Preços
Teste

Eficácia das medidas

Deves avaliar a eficácia das medidas de segurança implementadas para saberes se deves adaptar o teu programa de segurança.

Eficácia das medidas

A tua organização deve estabelecer políticas e procedimentos para avaliar a eficácia das medidas implementadas.

Avalia a eficácia das medidas

Tens de garantir que as medidas de segurança implementadas são suficientes para fazer face aos riscos que a organização enfrenta. As medidas devem ser proporcionais ao cenário de ameaças.

Medida

Deves ter uma política para avaliar continuamente se as tuas medidas de segurança são eficazes. A avaliação deve confirmar que as medidas continuam a proteger contra os riscos relevantes e que a política de segurança da informação cumpre os requisitos internos e a legislação.

Em seguida, tens de estabelecer procedimentos para realizar estas avaliações e para decidir quando realizar testes técnicos, por exemplo, análises de vulnerabilidades. Estes procedimentos devem incluir:

  • Ferramentas e métodos específicos para avaliar e testar continuamente a segurança das redes e dos sistemas de informação,
  • verifica se as medidas estão em conformidade com as leis e regulamentos em vigor,
  • métodos para avaliar se as políticas são seguidas e como a organização garante que as medidas são efetivamente aplicadas e mantidas para os activos que se destinam a proteger,
  • um tratamento das medidas que se revelem ineficazes, incluindo o seu acompanhamento e melhoria,
  • clarificação de quem é responsável pela realização das avaliações.

Tanto as tuas políticas como os teus procedimentos devem ter em consideração:

  • os resultados das tuas avaliações de risco e as lições aprendidas com incidentes anteriores,
  • o que as medidas se destinam a proteger, se proporcionam um nível de proteção adequado e se a sua organização dispõe dos recursos necessários para as gerir eficazmente.

Estas políticas e procedimentos devem estar ligados à política de segurança do sistema de informação da tua organização, à política de gestão de riscos e ao tratamento de incidentes.

Por último, podes também garantir que os responsáveis pela gestão do risco, medidas e relatórios de gestão estão familiarizados com os requisitos das avaliações de eficácia, para que possam planear os controlos relevantes e acompanhar os resultados.

Documentação

As suas políticas e procedimentos para avaliar a eficácia devem ser actualizados regularmente e sempre que se verifiquem alterações importantes nos objectivos comerciais, nas vulnerabilidades ou no panorama de ameaças da organização. Isto pode, por exemplo, ter lugar antes da revisão programada da política de segurança dos sistemas de informação da organização.

Ensaios técnicos

A realização de testes técnicos permite identificar vulnerabilidades e avaliar a eficácia das medidas implementadas.

Requisitos

Tens de avaliar regularmente a necessidade de testes técnicos para avaliar a eficácia das tuas medidas de segurança. Com base numa avaliação dos riscos, tens de definir o tipo e a frequência dos testes, bem como os componentes, sistemas e elementos organizacionais que devem ser testados para garantir a segurança das operações.

Exemplos de ensaios técnicos incluem:

A tua rede e os teus sistemas de informação devem ser testados quanto à segurança durante a instalação, manutenção, actualizações ou outras alterações significativas.

Além disso, devem ser efectuados testes técnicos planeados e regulares em toda a organização. Os testes podem ser efectuados internamente ou por terceiros e devem seguir uma metodologia documentada. O âmbito, o tipo, o calendário e os resultados dos testes devem ser documentados de forma clara, mesmo para peritos externos.

Os resultados dos testes técnicos podem ser utilizados para atualizar as políticas e os procedimentos de avaliação da eficácia das medidas de segurança. No mínimo, a documentação deve incluir uma avaliação do grau de criticidade dos resultados e as medidas corretivas tomadas se os resultados indicarem riscos para a confidencialidade, integridade, autenticidade ou disponibilidade. Qualquer risco remanescente deve ser formalmente aceite pelos proprietários do risco e comunicado à direção relevante.

Documentação

Deves efetuar testes a intervalos regulares e após grandes alterações ou incidentes significativos. A documentação deve ser revista pelo pessoal competente e os resultados devem ser comunicados à direção.

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.