Autarquia de Águeda Certificada – Sistema de Gestão de Segurança da Informação (SGSI) – ISO/IEC 27001

A Câmara Municipal de Águeda (CMA) está certificada desde 2007, ao nível do licenciamento de loteamentos e obras particulares e do Gabinete de Apoio ao Munícipe (GAM) e tem vindo a estender o âmbito da mesma desde 2008, tendo em 2012 abrangido a totalidade dos serviços prestados pala Autarquia.

A norma ISO/IEC 27001 certifica as organizações em termos de gestão de segurança da informação. A certificação demonstra que estas organizações possuem um sistema de gestão que protege a sua informação com mecanismos de controlo adequados às suas necessidades e realidade, verificados por uma entidade externa. Através da avaliação e gestão do risco este sistema procura garantir a continuidade de negócio e diminuir o impacto de eventuais incidentes de segurança.

A implementação de um Sistema de Gestão de Segurança da Informação (SGSI), pela ISO/IEC 27001, foi uma decisão estratégica da CMA, promovendo a adoção de diretrizes, boas práticas e mecanismos de controlo relativamente à Segurança da Informação existente/ produzida na Autarquia, por considerar a informação como o seu ativo mais valioso, garantindo, assim, o cumprimento dos 3 pilares deste sistema: Confidencialidade, Integridade e Disponibilidade da informação.

Devido à sua importância e utilidade, a informação é considerada um dos elementos chaves da CMA, que pelo reconhecimento do seu valor, pretendia certificar-se de que a geria de forma eficaz.

Consciente das questões que se levantam em relação à segurança da informação e de que, qualquer interrupção do serviço, fuga de informação para entidades não autorizadas ou modificação não autorizada de dados pode levar a uma perda de confiança e/ou violar as obrigações para com os stakeholders, a CMA em finais de 2010, deu início ao desenvolvimento e implementação de um Sistema de Gestão de Segurança da Informação, pela ISO/IEC 27001:2005, no âmbito acima referido. A implementação do sistema ficou concluída em finais de 2011.

Este processo, envolveu 15 colaboradores da CMA em sessões de formação-ação, divididas por 6 fases “macro”, nomeadamente: formação, realização do diagnóstico específico ISO/IEC 27001, sensibilização para implementação – Executivo e colaboradores, implementação, requisitos de documentação e realização de Auditoria Interna.

Entre os benefícios obtidos destacam-se, entre outros:
Credibilidade, ao nível da proteção da informação, no tratamento dos dados
Aumento da produtividade dos colaboradores e aproveitamento dos recursos disponíveis
Identificação e análise dos riscos ou danos e tomada das medidas necessárias para minimizar os danos potenciais ou reais até níveis aceitáveis pela organização
Redução do risco de incidentes de segurança, pelo conhecimento das vulnerabilidades dos sistemas de informação, assim como da forma de os proteger, resultando num aumento do nível de proteção contra riscos
Cumprimento da legislação e regulamentos aplicáveis
Implementa uma organização de processos de segurança realizados de maneira sistemática
Congrega objetivos de gestão e de segurança
Envolvimento da gestão – a segurança passa a ser um assunto estratégico

Após a auditoria para concessão da certificação, efetuada pela APCER – Associação Portuguesa para a Certificação, realizou uma auditoria de concessão – 1.ª fase, a equipa auditora destacou pela positiva “…a utilização do SGSI como ferramenta de gestão e melhoria que tem permitido uma maior motivação dos colaboradores na concretização dos objetivos de segurança da informação.”

Desta forma, a CMA, conta com uma nova marca de certificação, desta vez, para o SGSI, implementado no âmbito “Processo de Licenciamento de Obras Particulares e todos os sistemas e ativos associados a este processo nas instalações e centro de processamento de dados em Águeda, de acordo com a Declaração de Aplicabilidade de 2014/10/30”, transformando-se na 1.ª Câmara do país com esta certificação.

Nada seria possível sem a mobilização e empenhamento da equipa de colaboradores envolvidos, o que levou ao planeamento, gestão e melhoria dos recursos humanos existentes, desenvolvendo aptidões e competências, responsabilizando-os e envolvendo-os nas atividades de melhoria.