Matri-Demónio – “O seu pecado extraconjugal”

Matri-Demónio Lda.
PLANO DE SEGURANÇA DE INFORMAÇÃO E TI
RICARDO COSTA -

0
Matri-Demónio – “O seu pecado extraconjugal”

Índice
Introdução: ...................................................................................................................................... 6

Objetivos: .................................................................................................................................... 6

1. Políticas de Acesso à Rede ......................................................................................................... 6

1.1. controlo de Acesso: .............................................................................................................. 6

1.2. Acesso Remoto:.................................................................................................................... 6

2. Políticas de Gestão de Dispositivos ............................................................................................ 7

2.1. Inventário de Hardware e Software:..................................................................................... 7

2.2. Gestão de Patches: ................................................................................................................ 7

2.3. Dispositivos Móveis: ............................................................................................................ 8

3. Políticas de Proteção de Dados ................................................................................................... 8

3.1. Classificação de Dados: ....................................................................................................... 8

3.1.1. Definição: ...................................................................................................................... 8

3.1.2. Objetivo ......................................................................................................................... 8

3.1.3. Categorias de Classificação ........................................................................................... 8

3.1.4. Controles de Proteção .................................................................................................... 9

3.2. Criptografia: ....................................................................................................................... 10

3.2.1. Objetivo: ...................................................................................................................... 10

3.2.2. Criptografia de Dados em Trânsito ............................................................................. 11

3.2.3. Criptografia de Dados em Armazenados ..................................................................... 12

3.3. Backup e Recuperação ....................................................................................................... 13

3.3.1. Descrição: .................................................................................................................... 13

3.3.2. Estratégia de Backup ................................................................................................... 13

3.3.2. Tipos de Backup .......................................................................................................... 13

3.3.3. Armazenamento de Backup: ........................................................................................ 14

1
Matri-Demónio – “O seu pecado extraconjugal”

3.3.4. Segurança de Backup................................................................................................... 14

3.3.3. Testes de Recuperação e Plano de Continuidade ........................................................ 14

4. Políticas de Monitorização e Auditoria..................................................................................... 15

4.1. Objetivo: ............................................................................................................................. 15

4.2. Ferramentas de Monitorização: .......................................................................................... 15

4.2.1. Sistemas de Detecção e Prevenção de Intrusões (IDS/IPS): ....................................... 15

4.2.2. Monitorização de Logs: ............................................................................................... 15

4.2.3. Monitorização de Endpoints: ....................................................................................... 15

4.3. Cobertura de Monitorização: ............................................................................................. 16

4.4. Alertas e Notificações: ....................................................................................................... 16

4.4.1. Níveis de Severidade para Alertas .................................................................................. 16

4.5. Retenção de Logs: .............................................................................................................. 17

4.6. Auditoria de Segurança ...................................................................................................... 17

4.6.1. Descrição: .................................................................................................................... 17

4.6.2. Planeamento de Auditorias: ......................................................................................... 17

4.6.3. Execução de Auditorias: .............................................................................................. 18

4.6.4. Documentação de Resultados: ..................................................................................... 18

4.6.5. Correção de Vulnerabilidades: .................................................................................... 18

5. Políticas de Resposta a Incidentes ............................................................................................ 19

5.1. Objectivos: ......................................................................................................................... 19

5.2. Plano de Resposta a Incidentes .......................................................................................... 19

5.2.1.Descrição: ..................................................................................................................... 19

5.2.2. Definição de Incidente de Segurança: ......................................................................... 19

5.2.3. Fases da Gestão de Incidentes: .................................................................................... 19

5.2.4. Documentação do Incidente: ....................................................................................... 20

2
Matri-Demónio – “O seu pecado extraconjugal”

5.3. Equipe de Resposta a Incidentes ........................................................................................ 20

5.3.1. Descrição: .................................................................................................................... 20

5.4. Políticas e Procedimentos: ................................................................................................. 20

5.4.1. Composição da Equipe: ............................................................................................... 20

5.4.2. Treino e Capacitação: .................................................................................................. 21

5.4.3. Funções e Responsabilidades: ..................................................................................... 21

5.4. Contenção, Erradicação e Recuperação ............................................................................. 21

5.4.1. Descrição: .................................................................................................................... 21

5.4.2. Políticas e Procedimentos: ........................................................................................... 21

5.5. Comunicação de Incidentes ................................................................................................ 22

5.5.1. Descrição: .................................................................................................................... 22

5.5.2. Políticas e Procedimentos: ........................................................................................... 22

5.6. Pós-Incidente e Lições Aprendidas .................................................................................... 22

5.6.1. Descrição: .................................................................................................................... 22

6. Políticas de Treino e Consciencialização .................................................................................. 23

6.1. Objetivo: ............................................................................................................................. 23

6.2. Treino em Segurança .......................................................................................................... 23

6.2.1. Descrição: .................................................................................................................... 23

6.3. Programas de Treino Inicial: .............................................................................................. 23

6.3.1. Orientação de Novos Funcionários: ............................................................................ 23

6.3.2. Treino Específico para Funções: ................................................................................. 23

6.4. Treino Contínuo: ................................................................................................................ 24

6.4.1. Atualizações Regulares: .............................................................................................. 24

6.4.2 Tópicos de Treino: ........................................................................................................ 24

6.5. Treino Técnico Avançado: ................................................................................................. 24

3
Matri-Demónio – “O seu pecado extraconjugal”

6.6. Certificações de Segurança: ............................................................................................... 24

6.7. Consciencialização sobre Segurança:................................................................................ 24

6.7.1. Descrição: .................................................................................................................... 24

6.7.2. Campanhas de Consciencialização : ............................................................................ 24

6.7.3. Simulações de Ataques: ............................................................................................... 25

6.7.4. Eventos de Consciencialização sobre Segurança: ....................................................... 25

6.7.5. Recursos Educativos: ................................................................................................... 25

6.7.6. Investimento da Direção de Alto Nível: ...................................................................... 25

6.7.7. Programas de Reconhecimento: .................................................................................. 25

6.8. Avaliação de Efetividade e Melhoria Contínua: ................................................................ 25

6.8.1. Descrição: .................................................................................................................... 25

6.8.2. Avaliação de Conhecimento: ....................................................................................... 25

6.8.3. Feedback dos Funcionários: ........................................................................................ 26

6.8.4. Revisão e Atualização de Conteúdo: ........................................................................... 26

7. Políticas de Conformidade ........................................................................................................ 26

7.1 Objetivo: .............................................................................................................................. 26

7.2. Identificação de Requisitos de Conformidade ................................................................... 26

7.2.1. Descrição: .................................................................................................................... 26

7.3 Mapeamento de Requisitos: ................................................................................................ 26

7.4 Consultoria Jurídica: ........................................................................................................... 27

7.5. Monitorização de Mudanças Regulatórias: ........................................................................ 27

7.6. Implementação de Controles de Conformidade ................................................................. 27

7.6.1. Descrição: .................................................................................................................... 27

7.6.2. Desenvolvimento de Políticas Internas: ...................................................................... 27

7.6.3. Controlos de Segurança: .............................................................................................. 27

4
Matri-Demónio – “O seu pecado extraconjugal”

7.6.4. Treino e Consciencialização: ....................................................................................... 27

7.7. Monitorização e Auditoria de Conformidade..................................................................... 28

7.7.1. Descrição: .................................................................................................................... 28

7.7.2. Auditorias Internas: ..................................................................................................... 28

7.7.3. Auditorias Externas: .................................................................................................... 28

7.7.4. Monitorização Contínuo: ............................................................................................. 29

7.8. Gestão de Violações de Conformidade .............................................................................. 29

7.8.1. Descrição: .................................................................................................................... 29

7.8.2. Procedimentos de Resposta: ........................................................................................ 29

7.8.3. Ações Corretivas e Preventivas: .................................................................................. 29

7.8.4. Notificação de Incidentes: ........................................................................................... 29

7.9. Revisão e Atualização de Políticas..................................................................................... 30

7.9.1. Descrição: .................................................................................................................... 30

7.9.2. Revisão Regular:.......................................................................................................... 30

7.9.3. Feedback e Melhoria Contínua: ................................................................................... 30

8. Conclusão e Considerações Finais ............................................................................................ 30

8.1. Considerações sobre Alterações no Plano:......................................................................... 30

8.2. Obrigatoriedade de Aplicação: ........................................................................................... 31

5
Matri-Demónio – “O seu pecado extraconjugal”

Introdução:

Este plano de políticas de segurança de rede tem como objetivo proteger a integridade,
confidencialidade e disponibilidade dos recursos de rede da Matri-Demónio Encontros
Extraconjugais. Esta abrange a estrutura de segurança necessária para proteger os ativos
de TI contra ameaças internas e externas.

Objetivos:

• Garantir a proteção contra acesso não autorizado.

• Proteger a confidencialidade e integridade dos dados.
• Assegurar a disponibilidade dos recursos de rede.
• Definir procedimentos de resposta a incidentes de segurança.
• Cumprir com as regulamentações e normas de segurança aplicáveis.

1. Políticas de Acesso à Rede

1.1. controlo de Acesso:

• Utilizar autenticação forte (ex: 2FA) para todos os utilizadores.

• Utilização de equipamentos (ex: smartphones) para autenticação fornecidos pela empresa.
• Limitar privilégios de acesso com base nas funções e responsabilidades (princípio do
menor privilégio).
• Implementar políticas de senha fortes (comprimento mínimo, complexidade, expiração
regular).
• Utilização de autenticação por dados biométricos com base nas funções e acessos a áreas
criticas.

1.2. Acesso Remoto:

6
Matri-Demónio – “O seu pecado extraconjugal”

• Acesso remoto deve ser requesitado com antecedência, quando possivel.

• Acesso remoto apenas permitido em equipamentos da empresa.
• Acesso remoto deve ser permitido apenas em casos excepcionais.
• Acesso remoto deve ser permitido apenas através de conexões VPN seguras.
• Autenticação multifator é obrigatória para acesso remoto.
• Monitorizar e registar todas as atividades de acesso remoto.

2. Políticas de Gestão de Dispositivos

2.1. Inventário de Hardware e Software:

• Manter um inventário actualizado de todos os dispositivos conectados à rede.

• Manter um inventário actualizado de todos os dispositivos cedidos a colaboradores.
• Manter um inventário actualizado de todos os dispositivos armazenados.
• Registar todas as actualizações de hardware e software.
• Registar todos os periodos de cedência de equipamento (local e remoto).

2.2. Gestão de Patches:

• Aplicar patches de segurança e actualizações regularmente.

• Testar actualizações em um ambiente de teste antes de implementá-las na rede de
produção.
• Aplicar patches de segurança e actualizações após aprovação do departamento de
Segurança de Informação e TI.
• Fazear a implementação de acordo com o nivel de criticidade da actualizão.
• Fazear a implementação de acordo com o nivel de criticidade do departamento.

7
Matri-Demónio – “O seu pecado extraconjugal”

2.3. Dispositivos Móveis:

• Proibir o uso de dispositivos pessoais.

• Registo de cedência do equipamento ao colaborador
• Registo de todos os contactos efectuados com dispositivos cedidos pela empresa
(destinatário e duração).
• Registo de acessos e aplicações efectuados no dispositivo móvel.
• Implementar políticas de segurança para dispositivos móveis (ex: criptografia,
autenticação, software de segurança).

3. Políticas de Proteção de Dados

3.1. Classificação de Dados:

3.1.1. Definição:

A classificação de dados é um componente crucial da política de proteção de dados, pois

ajuda a determinar o nível de proteção necessário para diferentes tipos de informações.
Abaixo estão os detalhes para a implementação de uma política de classificação de dados:

3.1.2. Objetivo

Definir categorias de dados para garantir que informações sensíveis sejam identificadas e
protegidas adequadamente, conforme seu nível de importância e confidencialidade.

3.1.3. Categorias de Classificação

Os dados devem ser classificados em quatro categorias principais:

8
Matri-Demónio – “O seu pecado extraconjugal”

3.1.3.1. Dados Públicos:

• Descrição: Informações que podem ser compartilhadas abertamente com o público sem
causar danos à organização.

Exemplos: Comunicados de imprensa, conteúdo do site público, informações de marketing.

3.1.3.2. Dados Internos:

• Descrição: Informações de uso interno que não são destinadas ao público, mas cuja
divulgação não causaria danos significativos.

Exemplos: Diretórios de funcionários, políticas e procedimentos internos, memorandos internos.

3.1.3.3. Dados Confidenciais:

• Descrição: Informações que são sensíveis e devem ser acessadas apenas por pessoas
autorizadas dentro da organização.

Exemplos: Dados financeiros, planos de negócios, informações de clientes e fornecedores.

3.1.3.4. Dados Restritos:

• Descrição: Informações altamente sensíveis que, se divulgadas, poderiam causar danos
significativos à organização ou a indivíduos.

Exemplos: Dados pessoais identificáveis (PII), dados de saúde protegidos (PHI), segredos
comerciais, informações legais e de conformidade.

3.1.3.5. Dados Ultra-Secretos:

• Descrição: Informações altamente sensíveis de teor técnico que, se divulgadas, poderiam
causar danos significativos à organização e funcionamento dos seus serviços

Exemplos: Código fonte, Dados de Configuração, Algoritmos de Automatismo.

3.1.4. Controles de Proteção

Cada categoria de dados deve ter controles de segurança específicos:

9
Matri-Demónio – “O seu pecado extraconjugal”

3.1.4.1. Dados Públicos:

• Controle mínimo, revisão regular do conteúdo.

3.1.4.2. Dados Internos:

• Acesso restrito a funcionários, proteção básica com senhas.

3.1.4.3. Dados Confidenciais:

• Controle de acesso rigoroso, criptografia em trânsito e repouso, monitorização de acessos
e auditorias regulares.

3.1.4.4. Dados Restritos:

• Controle de acesso muito rigoroso, criptografia robusta, políticas de retenção de dados,
monitorização contínua e auditorias de conformidade.

3.1.4.5. Dados Ultra-Secretos:

• Controle de acesso extremamente rigoroso,protocolo de manuseamento, criptografia
robusta, políticas de retenção de dados, monitorização contínua e auditorias de
conformidade.

3.2. Criptografia:

A criptografia é uma das principais medidas de segurança para a confidencialidade e

integridade de dados. Esta deve ser aplicada tanto aos dados em trânsito como ao dados
armazenados.

3.2.1. Objetivo:

Definir metodos e protocolos de encriptação para garantir que a informação preserva a

sua confidencialidade.

10
Matri-Demónio – “O seu pecado extraconjugal”

3.2.2. Criptografia de Dados em Trânsito

3.2.2.1. Descrição:
Dados em trânsito referem-se a informações que estão a ser transmitidas entre diferentes
locais na rede ou através da internet.

3.2.2.2. Uso de TLS

• Todas as comunicações através da internet devem usar o protocolo Transport Layer
Security (TLS).
• Certificados TLS devem ser adquiridos de autoridades de certificação confiáveis e devem
ser renovados regularmente.

3.2.2.3. Criptografia de Email:

• Emails devem ser criptografados usando protocolos como PGP.
• Implementar gateways de email seguros para garantir que todos os emails enviados
externamente sejam criptografados.

3.2.2.3. VPN
• Todo o acesso remoto à rede deve ser feito através de uma Rede Privada Virtual (VPN)
com autenticação multifator (MFA).
• A VPN deve usar criptografia AES-256.

3.2.2.4. Protocolos Seguros para Transferência de Arquivos:

• Usar FTPS (FTP sobre SSL/TLS) para transferência de ficheiros.

3.2.2.5 Validação e Gestão de Certificados:

• Realizar a validação regular dos certificados digitais utilizados para garantir que não
estejam comprometidos ou expirados.
• Utilizar práticas seguras de gestão de chaves, incluindo o armazenamento seguro e o ciclo
de vida de rotação de chaves.

11
Matri-Demónio – “O seu pecado extraconjugal”

3.2.3. Criptografia de Dados em Armazenados

3.2.3.1. Descrição:
• Dados em repouso referem-se às informações armazenadas em dispositivos, servidores
ou sistemas de armazenamento.

3.2.3.2. Criptografia de Discos e Armazenamento:

• Todos os dispositivos de armazenamento que contenham dados devem utilizar
criptografia de disco completo (ex: BitLocker, FileVault).

3.2.3.3. Criptografia de Base de Dados:

• Bases de dados que armazenam informações sensíveis devem implementar criptografia
transparente de dados (TDE) ou criptografia a nível de coluna/campo.
• As chaves de criptografia devem ser armazenadas separadamente dos dados, utilizando
módulos de segurança de hardware (HSMs) ou serviços de gestão de chaves.

3.2.3.4. Criptografia em Nuvem:

• Para dados armazenados em serviços de nuvem, garantir que a criptografia seja aplicada
tanto pelo provedor de serviços quanto pela organização, conforme necessário.
• Utilizar criptografia ponta a ponta, onde a organização tem controle total sobre as chaves
de criptografia.

3.2.3.5. Gestão de Chaves de Criptografia:

• Implementar uma política robusta de gestão de chaves, incluindo a criação, distribuição,
armazenamento, rotação e destruição segura das chaves.
• Usar HSMs ou soluções de gestão de chaves na nuvem para proteger as chaves de
criptografia.

3.2.3.6. Backup e Recuperação:

• Garantir que todos os dados de backup sejam criptografados.
• Manter controlo rígido sobre o acesso às chaves de criptografia usadas para backups,
classificado como ultra-secreto, somente pessoal autorizado com acesso.

12
Matri-Demónio – “O seu pecado extraconjugal”

3.3. Backup e Recuperação

3.3.1. Descrição:
A política de backup e recuperação é fundamental para garantir a continuidade dos negócios e a
recuperação de dados em caso de falhas de hardware, ataques cibernéticos, ou outros incidentes.

3.3.2. Estratégia de Backup

3.3.1.1. Identificação de Dados Críticos:

• Análise identificadora de dados críticos para a continuidade dos negócios, incluindo

informações financeiras, dados de clientes, registos de funcionários, e outros dados
essenciais.

3.3.1.2. Frequência de Backup:

• Agendamento regular de backups com base na criticidade e frequência de atualização dos
dados.
• Diário: Para dados que mudam frequentemente, como bancos de dados transacionais.
• Semanal: Para dados que mudam menos frequentemente.
• Mensal: Para arquivos menos críticos ou históricos.

3.3.2. Tipos de Backup

3.3.2.1. Backup Completo:

• Realizar um backup completo de todos os dados críticos regularmente, garantindo que

uma cópia integral dos dados esteja sempre disponível.

3.3.2.2. Backup Incremental:

• Realizar backups incrementais para capturar apenas as mudanças feitas desde o último
backup completo ou incremental, economizando tempo e espaço de armazenamento.

3.3.2.3. Backup Diferencial:

• Realizar backups diferenciais para capturar todas as mudanças desde o último backup
completo, oferecendo um equilíbrio entre tempo de backup e recuperação.

13
Matri-Demónio – “O seu pecado extraconjugal”

3.3.3. Armazenamento de Backup:

3.3.3.1. On-site:

• Manter cópias de backup no local, em servidores dedicados ou dispositivos de

armazenamento, para uma recuperação rápida.

3.3.3.2. Off-site:

• Armazenar cópias de backup fora do local principal, incluindo centros de dados

secundários ou soluções de backup na nuvem, para proteger contra desastres locais.

3.3.3.3. Réplica Geograficamente Distribuída:

• Utilizar várias localizações para armazenamento de backups para garantir redundância e

resiliência contra desastres regionais.

3.3.4. Segurança de Backup

3.3.4.1. Criptografia de Backups:

• Todos os dados de backup devem ser criptografados para proteger a confidencialidade e a

integridade dos dados, como indicado no capitulo 3.2 deste documento.

3.3.4.2. Acesso Controlado:

• O acesso aos backups deve ser restrito a pessoal autorizado. Implementar controles de
acesso rigorosos, incluindo autenticação multifator (MFA) e registos de auditoria para
monitorar acessos e modificações.

3.3.3. Testes de Recuperação e Plano de Continuidade

3.3.3.1.Testes Regulares de Recuperação:

• Realizar testes regulares de recuperação de dados para garantir que os backups podem ser
restaurados de maneira eficiente e completa.
• Verificação de integridade: Garantir que os arquivos de backup não estejam corrompidos.
• Testes de tempo de recuperação: Avaliar o tempo necessário para restaurar sistemas e
dados críticos, comparando com os objetivos de tempo de recuperação (RTO) definidos.

14
Matri-Demónio – “O seu pecado extraconjugal”

3.3.3.2. Documentação e Revisão do Plano de Recuperação:

• Documentar todos os procedimentos de backup e recuperação, incluindo instruções
detalhadas para diferentes cenários de falha ou desastre.
• Rever e actualizar regularmente o plano de backup e recuperação de forma a refletir
mudanças na infraestrutura, nos requisitos de negócios ou no ambiente de ameaças.

3.3.3.3. Plano de Continuidade de Negócios:

• Integrar o plano de backup e recuperação no plano de continuidade de negócios (BCP) da
organização. Este plano deve abordar como a organização responderá e se recuperará de
interrupções significativas, incluindo desastres naturais, falhas de sistemas e ataques
cibernéticos.

4. Políticas de Monitorização e Auditoria

4.1. Objetivo:

As políticas de monitorização e auditoria são essenciais para detectar, investigar e

mitigar incidentes de segurança, bem como para assegurar a conformidade com
normas e políticas de segurança.

4.2. Ferramentas de Monitorização:

4.2.1. Sistemas de Detecção e Prevenção de Intrusões (IDS/IPS):

• Implementar IDS para monitorizar o tráfego de rede em busca de atividades anómalas e

IPS para bloquear tentativas de ataque identificadas.

4.2.2. Monitorização de Logs:

• Utilizar soluções de Gestão e Análise de Logs para colectar, correlacionar e analisar logs
de eventos de segurança, sistemas e rede.

4.2.3. Monitorização de Endpoints:

15
Matri-Demónio – “O seu pecado extraconjugal”

• Implementar ferramentas de EDR (Endpoint Detection and Response) para monitorizar a

atividade em dispositivos finais e detectar comportamentos suspeitos.

4.3. Cobertura de Monitorização:

• Garantir que todas as áreas críticas da infraestrutura de TI, incluindo servidores,

dispositivos de rede, endpoints, aplicações e serviços na nuvem, estejam incluídas no
escopo de monitorização.

4.4. Alertas e Notificações:

• Configurar alertas em tempo real para eventos críticos de segurança, como tentativas de
acesso não autorizado, atividades de malware e mudanças não autorizadas em sistemas
críticos.
• Definir níveis de severidade para alertas e estabelecer procedimentos para resposta
imediata a incidentes de alta criticidade.

4.4.1. Níveis de Severidade para Alertas

4.4.1.1. Descrição:

Os níveis de severidade são classificados em quatro categorias, dependendo da da criticidade dos

sistemas.

4.4.1.2. Severidade Crítica (P1):

• Descrição: Incidentes que causam uma interrupção total dos serviços críticos ou perda de
dados significativos, com impacto direto na continuidade dos negócios.
• Exemplos: Falha de um sistema de produção principal, violação de segurança de alto
risco com acesso a dados sensíveis, perda de conectividade de rede em escala global.

4.4.1.3. Severidade Alta (P2):

• Descrição: Incidentes que causam interrupções significativas, mas não totalmente

bloqueadoras, ou que têm potencial de se tornar críticos se não forem tratados.

16
Matri-Demónio – “O seu pecado extraconjugal”

• Exemplos: Degradação de desempenho de serviços essenciais, ameaças de segurança

com alto risco potencial, falhas de subsistemas que suportam operações críticas.

4.4.1.4. Severidade Moderada (P3):

• Descrição: Incidentes que afetam partes menores do sistema ou serviços não críticos, com
impacto limitado na operação ou segurança.
• Exemplos: Problemas de performance não críticos, bugs que afetam funcionalidades não
essenciais, incidentes de segurança de baixo risco.

4.4.1.5. Severidade Baixa (P4):

• Descrição: Incidentes de baixo impacto que não afetam a operação ou a segurança de

forma significativa.
• Exemplos: Pedidos de mudança ou melhorias, bugs menores, alertas de segurança que
não representam uma ameaça imediata.

4.5. Retenção de Logs:

• Manter logs de segurança e eventos por um período mínimo definido (ex: 1 ano),
conforme as regulamentações aplicáveis e as necessidades de investigação.

4.6. Auditoria de Segurança

4.6.1. Descrição:

• As auditorias de segurança são revisões sistemáticas e independentes dos controles de

segurança de uma organização para verificar a conformidade com políticas, padrões e
regulamentações, e para identificar vulnerabilidades.

4.6.2. Planeamento de Auditorias:

4.6.2.1. Periodicidade:
• Realizar auditorias de segurança de forma regular, como semestral ou anualmente, e após
grandes mudanças na infraestrutura ou incidentes de segurança significativos.

17
Matri-Demónio – “O seu pecado extraconjugal”

4.6.2.2. Escopo de Auditoria:

• Definir claramente o escopo da auditoria, incluindo sistemas, processos e áreas de risco
específicas a serem revisadas.

4.6.3. Execução de Auditorias:

4.6.3.1. Equipe de Auditoria:

• Utilizar uma equipe de auditores qualificados e independentes, que pode incluir recursos
internos ou terceiros especializados.

4.6.3.2. Metodologia:
• Seguir uma metodologia estruturada, como NIST, ISO/IEC 27001, ou COBIT, para
avaliar os controles de segurança e a conformidade com as políticas.

4.6.4. Documentação de Resultados:

4.6.4.1. Relatório de Auditoria:

• Documentar detalhadamente as descobertas da auditoria, incluindo falhas de segurança,
áreas de não conformidade e recomendações para mitigação de riscos.

4.6.3.2. Registro de Incidentes:

• Manter um registro de todos os incidentes de segurança identificados durante a auditoria,

incluindo detalhes do impacto, causa raiz e ações corretivas propostas.

4.6.5. Correção de Vulnerabilidades:

4.6.5.1. Plano de Ação:

• Desenvolver e implementar um plano de ação para corrigir as vulnerabilidades e falhas
de segurança identificadas, com prazos e responsabilidades claramente definidos.

4.6.5.2. Validação de Correções:

• Realizar uma revisão posterior para garantir que as ações corretivas foram implementadas
de maneira eficaz e que as vulnerabilidades foram mitigadas.

18
Matri-Demónio – “O seu pecado extraconjugal”

4.6.6. Revisão de Políticas e Processos:

• Rever e actualizar políticas de segurança e procedimentos operacionais com base nas
descobertas da auditoria, para melhorar continuamente o programa de segurança da
organização.

5. Políticas de Resposta a Incidentes

5.1. Objectivos:

As políticas de resposta a incidentes são fundamentais para a gestão eficaz de incidentes

de segurança da informação. Estas garantem uma abordagem estruturada para a
identificação, resposta, contenção e recuperação de incidentes, minimizando o impacto
negativo sobre a organização.

5.2. Plano de Resposta a Incidentes

5.2.1.Descrição:

O plano de resposta a incidentes é um documento detalhado que descreve os

procedimentos a serem seguidos em caso de um incidente de segurança. Este abrange
todos os aspectos, desde a detecção inicial até a recuperação e lições aprendidas.

5.2.2. Definição de Incidente de Segurança:

5.2.2.1. Descrição:
Clarificar o que constitui um incidente de segurança, incluindo violações de dados,
acesso não autorizado, ataques de malware, denegação de serviço (DoS) e outras
ameaças.

5.2.3. Fases da Gestão de Incidentes:

5.2.3.1. Preparação:
• Estabelecer uma equipe de resposta a incidentes (CSIRT) e garantir que todos os
membros estejam treinados e preparados.

19
Matri-Demónio – “O seu pecado extraconjugal”

5.2.3.2. Identificação:
• Implementar procedimentos para a detecção e reconhecimento de incidentes de
segurança. Utilizar ferramentas de monitorização, relatórios de usuários e outros métodos
para identificar incidentes.

5.2.3.3. Classificação e Prioritização:

• Avaliar a gravidade e o impacto do incidente, classificando-o de acordo com critérios pré-
definidos (ex: impacto na confidencialidade, integridade e disponibilidade).

5.2.3.4. Notificação:
• Notificar rapidamente as partes interessadas relevantes, incluindo a equipe de resposta,
gerentes de negócios e, se necessário, autoridades legais ou regulatórias.

5.2.4. Documentação do Incidente:

5.2.4.1. Descrição:
• Manter registos detalhados de todos os incidentes, incluindo a natureza do incidente, as
ações tomadas, e as evidências colectadas. Isso é crucial para análise posterior e possíveis
ações legais.

5.3. Equipe de Resposta a Incidentes

5.3.1. Descrição:

A equipe de resposta a incidentes (CSIRT) é responsável pela gestão e coordenação de

todas as atividades relacionadas à resposta a incidentes.

5.4. Políticas e Procedimentos:

5.4.1. Composição da Equipe:

• Incluir especialistas em segurança da informação, administradores de sistemas, gerentes

de TI, representantes legais e de comunicação, e outras partes relevantes.
• Designar um líder de equipe responsável pela coordenação geral e comunicação com a
alta direção e outras partes interessadas.

20
Matri-Demónio – “O seu pecado extraconjugal”

5.4.2. Treino e Capacitação:

• Oferecer treinos regulares à equipe sobre as últimas ameaças, técnicas de resposta a

incidentes, e uso de ferramentas especializadas.
• Realizar exercícios simulados de incidentes para testar e melhorar a capacidade de
resposta da equipe.

5.4.3. Funções e Responsabilidades:

• Definir claramente as funções e responsabilidades de cada membro da equipe durante um

incidente, incluindo quem é responsável pela comunicação, colecta de evidências, análise
e recuperação.

5.4. Contenção, Erradicação e Recuperação

5.4.1. Descrição:

Após a identificação de um incidente, é crucial contê-lo para impedir que cause mais
danos, erradicá-lo e iniciar a recuperação dos sistemas afetados.

5.4.2. Políticas e Procedimentos:

5.4.2.1. Contenção:
• Implementar medidas de contenção rápida para limitar o alcance e o impacto do incidente
(ex: isolar sistemas infectados, bloquear tráfego de rede malicioso).
• Estabelecer estratégias de contenção de curto e longo prazo, dependendo da natureza do
incidente.

5.4.2.2. Erradicação:
• Identificar e eliminar a causa raiz do incidente. Isso pode incluir a remoção de malware, a
correção de vulnerabilidades, ou o desligamento de sistemas comprometidos.

5.4.2.3. Recuperação:
• Restaurar sistemas e dados para o estado operacional normal, garantindo que todas as
medidas de segurança necessárias sejam implementadas para evitar recorrências.
• Verificar a integridade e segurança dos sistemas antes de reativá-los para uso regular.

21
Matri-Demónio – “O seu pecado extraconjugal”

5.5. Comunicação de Incidentes

5.5.1. Descrição:

A comunicação clara e eficiente é crucial durante e após um incidente de segurança para

garantir que todas as partes interessadas estejam informadas e alinhadas.

5.5.2. Políticas e Procedimentos:

5.5.2.1. Interna:
• Manter a alta direção e as partes relevantes informadas sobre o progresso do incidente e
as ações de resposta.
• Fornecer atualizações regulares para os funcionários sobre o status do incidente e
quaisquer ações que eles precisem tomar.

5.5.2.2. Externa:
• Notificar as autoridades legais ou regulatórias, conforme exigido por leis ou
regulamentos (ex: GDPR, LGPD).
• Comunicar com clientes, parceiros e outros stakeholders, quando apropriado, para manter
a transparência e confiança.

5.6. Pós-Incidente e Lições Aprendidas

5.6.1. Descrição:

Após a resolução de um incidente, é essencial analisar o evento para identificar falhas e

oportunidades de melhoria.

5.6.1.1. Análise Pós-Incidente:

• Conduzir uma revisão detalhada do incidente para entender o que aconteceu, como foi
tratado e quais foram os impactos.
• Identificar pontos fracos nos processos de segurança e resposta.

5.6.1.2. Relatório de Lições Aprendidas:

• Documentar as lições aprendidas e as melhores práticas identificadas durante a resposta
ao incidente.

22
Matri-Demónio – “O seu pecado extraconjugal”

• Atualizar políticas, procedimentos e treinos com base nas lições aprendidas para melhorar
a postura de segurança e a capacidade de resposta a incidentes futuros.

6. Políticas de Treino e Consciencialização

6.1. Objetivo:

As políticas de treino e consciencialização de segurança são essenciais para criar uma

cultura de segurança dentro da organização. Funcionários bem informados e treinados são
uma linha de defesa crucial contra ameaças de segurança, como phishing, engenharia
social e outros ataques cibernéticos.

6.2. Treino em Segurança

6.2.1. Descrição:

O treino de segurança deve ser um processo contínuo que abrange todos os níveis da
organização, garantindo que todos os funcionários entendam suas responsabilidades em
relação à segurança da informação.

6.3. Programas de Treino Inicial:

6.3.1. Orientação de Novos Funcionários:

• Todos os funcionários devem receber treino de segurança durante sua orientação inicial,
incluindo políticas de segurança da informação, procedimentos de proteção de dados e
uso seguro de sistemas de TI.

6.3.2. Treino Específico para Funções:

• Fornecer treinos específicos para funcionários com base nas suas funções.

23
Matri-Demónio – “O seu pecado extraconjugal”

6.4. Treino Contínuo:

6.4.1. Atualizações Regulares:

• Realizar sessões de treino regulares para actualizar os funcionários sobre novas ameaças
e melhores práticas de segurança.
• Realizados semestral ou anualmente, ou sempre que houver mudanças significativas na
infraestrutura ou políticas de segurança.

6.4.2 Tópicos de Treino:

• Cobrir uma variedade de tópicos, incluindo proteção contra malware, técnicas de

phishing, boas práticas de gestão de senhas, uso seguro de redes Wi-Fi públicas, e
proteção de dados pessoais e corporativos.

6.5. Treino Técnico Avançado:

• Fornecer treino técnico avançado para equipes de TI e segurança da informação,

incluindo cursos sobre gestão de incidentes, segurança de rede, análise de
vulnerabilidades e segurança de aplicações.

6.6. Certificações de Segurança:

• Incentivar e apoiar os funcionários a obterem certificações de segurança reconhecidas,

como CISSP, CISM, CEH, ou outras certificações relevantes para suas funções.

6.7. Consciencialização sobre Segurança:

6.7.1. Descrição:

A consciencialização sobre segurança é fundamental para garantir que todos os

funcionários estejam cientes das ameaças de segurança e das políticas da organização
para mitigá-las.

6.7.2. Campanhas de Consciencialização :

• Realizar campanhas de consciencialização regulares para educar os funcionários sobre

ameaças emergentes e a importância de práticas seguras.

Exemplo: newsletters, e-mails informativos, cartazes e outras formas de comunicação.

24
Matri-Demónio – “O seu pecado extraconjugal”

6.7.3. Simulações de Ataques:

• Realizar exercícios de simulação de ataques, como campanhas de phishing simuladas,

para avaliar a consciencialização dos funcionários e identificar áreas de melhoria.
• Fornecer feedback imediato e educativo para os funcionários após as simulações,
destacando erros comuns e como evitá-los no futuro.

6.7.4. Eventos de Consciencialização sobre Segurança:

• Organizar eventos anuais ou semestrais, como um "Dia de Consciencialização de

Segurança", com palestras, workshops e atividades que promovam boas práticas de
segurança.

6.7.5. Recursos Educativos:

• Disponibilizar recursos educativos contínuos, como guias de boas práticas, vídeos de

treino, FAQs e acesso a uma biblioteca de segurança da informação.

6.7.6. Investimento da Direção de Alto Nível:

• Garantir que a direção participe e apoie iniciativas de treino e consciencialização ,

demonstrando o compromisso da organização com a segurança da informação.

6.7.7. Programas de Reconhecimento:

• Implementar programas de reconhecimento para funcionários que demonstrem

comportamentos exemplares de segurança, incentivando uma cultura de segurança
positiva.

6.8. Avaliação de Efetividade e Melhoria Contínua:

6.8.1. Descrição:

A eficácia dos programas de treino e consciencialização deve ser avaliada regularmente

para garantir que os funcionários estejam bem informados e preparados para enfrentar
ameaças de segurança.

6.8.2. Avaliação de Conhecimento:

• Realizar avaliações periódicas de conhecimento para medir a compreensão dos

funcionários sobre as políticas de segurança e práticas recomendadas.

25
Matri-Demónio – “O seu pecado extraconjugal”

• Usar os resultados para identificar lacunas de conhecimento e ajustar os programas de

treino e consciencialização .

6.8.3. Feedback dos Funcionários:

• Colectar feedback dos funcionários sobre os programas de treino e consciencialização

para entender suas necessidades e preferências de aprendizagem.
• Incorporar o feedback para melhorar e adaptar os programas, tornando-os mais relevantes
e eficazes.

6.8.4. Revisão e Atualização de Conteúdo:

• Rever e actualizar regularmente o conteúdo dos treinos e materiais de consciencialização

para refletir mudanças nas políticas de segurança, novas ameaças e melhores práticas.

7. Políticas de Conformidade

7.1 Objetivo:

As políticas de conformidade visam garantir que a organização atenda a todas as leis,

regulamentações, padrões da indústria e políticas internas relevantes

7.2. Identificação de Requisitos de Conformidade

7.2.1. Descrição:

A conformidade começa com a identificação de todos os requisitos legais, regulamentares

e de padrões aplicáveis à organização.

7.3 Mapeamento de Requisitos:

• Realizar uma análise detalhada para identificar todas as leis, regulamentações e padrões
que se aplicam à organização, como a Lei Geral de Proteção de Dados (LGPD),
Regulamento Geral sobre a Proteção de Dados (GDPR), HIPAA, PCI-DSS, SOX, entre
outros.
• Identificar requisitos específicos para sectores regulados, como financeiro, saúde e
telecomunicações.

26
Matri-Demónio – “O seu pecado extraconjugal”

7.4 Consultoria Jurídica:

• Colaborar com o departamento jurídico ou consultores legais externos para interpretar e

aplicar corretamente os requisitos de conformidade.

7.5. Monitorização de Mudanças Regulatórias:

• Estabelecer um processo para monitorizar mudanças em leis e regulamentos, garantindo

que a organização se mantem atualizada e conforme.

7.6. Implementação de Controles de Conformidade

7.6.1. Descrição:

Uma vez identificados os requisitos de conformidade, a organização deve implementar

controlos para garantir o cumprimento destes requisitos.

Estes controlos podem incluir políticas, processos, tecnologias e medidas

organizacionais.

7.6.2. Desenvolvimento de Políticas Internas:

• Desenvolver e documentar políticas internas que reflitam os requisitos de conformidade,

garantindo que todos os departamentos da organização estejam cientes e cumpram essas
políticas.
• Políticas comuns incluem proteção de dados, privacidade, segurança de informações,
gestão de acesso e retenção de registos.

7.6.3. Controlos de Segurança:

• Implementar controlos técnicos e organizacionais para proteger dados sensíveis e garantir

a confidencialidade, integridade e disponibilidade das informações.
• Controlos incluem criptografia, autenticação multifator, monitorização de acesso e registo
de logs de atividades.

7.6.4. Treino e Consciencialização:

27
Matri-Demónio – “O seu pecado extraconjugal”

• Proporcionar treino regular para todos os funcionários sobre os requisitos de

conformidade aplicáveis, incluindo políticas de privacidade, proteção de dados e outras
regulamentações relevantes.
• Garantir que os funcionários estejam cientes de suas responsabilidades e saibam como
relatar violações de conformidade.

7.6.5. Gestão de Terceiros:

• Estabelecer políticas para a gestão de terceiros, garantindo que fornecedores e parceiros

cumpram os requisitos de conformidade da organização.
• Realizar avaliações de risco e auditorias periódicas de fornecedores para verificar a
conformidade.

7.7. Monitorização e Auditoria de Conformidade

7.7.1. Descrição:

A monitorização e a auditoria são essenciais para garantir que a organização esteja em

conformidade contínua com todos os requisitos aplicáveis.

7.7.2. Auditorias Internas:

• Realizar auditorias internas regulares para avaliar a conformidade com políticas internas
e requisitos externos.
• As auditorias devem cobrir áreas como proteção de dados, segurança da informação e
conformidade regulatória.
• Documentar e relatar as descobertas da auditoria à alta direção, juntamente com planos de
ação para corrigir quaisquer lacunas de conformidade identificadas.

7.7.3. Auditorias Externas:

• Conduzir auditorias externas conforme necessário, especialmente para cumprir requisitos

regulatórios ou de certificação (ex: ISO 27001, PCI-DSS).
• Cooperar plenamente com auditores externos e fornecer acesso a informações e recursos
necessários para a auditoria.

28
Matri-Demónio – “O seu pecado extraconjugal”

7.7.4. Monitorização Contínuo:

• Implementar ferramentas de monitorização para rastrear e relatar atividades que possam

indicar violações de conformidade, como acesso não autorizado a dados ou uso
inadequado de sistemas.
• Estabelecer um processo para a revisão regular de logs e registos de atividades para
identificar e corrigir rapidamente quaisquer questões de conformidade.

7.8. Gestão de Violações de Conformidade

7.8.1. Descrição:

Caso ocorra uma violação de conformidade, a organização deve ter processos para
responder de maneira rápida e eficaz, minimizando os impactos e garantindo que medidas
corretivas sejam implementadas.

7.8.2. Procedimentos de Resposta:

• Estabelecer procedimentos claros para responder a violações de conformidade, incluindo

a investigação do incidente, comunicação com partes interessadas e, se necessário,
notificação às autoridades reguladoras.
• Manter registos detalhados de todas as etapas tomadas durante a resposta ao incidente.

7.8.3. Ações Corretivas e Preventivas:

• Implementar ações corretivas para resolver quaisquer problemas de conformidade

identificados e tomar medidas preventivas para evitar futuras ocorrências.
• Rever e actualizar políticas, procedimentos e treinos com base nas lições aprendidas.

7.8.4. Notificação de Incidentes:

• Se requerido por lei ou regulamento, notificar prontamente as partes afetadas e/ou

autoridades reguladoras sobre a violação de conformidade.

29
Matri-Demónio – “O seu pecado extraconjugal”

7.9. Revisão e Atualização de Políticas

7.9.1. Descrição:

As políticas de conformidade devem ser revistas e actualizadas regularmente para refletir

mudanças nos requisitos legais, regulamentares ou organizacionais.

7.9.2. Revisão Regular:

• Realizar uma revisão anual ou semestral das políticas de conformidade para garantir que
estejam atualizadas e eficazes.
• Incluir representantes de todas as áreas relevantes da organização, como TI, jurídico,
recursos humanos e operações, na revisão.

7.9.3. Feedback e Melhoria Contínua:

• Colectar feedback de funcionários e partes interessadas sobre a implementação das

políticas de conformidade e identificar áreas de melhoria.
• Incorporar feedback e resultados de auditorias nas atualizações de políticas para
fortalecer o programa de conformidade.

8. Conclusão e Considerações Finais

A implementação de um plano de políticas de segurança de rede robusto é crucial para proteger

os ativos digitais, dados sensíveis e a integridade das operações de uma organização. Este plano
detalhado abrange áreas essenciais, como políticas de controle de acesso, criptografia, backup e
recuperação, monitoramento e auditoria, resposta a incidentes, treinamento e conscientização, e
conformidade. Cada componente foi projetado para trabalhar em conjunto, criando uma estrutura
de defesa abrangente contra ameaças cibernéticas.

8.1. Considerações sobre Alterações no Plano:

O ambiente de segurança cibernética é dinâmico, com ameaças e tecnologias evoluindo

constantemente. Portanto, o plano de segurança de rede não deve ser considerado estático.
Recomenda-se uma revisão periódica do plano, pelo menos anualmente, ou imediatamente após
qualquer incidente de segurança significativo, mudanças tecnológicas ou alterações regulatórias.

30
Matri-Demónio – “O seu pecado extraconjugal”

Essa revisão deve incluir a avaliação de novas ameaças, o impacto de novas tecnologias e a
eficiência das políticas existentes. Adicionalmente, é importante incorporar feedback de
auditorias internas e externas, assim como de treinamentos de conscientização de segurança.

8.2. Obrigatoriedade de Aplicação:

A adesão estrita a este plano é obrigatória para todos os funcionários e parceiros da organização.
O cumprimento das políticas de segurança deve ser visto como uma responsabilidade
compartilhada, desde a alta direção até os níveis operacionais. Para garantir essa adesão, é
essencial que a organização implemente um programa de consciencialização contínuo e que as
políticas sejam integradas aos processos de negócios diários. A não conformidade deve ser
tratada com seriedade, sendo o infractor sumáriamente executado por fusilamento in loco.

31