança dos seus ativos de informação, incluindo dados financeiros, propriedade intelectual, registos de colaboradores e dados confiados por terceiros. Obter a certificação ISO 27001 significa que um auditor independente verificou que o SGSI da organização cumpre todos os requisitos da norma.
A norma fornece diretrizes para implementar, manter e melhorar continuamente um SGSI. É relevante para qualquer organização, independentemente da dimensão ou setor, que trate informações sensíveis. Para um CIO ou CISO, o processo de certificação exige o estabelecimento de uma política formal de segurança da informação, a realização de uma avaliação de risco aprofundada e a implementação de controlos documentados para tratar os riscos identificados.
Os benefícios práticos da certificação ISO 27001 incluem:
A ISO 27001 é também um pré-requisito ou uma vantagem significativa na resposta a processos de contratação empresarial. Muitas grandes organizações, particularmente nos setores financeiro, da saúde e público, exigem que os fornecedores detenham um certificado ISO 27001 válido antes de assinarem contratos. Para as equipas que se preparam para a sua primeira auditoria de certificação, o guia de introdução à certificação ISO 27001 aborda em detalhe as principais etapas de implementação.
A ISO/IEC 20000 é a norma internacional para a gestão de serviços de TI (ITSM). Fornece um quadro abrangente para ajudar as organizações a prestar serviços digitais fiáveis, eficientes e de qualidade, quer esses serviços sejam consumidos internamente ou fornecidos a clientes externos. Qualquer empresa pode solicitar a certificação do seu sistema de gestão de serviços de TI em conformidade com os requisitos da ISO/IEC 20000 junto de um organismo independente acreditado.
A norma é aplicável a organizações de todas as dimensões que gerem os seus próprios sistemas de informação e às que oferecem serviços geridos a terceiros. Ao alinhar a prestação de serviços de TI com os requisitos da ISO 20000, as organizações podem:
A ISO 20000 e a ISO 27001 são frequentemente obtidas em paralelo, uma vez que a gestão adequada dos serviços de TI e a segurança dos sistemas de informação são objetivos complementares. Para os departamentos de TI sob pressão para reduzir os custos operacionais enquanto melhoram os níveis de serviço, a ISO 20000 oferece um caminho estruturado para ambos.
O PCI DSS (Norma de Segurança de Dados da Indústria de Cartões de Pagamento) é a principal certificação a procurar quando se avalia a segurança de pagamentos. Foi desenvolvido e é mantido pelo PCI Security Standards Council, um organismo fundado pela Visa, Mastercard, American Express, Discover e JCB. Qualquer organização que armazene, processe ou transmita dados de titulares de cartões é obrigada a cumprir o PCI DSS, tornando-o o referencial global para a segurança da informação de cartões de pagamento.
A norma define um conjunto de requisitos técnicos e operacionais que os comerciantes, processadores de pagamentos e prestadores de serviços devem cumprir. Estes requisitos abrangem a arquitetura de segurança de rede, os controlos de acesso, a encriptação dos dados transmitidos, os programas de gestão de vulnerabilidades e a monitorização e teste regulares dos sistemas de segurança.
O processo de certificação PCI DSS envolve uma avaliação formal, cujo âmbito e método dependem do volume de transações com cartão que uma organização processa por ano. Volumes de transações mais elevados exigem normalmente uma avaliação por um Avaliador de Segurança Qualificado (QSA). Os comerciantes de menor dimensão podem ser elegíveis para preencher um Questionário de Autoavaliação (SAQ).
Dada a frequência e a sofisticação da fraude com cartões de pagamento, a conformidade com a norma PCI DSS não é simplesmente uma obrigação legal para muitas organizações. É uma necessidade prática para manter a confiança dos clientes e dos parceiros bancários, e para evitar as penalizações financeiras que os sistemas de cartões podem impor na sequência de uma violação de dados.
A certificação RGPD (Regulamento Geral sobre a Proteção de Dados) fornece uma forma de verificar e demonstrar que um produto, serviço ou atividade de tratamento cumpre os requisitos de proteção de dados pessoais definidos pelo regulamento. O âmbito é amplo: a certificação pode aplicar-se a um único departamento, a uma empresa inteira, a um sítio web, a uma aplicação de software, a um sistema de informação ou a uma aplicação móvel.
A obtenção da certificação RGPD não é obrigatória. O regulamento enquadra-a explicitamente como um mecanismo voluntário que as organizações podem utilizar para demonstrar conformidade e construir confiança. No entanto, para os departamentos de TI e os CISO que operam em setores onde as expectativas em matéria de privacidade de dados são elevadas, como a saúde, as finanças ou as tecnologias de recursos humanos, a certificação tem um peso significativo junto de clientes, reguladores e potenciais clientes.
Um DPO (Encarregado de Proteção de Dados) pode igualmente obter uma certificação RGPD pessoal pelas suas competências e capacidades individuais. Na maioria dos Estados-membros da UE, os critérios dos regimes de certificação são definidos e aprovados pela autoridade de supervisão nacional competente. Em França, por exemplo, o organismo competente é a CNIL (Commission Nationale de l'Informatique et des Libertés).
Do ponto de vista da estratégia de TI, a obtenção da certificação RGPD exige que o CIO e o CISO alinhem as práticas de tratamento de dados, os controlos de acesso, as políticas de retenção e os procedimentos de notificação de violações com os critérios aprovados. Este processo revela frequentemente lacunas que, uma vez corrigidas, também reforçam a conformidade com a norma ISO 27001, uma vez que ambos os referenciais abordam controlos semelhantes em matéria de acesso, integridade e confidencialidade dos dados.
A ITIL (Information Technology Infrastructure Library) é um referencial de boas práticas reconhecido mundialmente para a prestação de serviços de TI de ponta a ponta. A versão atual, a ITIL 4, foi lançada em 2019 e coloca particular ênfase na integração da gestão de serviços de TI com a estratégia de negócio mais ampla, as práticas de trabalho ágeis e os princípios DevOps.
A certificação ITIL está estruturada em vários níveis, desde um nível Foundation acessível a todos os profissionais de TI, até às designações avançadas de Managing Professional e Strategic Leader. Esta abordagem faseada permite que os indivíduos e as equipas desenvolvam progressivamente as competências em ITIL.
Para os CIO e os gestores de TI, a adoção dos princípios da ITIL 4 proporciona vantagens operacionais concretas:
A ITIL é relevante não apenas para os prestadores de serviços de TI puros, mas para qualquer departamento de TI interno que gira pedidos de serviço, processos de mudança ou resolução de incidentes. É também um pré-requisito comum para os profissionais de TI que trabalham em setores regulados onde é esperada a auditabilidade dos processos de serviço.
O Quadro de Cibersegurança do NIST (National Institute of Standards and Technology) é um referencial voluntário desenvolvido pelo Departamento de Comércio dos Estados Unidos para ajudar as organizações a gerir e reduzir o risco de cibersegurança. Originalmente concebido para setores de infraestruturas críticas, foi desde então amplamente adotado por organizações públicas e privadas a nível mundial, incluindo muitas fora dos Estados Unidos.
O referencial está organizado em torno de cinco funções nucleares: Identificar, Proteger, Detetar, Responder e Recuperar. Estas funções fornecem uma visão estratégica de alto nível do ciclo de vida da cibersegurança de uma organização e ajudam a liderança a comunicar o risco em termos de negócio, em vez de uma linguagem puramente técnica.
| Função Central do NIST CSF | O que abrange |
|---|---|
| Identificar | Gestão de ativos, ambiente de negócio, avaliação de risco, governação |
| Proteger | Controlos de acesso, segurança de dados, formação e sensibilização, tecnologia de proteção |
| Detetar | Deteção de anomalias, monitorização contínua, processos de deteção |
| Responder | Planeamento de resposta, comunicações, análise, mitigação |
| Recuperar | Planeamento de recuperação, melhorias, comunicações |
Uma vantagem prática do NIST Cybersecurity Framework é a sua flexibilidade. As organizações não são auditadas com base nele por um organismo de certificação externo da mesma forma que acontece com a ISO 27001. Em vez disso, funciona como uma ferramenta de autoavaliação e planeamento, permitindo às equipas de TI identificar lacunas, priorizar investimentos e acompanhar progressos ao longo do tempo. Articula-se bem com outras normas, incluindo a ISO 27001 e a PCI DSS, tornando-se útil como camada de governação global quando estão em causa múltiplas certificações.
O framework é particularmente valioso para organizações que estão numa fase inicial da sua maturidade em cibersegurança e precisam de um ponto de partida prático antes de se comprometerem com um programa de certificação formal.
Estas seis certificações e frameworks de segurança da informação são mais eficazes quando tratadas como componentes complementares de uma estratégia unificada de governação de TI, e não como exercícios de conformidade isolados. Compreender quais as certificações que os clientes empresariais e os reguladores esperam é uma parte fundamental dessa integração.
Os clientes empresariais, em particular nos setores das finanças, saúde, logística e setor público, avaliam cada vez mais os fornecedores com base numa combinação destas normas. A ISO 27001 e a SOC 2 (System and Organization Controls 2) são as certificações mais frequentemente exigidas pelas equipas de compras empresariais. A PCI DSS é incontornável para qualquer organização que processe pagamentos com cartão. A certificação RGPD confere credibilidade no mercado europeu. O ITIL fornece a base operacional que torna sustentáveis os outros compromissos de segurança ao longo do tempo.
Uma abordagem de integração prática para um CIO ou CISO poderá seguir esta sequência:
Uma dimensão que é fácil de negligenciar é o fator humano. Os controlos e as políticas só protegem uma organização se as pessoas responsáveis por eles os compreenderem e aplicarem corretamente. É aqui que a adoção digital se torna diretamente relevante para a segurança da informação. Quando os colaboradores podem aceder a orientações contextuais sobre procedimentos de segurança no momento em que precisam, dentro das ferramentas que já utilizam, os comportamentos de conformidade tornam-se hábitos e não obrigações.
"Pode conduzir o projeto mais interessante do mundo, mas se não houver apoio aos utilizadores, a adoção será muito limitada. Por isso, são necessárias ferramentas que permitam às pessoas desenvolver competências nestas novas ferramentas de forma fácil e intuitiva."
Para os departamentos de TI que gerem a adoção de novas ferramentas de segurança ou software de conformidade a par dos seus programas de certificação, o artigo sobre os pilares essenciais da governação de TI fornece um contexto mais amplo e útil para estruturar esse trabalho.
| Certificação / Norma | Foco principal | Quem normalmente necessita | Obrigatório ou voluntário |
|---|---|---|---|
| ISO/IEC 27001 | Sistema de gestão de segurança da informação (SGSI) | Qualquer organização que trate dados sensíveis | Voluntário (frequentemente exigido por clientes empresariais) |
| ISO/IEC 20000 | Qualidade na gestão de serviços de TI | Fornecedores de serviços de TI e departamentos internos de TI | Voluntário |
| PCI DSS | Segurança de dados de cartões de pagamento | Qualquer entidade que armazene, processe ou transmita dados de titulares de cartão | Obrigatório contratualmente para processamento de pagamentos por cartão |
| Certificação RGPD | Conformidade com a proteção de dados pessoais | Organizações que operam ou servem mercados da UE | Voluntário (a conformidade com o RGPD subjacente é obrigatória) |
| ITIL 4 | Boas práticas de entrega de serviços de TI | Gestores de TI, equipas de service desk, pessoal de operações | Voluntário |
| NIST Cybersecurity Framework | Identificação e gestão de riscos cibernéticos | Organizações em qualquer nível de maturidade que procurem uma abordagem baseada no risco | Voluntário (obrigatório para alguns contratantes federais dos EUA) |
Para profissionais de sistemas de informação, as certificações mais reconhecidas são a ISO/IEC 27001 (gestão de segurança da informação), PCI DSS (segurança de dados de pagamento), ITIL v4 (gestão de serviços de TI), certificação de conformidade com o RGPD, ISO/IEC 20000 (norma de gestão de serviços de TI) e o NIST Cybersecurity Framework. Para profissionais individuais de segurança de TI, a CompTIA Security+, a CISSP (Certified Information Systems Security Professional) e a CISA (Certified Information Systems Auditor) estão entre as credenciais mais respeitadas a nível mundial.
A PCI DSS (Payment Card Industry Data Security Standard) é a principal certificação a procurar ao avaliar a segurança de pagamentos. Foi desenvolvida pelo PCI Security Standards Council, cujos membros incluem a Visa, Mastercard, American Express, Discover e JCB. Qualquer organização que armazene, processe ou transmita dados de titulares de cartão deve cumprir os requisitos da PCI DSS. É a norma de referência para a proteção de dados de cartões de pagamento a nível mundial.
Entre as certificações para profissionais individuais, a CISSP (Certified Information Systems Security Professional), emitida pelo ISC2, é consistentemente apontada como uma das credenciais de cibersegurança mais bem remuneradas. A CISA (Certified Information Systems Auditor) da ISACA e a CCSP (Certified Cloud Security Professional) também estão associadas a remunerações elevadas. Os salários variam consoante a região, a função e o nível de experiência, pelo que os valores verificados devem ser consultados em inquéritos salariais atuais de fontes como o ISC2 ou a ISACA.
A CISSP (Certified Information Systems Security Professional) é amplamente considerada uma das certificações de segurança mais exigentes, devido à sua abrangência, aos cinco anos obrigatórios de experiência profissional verificada e a um rigoroso exame adaptativo. A OSCP (Offensive Security Certified Professional) é também reconhecida como muito exigente, uma vez que obriga os candidatos a realizar um exame prático de teste de penetração com a duração de 24 horas num ambiente real.
Os modos operatórios são documentos que apresentam de forma simples e detalhada as etapas de um procedimento, tarefa a tarefa.
Da Foundation ao ITIL Master, descubra cada nível de certificação ITIL, os seus requisitos e como a biblioteca ITIL pode impulsionar a sua carreira.
Saiba como o modelo MoSCoW funciona, o que significa o acrónimo e como aplicar a priorização MoSCoW no desenvolvimento ágil e na gestão de projetos.
Seja o primeiro a receber as melhores práticas e tendências em adoção digital e marketing B2B SaaS. Descubra como engajar melhor seus usuários, otimizar suas ferramentas de trabalho e acelerar a adoção de softwares com base nas experiências do ecossistema Lemon Learning.