Regime de segurança nacional
A ENS é uma norma concebida e promovida pelo Centro Nacional de Criptologia (CCN) para promover a segurança e a privacidade dos dados e para proteger os dados quando se realizam transacções electrónicas. Esta norma nasceu em 2010, passou por uma grande revisão em 2015 e por outra evolução muito relevante em 2022, à qual pertence esta certificação que acabámos de obter.
As empresas que oferecem esses serviços às administrações públicas são obrigadas a ser acreditadas, para que as entidades públicas minimizem o risco de ciberataques que possam ocorrer devido a falhas de segurança dos fornecedores. Mas para obter esta acreditação, ou melhor, para que os sistemas de uma empresa atinjam a robustez, a fiabilidade e a proteção necessárias para a obter, é, de facto, um trunfo para qualquer empresa que trabalhe no mundo digital com outras organizações privadas ou clientes. Trata-se de responsabilidade, qualidade e confiança.
Aqui podes ver os certificados que obtivemos para duas das empresas do Grupo MailComms:
Níveis do regime de segurança nacional
Existem três níveis de NSS: baixo, médio e alto. Cada uma delas é mais exigente do que a anterior e alcançar uma mais elevada significa cumprir as mais baixas e acrescentar novos requisitos.
Acabámos de ser acreditados ao mais alto nível, o mais rigoroso de todos e, para o conseguir, implementámos e demonstrámos medidas organizacionais e técnicas destinadas a assegurar as chamadas CITAD ou 5 dimensões da informação (em todas e cada uma delas atingimos este nível):
- Confidencialidade
- Integridade
- Rastreabilidade
- Autenticidade
- Disponibilidade
O elevado nível de ENS é adequado para entidades públicas, tais como organizações de defesa ou de inteligência, organizações financeiras, empresas de tecnologia ou empresas envolvidas no sector da saúde. Ou seja, aqueles que lidam com informações secretas altamente sensíveis ou classificadas.
Como é que obtivemos a acreditação ENS?
Qualquer empresa que pretenda obter a certificação ENS tem de passar por uma auditoria muito completa e abrangente, que examina aspectos tecnológicos, organizacionais, processuais e outros. Sempre sob a lente das 5 dimensões da informação e nos quadros da cibersegurança e da segurança e privacidade da informação. De facto, integra-se bem com as normas ISO 27001 (segurança da informação) e 27701 (privacidade da informação) que já temos em vigor.
Relativamente a esta análise, Sonia Lasheras, CISO da empresa, afirma:“Foi uma auditoria difícil e intensa porque a nova ENS aumentou os requisitos e também porque o nosso objetivo era sermos certificados ao mais alto nível, o que conseguimos. Diria mesmo que é a auditoria mais exigente de todas as auditorias que efectuamos. E o resultado tem sido muito bom“.
O relatório destaca como pontos fortes o empenho, o envolvimento e a experiência dos nossos profissionais, bem como o nosso conhecimento das ferramentas e da arquitetura proposta com os requisitos de segurança da informação. A utilização de serviços tecnológicos e organizacionais corporativos, como a AWS e a WAZHU, bem como a nossa capacidade técnica em questões de segurança preventiva, também tiveram uma influência positiva.
Vantagens, para ti, desta certificação
A obtenção desta acreditação ao mais alto nível distingue-nos no nosso sector. Faz isso de muitas maneiras, mas podemos destacar quatro:
- Atingir o nível superior é invulgar, o que nos torna únicos.
- Estamos certificados na nova ENS:2022, o que também é uma caraterística distintiva.
- O âmbito é global e refere-se a todos os serviços que prestamos.
- Trata-se de um certificado exigido pelas administrações públicas e também pelas empresas privadas que são clientes dessas administrações (cadeia de abastecimento).
No nosso trabalho diário contigo, este elevado nível ENS significa que os dados com que trabalhamos nos nossos projectos partilhados são mais seguros e privados do que nunca. Traduz-se também num cumprimento regulamentar mais exaustivo e garantido, se possível, e na superação dos requisitos necessários para trabalhar com as administrações públicas, algo que os teus fornecedores são obrigados a fazer se lhes prestares serviços.