Breadcrumbs

Como implementar o ENS no GlobalSuite® (serviços, avaliação, categorização e adequação)?

Neste artigo tratamos como identificar serviços e processos, definir papéis, realizar a avaliação de ativos (CIDAT), obter a categorização do sistema, gerir medidas de segurança e o plano de adequação, e como apoiar-se no inventário, gestor documental, incidentes e ScoreCard para o acompanhamento do ENS no GlobalSuite®

1. Início

1.1. Catálogo de Serviços

O GlobalSuite® ENS permite identificar serviços ou produtos da organização sobre os quais serão aplicadas as medidas estabelecidas pelo ENS e sobre os quais será feita uma futura avaliação, isto será feito através da opção “Catálogo de Serviços”.

Posteriormente serão estabelecidas as dependências com as diferentes áreas ou departamentos que compõem a organização. Para definir esses catálogos de serviços ou produtos, deve-se configurar clicando no botão e definir as informações relativas à empresa.

att_47_for_1392410695.jpeg

1.2. Processos de Negócio

O GlobalSuite® ENS permite à organização definir os serviços ou produtos que compõem a empresa, que foram registados na opção de “Catálogo de Serviços”. A partir deles, será possível detalhar a organização em um nível mais baixo, no qual serão incluídos os processos, áreas, departamentos, divisões ou gerências através da opção de “ Processos”.

Para a definição desses processos, acede-se ao separador “ Lista de Processos” e clicando no botão “ Novo” podem ser criados os mesmos.

Uma vez concluída esta lista de processos/áreas, poderão ser associados aos serviços conforme definido na transparência seguinte.

att_53_for_1392410695.jpeg

Uma vez definidos os processos/áreas, podem ser incluídos nos Serviços criados no Catálogo de Serviços, através da opção “ Árvore de Processos”, onde é possível estabelecer a estrutura da organização em forma de árvore, vinculando os serviços criados com os processos. Para isso, basta arrastar os processos da tabela da direita para a hierarquia da tabela da esquerda até formar as dependências entre as diferentes áreas da organização.

att_49_for_1392410695.jpeg

1.3. Papéis e Responsabilidades

Nesta opção é possível criar os papéis que intervêm na gestão do ENS, para isso o GlobalSuite® ENS permite configurar novos tipos de perfis através do menu “Configurar Papéis” e, posteriormente, no novo separador, definir aqueles perfis requeridos pela organização com o botão “ Novo”.

Após isso, será possível atribuir ou associar um colaborador a cada papel como responsável pelo mesmo.

image-20251128-143502.png

1.4. Avaliação

A opção de “ Avaliação” que o GlobalSuite® ENS possui permite avaliar os diferentes ativos que pertencem à categoria de “ Serviços” e de “ Informação”. A avaliação desses ativos é feita através de 5 dimensões (Confidencialidade, Integridade, Disponibilidade, Autenticidade e Rastreabilidade), as quais possuem 5 níveis diferentes (Muito Baixo, Baixo, Médio, Alto, Muito Alto). Estas dimensões e níveis vêm configurados por padrão em Ajustes > Metodologias > Elementos e não devem ser eliminados nem editados para não alterar o funcionamento do módulo.

image-20251128-150406.png

Para realizar a avaliação, é necessário acessar a opção de “ Avaliação ” e ir avaliando cada ativo escolhendo o nível correspondente em cada dimensão.

Além de avaliar os ativos existentes, através do botão “Novo” será possível criar ativos do tipo Informação e assim poderão ser avaliados.

Esta avaliação é muito importante para o GlobalSuite® ENS, pois sem ela não será possível determinar a Categorização do Sistema ”.

att_60_for_1392410695.jpeg

1.5. Categorização do Sistema (Seções)

Esta é uma das opções mais importantes do GlobalSuite® ENS, onde aparece, por padrão, o valor máximo dos ativos anteriormente avaliados. Adicionalmente, podem ser escolhidas as dimensões que se deseja visualizar nesta opção. Para isso, deve-se ir a Ajustes > Metodologias > Elementos , e na opção de Visibilidade Dimensões em Tabelas, clicar em “Sim/Não” na coluna de ENS indicando se se deseja ou não visualizar essa coluna.

image-20251128-150756.png

Uma vez escolhidas, se clicar na “ Categorização do Sistema” que se encontra na opção de Seções (a qual pode ser encontrada em qualquer um dos separadores do GlobalSuite®), aparecerá uma janela com as informações requeridas e o Nível de Segurança que se aplica à empresa.

image-20251128-151104.png

1.6. Medidas de Segurança

A Análise Diferencial do ENS tem como objetivo principal estabelecer os princípios e requisitos de segurança na utilização de meios eletrônicos, permitindo assim a adequada proteção da informação. Para cumprir com o Esquema Nacional de Segurança, deve-se cumprir cada um dos âmbitos de atuação que se aplicam à empresa. Deve-se ter em conta que atualmente existem duas versões da Análise Diferencial do ENS, a versão de 2015 e a nova de 2022.

O GlobalSuite® permite realizar cópias e armazenar históricos das diferentes análises através do botão de Copiar e Ativar/Desativar. Os registos destacados em verde estão ativos, aqueles com fundo branco são versões inativas. Para consultar todas as versões, deve-se clicar no botão Mostrar.

image-20251128-151038.png

Para as medidas de segurança, primeiro deve-se já ter configurado a categorização do sistema, e para isso, deve-se ter avaliado os serviços e elementos do tipo informação no separador avaliação previamente. Uma vez feito, aparecerão as diferentes seções com cores dependendo se a sua avaliação foi baixa, média ou alta. E no grau destas, aparecerá se aplicam ou não, tendo em conta a avaliação dos elementos mencionados anteriormente.

image-20251128-151131.png

Pode-se utilizar a seção "Busca de ações“ (clicar para expandir) e serve para buscar requisitos ou medidas de segurança (linhas sem cor) dentro dos controlos, já que os filtros das colunas só permitem filtrar controlos, que são as linhas coloridas.

att_50_for_1392410695.jpeg

Dentro dos requisitos ou medidas de segurança, na coluna Grau pode-se editar a aplicabilidade das mesmas (linhas sem cor), mas não dos controlos do ENS (linhas coloridas), que são impostos pelo nível da categorização do sistema. Deve-se indicar o estado de cumprimento de cada medida na coluna Estado Atual.

att_55_for_1392410695.jpeg

1.7. Plano de Adequação

O Plano de Adequação do ENS serve para identificar os controlos do ENS que se aplicam à empresa e cujas medidas de segurança não estão implementadas a 100%. Para isso, serão implementados os mesmos, será usado o filtro de busca de ações, e poderão ser usados também o filtro das colunas.

att_64_for_1392410695.jpeg

Para aqueles requisitos que não tenham sido implementados na organização, o GlobalSuite® permite estabelecer ações para alcançar o seu cumprimento e fazer um acompanhamento das mesmas através do menu “ Acompanhamento”.

att_62_for_1392410695.jpeg

Além de tudo isso, podem ser realizados “ Históricos” do Plano de Adequação para ver as mudanças que ocorreram entre uma data e outra. Estes históricos são apenas para leitura, ou seja, não é possível modificar as informações que contêm.

Para isso, clica-se no botão “Novo” e ficará guardado o Novo histórico com as informações atuais.

att_44_for_1392410695.jpeg

2. Análise

2.1. Inventário

No Inventário encontram-se todos os ativos da organização, e poderão ser adicionados à Árvore de elementos conforme a hierarquia existente. Esta opção é muito importante porque é onde serão adicionados os ativos de “ Informação” entre outros. Todos os ativos de informação que estejam no inventário poderão ser avaliados para a sua posterior categorização.

Além disso, será possível indicar quais aplicações, servidores ou infraestruturas dão suporte a esses ativos, e também poderão ser avaliados, embora essa avaliação não seja categorizada. Para mais informações, pode-se consultar o guia rápido “ Inventário de Elementos”.

att_61_for_1392410695.jpeg

2.2. Análise de Riscos

O GlobalSuite® ENS permite realizar a análise de Riscos completa através do Menu análise de Riscos. Nesta análise poderão ser analisados os diferentes ativos da empresa, todos os ativos que aparecem no Inventário são suscetíveis de serem analisados.

Para realizá-lo, devem ser seguidos vários passos, os quais são detalhados no guia rápido “ Análise de Riscos”.

att_45_for_1392410695.jpeg

2.3. Avaliação de Riscos

No menu de “ Avaliação de Riscos” pode-se ver um resumo dos resultados obtidos na análise de riscos. Com diferentes gráficos que mostram os resultados de forma visual e possibilitando o download desses gráficos para incluí-los em diferentes documentos.

att_56_for_1392410695.jpeg

2.3. Avaliação de Riscos (Mapa de Riscos)

O GlobalSuite® oferece a possibilidade de mostrar a análise de riscos, entre outras opções, a partir da representação de um “mapa de calor”. Todos esses dados poderão ser exportados através do botão “Download”, situado acima do mapa.

att_42_for_1392410695.jpeg

Para mais informações sobre a Avaliação de Riscos, pode-se consultar o guia rápido “ Avaliação de Riscos ”.

2.4. Gestão de Riscos

Uma vez avaliadas as ameaças, será necessário estabelecer os diferentes controlos que permitem mitigar os riscos detetados que estejam acima do Nível de Risco Aceitável (Apetite de Risco) definido, o que vai conformar o Plano de Tratamento.

att_65_for_1392410695.jpeg

Para o plano de tratamento, poderão ser propostos novos controlos através do botão “ Novo”, incluir os controlos que já foram implementados através da opção “ Incluir Controlos Implementados” ou incluir novos controlos propostos conforme a configuração do Catálogo de Riscos definidos, através da seleção do separador “Controlos propostos”.

att_57_for_1392410695.jpeg

Para mais informações sobre a Gestão de Riscos , consultar o guia rápido “Gestão de Riscos”.

3. Gestor Documental

Este Gestor Documental permite tanto dispor de um repositório compartilhado e único para concentrar toda a documentação derivada do Sistema de Gestão da organização como poder realizar através do mesmo a aprovação dos documentos através de Fluxos de Aprovação configuráveis (Workflows).

att_51_for_1392410695.jpeg

Ao acessar a opção, será visualizada toda a árvore de pastas e documentos que representa o gestor documental da organização.

Na parte superior podem ser encontrados vários botões como os seguintes:

  • Opções sobre o gestor: Nova Pasta e Mover as pastas do Gestor Documental.

  • No menu de Download encontram-se as opções para: “Pasta” que faz o download da pasta selecionada, “Relatório CSV”, para fazer o download do relatório em formato CSV que pode ser aberto com Excel ou em um editor similar.

att_46_for_1392410695.jpeg

3. Gestor Documental

Além disso, quando se marca ou seleciona um dos elementos do Gestor Documental, também são ativadas as opções específicas que se observam a seguir:

  • Carregar permite anexar um novo Arquivo (selecionando previamente o Workflow no caso de que haja).

  • Eliminar para poder apagar um dos elementos do Gestor.

  • Detalhes para entrar no detalhe de um registo, e dentro do mesmo poder consultar ou modificar as diferentes versões.

  • Visualizar o Documento online. Para poder pré-visualizá-lo devem ser ficheiros PDF, JPEG, JPG, BMP ou PNG.

att_43_for_1392410695.jpeg

Para obter mais informações sobre estas opções do Gestor Documental, consultar o guia rápido “ Gestor Documental”.

4. Incidências

O GlobalSuite® dispõe de uma parte de Gestão onde se gerem as Incidências, Não Conformidades, Alterações e Entregas, Corretivas e Preventivas. Todas estas opções pertencem ao Ticketing, pelo que o seu funcionamento é igual, mas pode ser utilizado para diferentes finalidades. Por exemplo, se houver alguma incidência, pode-se abrir um novo ticket, pressionando o botão “ Novo” e preenchendo o formulário. Uma vez feito isto, a informação aparecerá no ecrã:

att_58_for_1392410695.jpeg

Tanto a informação que aparece ao nível da tabela, como a informação que está dentro do formulário de cada ticket, é totalmente parametrizável. Inclusive o nome dos tickets pode ser modificado. Tudo isto seria feito a partir da parte de Ajustes > Configuração > Tickets .

att_52_for_1392410695.jpeg

Para obter mais informações sobre estas opções de Gestão, consultar o guia rápido “¿ Como configurar os tickets no GlobalSuite®? .

5. ScoreCard

5.1. Métricas

O GlobalSuite® permite estabelecer métricas que recolham diferentes dados na ferramenta. Os dados de cada métrica serão representados dependendo da sua data e do seu valor. Será na etapa seguinte que, a partir da combinação das métricas, serão estabelecidos os indicadores.

att_63_for_1392410695.jpeg

Para obter mais informações sobre os indicadores, consultar o guia rápido “ ¿Como criar e gerir indicadores e métricas no ScoreCard do GlobalSuite®?

5.2. Indicadores

A partir da combinação das métricas anteriormente estabelecidas serão elaborados os indicadores. Para isso, deve-se estabelecer a relação das mesmas através de uma fórmula. Para poder utilizar os dados introduzidos nas métricas, os indicadores deverão ter a mesma frequência de recolha. Estes indicadores poderão ser utilizados na extração de relatórios (Secções/ Relatórios).

att_59_for_1392410695.jpeg

Para obter mais informações sobre os indicadores, consultar o guia rápido “ ¿Como criar e gerir indicadores e métricas no ScoreCard do GlobalSuite®?