A Glintt é uma empresa tecnológica com um foco muito grande numa área extraordinariamente sensível, a da saúde. Com mais de 20 anos de experiência, a Glintt é uma empresa líder em consultoria e serviços tecnológicos na Saúde. As suas soluções são utilizadas em mais de 200 hospitais e clínicas e em 14.000 farmácias na Península Ibérica, e possui escritórios em Portugal, Espanha, Angola e Brasil.
Desde sempre que a segurança da informação tem sido um tema fulcral na estratégia da empresa. Temos consciência do quão sensível é a informação com a qual trabalhamos e o grau de confiança que é necessário garantir continuamente aos nossos clientes e aos clientes dos nossos clientes. Nesse sentido, sempre nos pautámos pelos mais exigentes padrões de segurança. No entanto, como acontece em muitas empresas, esses critérios não estavam totalmente normalizados e não eram muitas vezes guardadas evidências.
Nesse sentido, há cerca de três anos, a Glintt tomou a decisão estratégica de avançar para uma certificação no referencial ISO 27001, para adicionar às outras certificações que temos. Esta certificação permitir-nos-ia formalizar muita da estratégia de segurança e gerar as necessárias evidências de cumprimento desses padrões.
Tendo a noção da dimensão da empresa, e sabendo a dimensão do desafio, decidimos certificar em primeiro lugar o que lida diretamente com os nossos clientes, o processo comercial. Neste sentido, sempre com o envolvimento e apoio da administração, foi necessário documentar todo o processo, analisar os fluxos de informação e incorporar no processo as etapas de geração de evidências. Todas estas etapas requereram o envolvimento das várias equipas envolvidas, cujo input nos permitiu não apenas conhecer a fundo o processo, mas agregar as várias equipas num mesmo objetivo e com uma mesma visão, permitindo que as equipas conseguissem ter uma visão mais abrangente e enquadrar o seu envolvimento no processo como um todo.
O segundo desafio neste tipo de processos é o esforço adicional que coloca nas equipas operacionais, para quem muitas vezes a documentação e a geração de evidências podem ser vistas como um esforço pouco relevante para o funcionamento do negócio. Neste ponto, foi fundamental o envolvimento dos vários níveis, começando pela Administração e pelos vários diretores envolvidos, bem como o trabalho conjunto entre as várias equipas que permitiram incorporar no processo de negócio os requisitos de segurança.
O envolvimento da APCER, que nos acompanha também noutras certificações, foi fundamental, não apenas na certificação per se, mas em todo o acompanhamento e na forma como abordaram o tema da segurança da informação com as várias áreas operacionais, reiterando a visão da segurança da informação como uma componente do processo e uma necessidade de negócio, e não como um esforço adicional. Neste sentido, a APCER partilha connosco a visão que os temas da segurança da informação são, cada vez mais, uma parte integrante do negócio e que os recursos despendidos são um investimento e não um custo. Com este envolvimento, a APCER é vista pelas equipas operacionais não como um “avaliador” externo que vem procurar falhas ou deficiências, mas sim um parceiro que nos apoia e ajuda a melhorar cada vez mais.
Esta colaboração permitiu que conseguíssemos cimentar esta cultura de incorporar a segurança nos processos de forma formal, não apenas no processo inicialmente certificado, mas transbordando também para outros, o que nos permitiu estender o âmbito da certificação a outro processo.
Contamos com a APCER para nos continuar a apoiar na melhoria da segurança da informação e na inclusão de outros âmbitos.
Nuno Neves
Chief Security Officer do grupo ANF
