Vortal: Certifica��o ISO/IEC 27001:2005. Para Proteger a Informa��o das Transac��es Comerciais Electr�nicas

A Vortal, SA (www.vortal.biz) � uma empresa de capital totalmente portugu�s, com accionistas como a PT (Portugal Telecom) e v�rias empresas de constru��o. A empresa iniciou a sua actividade em 2000 com o objectivo de desenvolver e implementar um mercado electr�nico para o mercado da constru��o, atrav�s da plataforma www.econstroi.com. Posteriormente, a empresa foi desenvolvendo a sua plataforma para outros sectores de actividade, diversificando a sua actividade para distintos mercados. No passado dia 12 de Outubro, a Vortal obteve a certifica��o ISO/IEC 27001:2005 referente � gest�o de seguran�a da informa��o.

Actualmente, a Vortal disponibiliza mercados electr�nicos para sectores como a constru��o (mercado original), energia e utilit�rios, sector governamental, escrit�rio (economato, escrit�rio e inform�tica), e ind�stria. Al�m desta diversifica��o em termos de sectores de actividade, a Vortal tamb�m expandiu a sua interven��o a outros pa�ses, nomeadamente Espanha, e alguns pa�ses africanos de l�ngua oficial Portuguesa (Angola e Cabo Verde).

A certifica��o ISO/IEC 27001:2005 foi atribu�da pela British Standard Institution (BSI) e reconhece que o sistema de gest�o de seguran�a da informa��o existente na Vortal - que possui como �mbito a protec��o das informa��es das transac��es comerciais efectuadas atrav�s das plataformas de com�rcio electr�nico que a empresa gere - est� conforme com os requisitos da norma de gest�o de seguran�a da informa��o ISO/IEC 27001:2005.

A Necessidade

O processo de certifica��o ISO/IEC 27001:2005, segundo Paulo Barbosa, chief security officer na Vortal, teve um objectivo triplo:

1. Por um lado, garantir a seguran�a da pr�pria plataforma e, consequentemente, do servi�o prestado aos clientes. Desta forma, pretendeu-se conseguir uma diferencia��o de mercado face � concorr�ncia, dado que se trata de uma certifica��o ainda rara (s� existem em Portugal mais duas empresas certificadas de acordo com esta norma, sendo a Vortal a primeira do sector de mercados electr�nicos). Como se trata de portais que envolvem transac��es financeiras, a seguran�a assume uma import�ncia vital.

2. O segundo objectivo da certifica��o teve a ver com o marketing. Com a obten��o da certifica��o, a Vortal passou a poder garantir aos mercados onde actua que cumpre com o requisitos de seguran�a preconizados pela norma internacional ISO/IEC 27001:2005, representando uma mais valia para o neg�cio como um todo.

3. Quanto ao terceiro objectivo, teve a ver com a conformidade legal. As legisla��es portuguesa e europeia imp�em determinados requisitos de seguran�a da informa��o, nomeadamente relacionados com a protec��o e a privacidade de dados.

O Processo de Certifica��o

O processo de certifica��o ISO/IEC 27001:2005 come�ou em Maio de 2006 e terminou com sucesso em meados de Outubro de 2007. Nestes 18 meses, a Vortal realizou um investimento de aproximadamente 375 mil euros. Este investimento envolveu altera��es a n�vel da tecnologia, dos processos internos da empresa (incluindo os parceiros com que a Vortal mant�m contratos de outsourcing e presta��o de servi�os), e da cultura das pr�prias pessoas que trabalham na Vortal.

Paulo Barbosa sublinhou que esta certifica��o colocou desafios sobretudo ao n�vel das pessoas, uma vez que � essencialmente um processo de mudan�a cultural. "As pessoas tiveram que mudar as suas formas de trabalhar. Mais do que uma simples preocupa��o com a seguran�a, esta certifica��o exigiu que a pr�pria forma de trabalhar fosse alterada, considerando permanentemente quest�es como a utiliza��o da Internet, do correio electr�nico, e a classifica��o e a utiliza��o segura de informa��es. Tudo isto � validado atrav�s de auditorias internas e externas regulares � actividade da empresa".

No decorrer do processo de certifica��o foram implementadas diversas melhorias no sentido de aumentar a confidencialidade, a integridade e a disponibilidade da informa��es e dos servi�os da Vortal. Entre essas melhorias, podemos destacar as que se seguem:

a) Gest�o de riscos. Identifica��o pr�-activa das amea�as e vulnerabilidades a que a empresa est� sujeita.

b) Continuidade do neg�cio. Gra�as a uma infra-estrutura de alta disponibilidade e redund�ncia, a qual garante que os servi�os n�o sofrer�o interrup��es superiores a 99,8 por cento durante o hor�rio laboral.

c) Recupera��o de desastres. Implementa��o de um Plano de Recupera��o de Desastres que considera diversos procedimentos para a reactiva��o de servi�os e infra-estruturas cr�ticas. O centro de dados onde est�o alojados os servi�os da Vortal est� replicado em outro datacenter, geograficamente separado, de forma a reduzir a possibilidade de qualquer desastre natural que afecte ambas as estruturas. Al�m disso, este datacenter est� organizado no modelo warm site recovery, permitindo uma r�pida reactiva��o de servi�os, em tempo �til para com o neg�cio.

d) Desenvolvimento Seguro. A Vortal adopta uma Pol�tica de Desenvolvimento Seguro, alinhada com os melhores padr�es mundiais (como o Common Criteria) - garantia de protec��o dos sistemas em todo o ciclo de desenvolvimento, desde o desenho das aplica��es, valida��o dos dados, controlo de acesso, criptografia, protec��o de bases de dados e gest�o de mudan�as. As mudan�as passam por verifica��es exaustivas em dois ambientes de teste, sendo um deles orientado �s quest�es t�cnicas de funcionamento e seguran�a dos sistemas, e o outro dedicado � qualidade do mesmo, considerando as expectativas do cliente final.

e) Elevada confidencialidade e integridade da informa��o. A informa��o acedida pela equipa de desenvolvimento da Vortal � protegida atrav�s da aplica��o de uma m�scara sobre as bases de dados, ocultando as informa��es confidenciais dos clientes e protegendo qualquer informa��o (incluindo a informa��o das suas transac��es). A transmiss�o de informa��o entre cada cliente e a Vortal ocorre sob a protec��o de controlos criptogr�ficos, de forma a garantir a m�xima protec��o e confidencialidade. Todas as transac��es s�o registadas, recorrendo-se � utiliza��o do mecanismo de timestamping, sincronizado com o Observat�rio Astron�mico de Lisboa para obter a hora legal. Este facto garante o n�o rep�dio da opera��o, cumprindo a legisla��o para aquisi��es p�blicas. Por outro lado, a equipa de atendimento ao cliente s� acede �s informa��es dos clientes ap�s autoriza��o formal destes e, mesmo assim, n�o tem acesso �s informa��es confidenciais.

f) Forma��o em seguran�a. A preocupa��o da Vortal com as quest�es de seguran�a est� tamb�m patente na forma��o dos seus colaboradores, preocupando-se com a cria��o de uma cultura de seguran�a, atrav�s da divulga��o de pol�ticas e de linhas de orienta��o. As ac��es de forma��o em seguran�a promovidas pela empresa ocorrem periodicamente e pressup�em uma avalia��o rigorosa da aprendizagem.

g) Monitoriza��o permanente. A infra-estrutura tecnol�gica que suporta os sistemas da Vortal � monitorizada permanentemente, atrav�s da utiliza��o das melhores tecnologias do mercado e de uma equipe altamente especializada que passa por ac��es de forma��o peri�dicas em seguran�a, permitindo identificar problemas em tempo real e resolv�-los prontamente.

h) Auditorias. Os controlos de seguran�a da informa��o s�o adequadamente auditados por uma equipa da Vortal e por uma empresa externa especializada que realiza anualmente uma auditoria independente - a British Standard Institution - assegurando a an�lise imparcial sobre cada controlo de seguran�a utilizado.

A Colabora��o com a Sinfic

A Sinfic esteve envolvida em duas das tr�s certifica��es ISO/IEC 27001:2005 existentes em Portugal � data da redac��o deste artigo. No caso da Vortal, os respons�veis da empresa come�aram por efectuar uma pesquisa de mercado, considerando praticamente a totalidade das empresas existentes em Portugal com servi�os nesta �rea, segundo Paulo Barbosa. Neste processo de ausculta��o do mercado, o chief security officer da Vortal sublinhou que a Sinfic se destacou pela qualidade da informa��o que ofereceu. Esta qualidade foi depois confirmada ao longo dos trabalhos conducentes � certifica��o.

Paulo Barbosa referiu ainda que a Sinfic foi escolhida como o parceiro externo desta certifica��o por ter um nome consolidado no mercado portugu�s da seguran�a da informa��o. Por outro lado, reconhece que "a BSI � a empresa mais reconhecida no mundo em termos de auditorias de certifica��o". Na realidade, as normas originais (antes de evolu�rem para a ISO/IEC 27001:2005) foram escritas pela pr�pria BSI.

O processo de certifica��o da Vortal foi desenvolvido assim entre uma parceria a tr�s: a Sinfic como fornecedor, socorrendo-se para tal da parceria que mant�m com a BSI, e a Vortal enquanto cliente.

Para alcan�ar a certifica��o, a Vortal foi submetida a um processo de auditoria que consistiu em duas itera��es, distanciadas entre si por um per�odo de tr�s semanas, para assegurar uma rigorosa an�lise das condi��es da Vortal para ser certificada. Posteriormente ser�o realizadas auditorias semestralmente, garantindo que, mesmo ap�s a certifica��o, o n�vel de seguran�a da empresa continuar� a ser elevado.

A Sinfic, no �mbito da parceira desta empresa com a BSI, participou com um dos seus colaboradores, registado como Auditor Internacional da BSI, na equipa de auditoria que avaliou a conformidade do Sistema de Gest�o de Seguran�a da Informa��o existente na Vortal com os requisitos da norma internacional de gest�o de seguran�a da informa��o ISO 27001:2005.

Impactos da certifica��o ISO 27001

18 meses de implementa��o e melhoria;
Cria��o de um departamento de Seguran�a da Informa��o e de um Comit� de Seguran�a (com directores e representantes dos departamentos);
Interven��es nos escrit�rios da Vortal em Lisboa e Porto;
Desenvolvimento de um ambiente de alta disponibilidade e recupera��o de desastres;
2648 horas de desenvolvimento em softwares mais seguros
2300 horas de forma��o de colaboradores e campanhas de sensibiliza��o;
Investimento de aproximadamente 375 mil euros;
Mudan�as significativas em tecnologias, processos e infra-estruturas f�sicas.

Topo

Agenda

Destaques