POLÍTICA DE SEGURANÇA DA INFORMAÇÃO
A presente Política de Segurança da Informação deve ser do conhecimento de todos os Colaboradores da Esri Portugal - Sistemas e Informação Geográfica, S.A. (doravante “Esri Portugal”), e deve assegurar-se uma comunicação efetiva de todos os procedimentos de modo que as obrigações individuais competentes quanto à temática da segurança da informação, seja do conhecimento geral.
A Política de Segurança da Informação será periodicamente revista, garantindo que os procedimentos de segurança continuam atualizados, relevantes e adequados.
A. Recomendações de Segurança
Gestão da Informação
A Esri Portugal poderá aceder a qualquer informação guardada em formato eletrónico existente nos seus equipamentos de rede ou em “nuvem”, ou informação física que se encontre no mobiliário do escritório, como, por exemplo, em mesas, estantes, gaveteiros, armários etc.
Ainda que o Colaborador possa fazer uso da estrutura de tecnologia da organização para alguma utilização pessoal não conflituante, tais informações podem ser acedidas pela Equipa de Gestão de Segurança da Informação, Cibersegurança e Resposta a Incidentes da Esri Portugal (CSIRT.EsriPT) mesmo sem o prévio consentimento do respetivo Colaborador.
Segurança Física e Ambiental
A Esri Portugal assegura que as instalações, os locais e postos de trabalho e os ativos de informação estão adequadamente protegidos contra riscos identificados para os ativos de informação. Os sistemas de informação (doravante “SI”) críticos, ou sensíveis, estão alojados em zonas seguras, protegidas por perímetros de segurança (física e lógica) definidos, com barreiras de segurança e controlos de acesso adequados.
Os SI estão protegidos para reduzir os riscos de ameaças, perigos ambientais e oportunidades de acesso não autorizado. Os cabos de energia e telecomunicações que transportem dados ou serviços de informação de apoio estão protegidos contra danos, em cumprimento dos normativos e legislação aplicável.
Proteção do Património Físico e Intangível
Integram o património físico (ativos materiais) e intangível (ativos imateriais) da Esri Portugal, as instalações, equipamentos, produtos, tecnologia, estratégia de negócio e de comercialização, informações, pesquisas e dados que devem ser protegidos pelos seus Colaboradores, não podendo tais ativos serem utilizados para obtenção de vantagens pessoais e nem ser fornecidos a terceiros, independentemente do fim.
Não podem ser utilizados equipamentos ou outros recursos da Esri Portugal para fins particulares, salvo se previamente autorizado pelo gestor da área de negócio, ou chefia direta, sendo a referida aprovação vetada nos casos em que interfira no seu trabalho, ou se ainda:
(i) Interferir ou concorrer com os negócios da Esri Portugal;
(ii) Fornecer informações a terceiros ou Clientes, não autorizadas;
(iii) Envolver solicitação comercial ou outra solicitação não apropriada ao negócio;
(iv) Envolver custos adicionais para a Esri Portugal.
Todos os Colaboradores da Esri Portugal são responsáveis pela proteção dos ativos da empresa, devendo os mesmos serem apenas utilizados no âmbito das atividades profissionais dos Colaboradores ao serviço da Esri Portugal, e sempre com respeito pelo cumprimento das obrigações contratuais a que estão vinculados, disposições legais e regulamentares aplicáveis.
Salvaguarda de Ativos
Deverão ser cumpridas as regras internas relativas à utilização dos recursos da empresa, como por exemplo as normas internas relativas à utilização do telefone, correio eletrónico, Internet, computadores e outros equipamentos/ tecnologias da informação que em qualquer caso são para uso preferencial no exercício das atividades económicas e de negócio da Esri Portugal.
Uso do E-mail
O uso do e-mail na Esri Portugal está baseado nas premissas de eficiência e rapidez, objetivando sempre aumentar a produtividade nos trabalhos diários.
O utilizador (Colaborador) é o único responsável pelo conteúdo das comunicações feitas através da sua conta de e-mail e senha.
A utilização do e-mail corporativo da Esri Portugal deverá restringir-se aos fins profissionais, sendo permitido a sua utilização pessoal com bom-senso, para assuntos que não sejam conflituantes com as atividades da Esri Portugal e que não prejudiquem a segurança dos sistemas da Esri Portugal. É vedada a utilização do e-mail corporativo da Esri Portugal para fins que violem disposições legais, regulamentares e/ou políticas internas da Esri Portugal.
Sempre que o Colaborador receba um e-mail spam, deve informar a Equipa de Suporte de SI e abrir um incidente de segurança. O Colaborador não deve abrir ficheiros ou programas executáveis que venham anexados aos e-mails, sem previamente ter certeza da sua proveniência e/ou ter uma prévia expectativa da receção de tal mensagem.
Não devem ser utilizados os serviços de e-mail para transmitir quaisquer materiais que contenham vírus, arquivos do tipo "Cavalo de Troia" ou outro programa prejudicial;
Não devem ser transmitidas mensagens não-solicitadas, conhecidas como spam ou junk mail, correntes, chain letters ou distribuição em massa de mensagens não-solicitadas, com a exceção das mensagens informativas de produtos e serviços da Esri Portugal, devidamente aprovados, por lista controlada e via ferramentas oficiais em uso na Esri Portugal.
É proibido aos administradores de rede ou de e-mail ler mensagens de qualquer Colaborador, mesmo em contexto de serviços de manutenção e suporte, exceto:
(i) por necessidade de apuração de eventos que tenham causado danos, ou tenham sido classificados como potencialmente danosos à Esri Portugal ou a terceiros;
(ii) por determinações do Responsável pela Segurança da Informação e Cibersegurança (CISO) desde que devidamente justificado;
(iii) por determinação de autoridades judiciais ou reguladoras para exclusiva apuração de eventos criminosos e/ou contraordenacionais.
Uso de Comunicações
Os sistemas de comunicações da Esri Portugal são fornecidos para auxiliar os negócios da Esri e para dar aos seus colaboradores as ferramentas e os recursos certos e adequados para o desempenho do seu trabalho.
Não devem ser utilizadas palavras, frases ou símbolos em comunicações eletrónicas, sejam comunicações internas da Esri Portugal ou comunicações externas de negócios, que possam ser vistas pelo público, de modo geral, como inadequadas, ofensivas ou difamatórias. O Colaborador da Esri Portugal deve rever com atenção o conteúdo de todas as suas comunicações, e considerar os destinatários. Antes de enviar uma comunicação, o Colaborador deve avaliar se o conteúdo, partilhado publicamente ou com terceiros, se poderá causar prejuízos ou constrangimentos para a Esri Portugal ou para outros Colaboradores.
É permitida a utilização de comunicações para fins pessoais com bom-senso, para assuntos que não sejam conflituantes com as atividades da Esri Portugal nem que prejudiquem qualquer lei, regulação ou regulamento e/ou políticas internas da Esri Portugal.
Uso da Internet
Os sistemas e a segurança na rede corporativa podem estar a ser monitorizados, portanto, em caso de dúvida, deve-se verificar junto da Equipa de Suporte de SI se o respetivo site pode ser acedido sem riscos para a segurança da informação ou violação de políticas de uso aceitável.
É permitido(a):
- O acesso a redes sociais (Facebook, LinkedIn, Twitter), desde que com bom-senso, nunca com finalidades conflituantes com os interesses da Esri Portugal, bem como nunca infringindo nenhuma lei, norma, regulamentação e normas e políticas internas da Esri Portugal.
- Utilização de programas de streaming de vídeo e áudio nos computadores da Esri Portugal, desde que com bom-senso, respeitando e priorizando o uso da infraestrutura de rede para fins profissionais e desde que sejam acessos lícitos e individualizados.
Não é permitido(a):
- A utilização de soluções de compartilha de informações como redes peer-to-peer, também conhecidas como redes P2P dentro das dependências da Esri Portugal.
- O download de músicas, vídeos ou quaisquer outros arquivos que possam comprometer o bom funcionamento da infraestrutura local e/ou que violem legislação de direitos de propriedade intelectual.
Uso de Dispositivos de Armazenamento Amovíveis
Em cumprimento do presente normativo aplicável a Cibersegurança, estão estabelecidos procedimentos para a gestão dos meios de armazenamento amovíveis, incluindo (i) os procedimentos para a gestão e armazenamento de informações, (ii) a eliminação segura dos meios de armazenamento quando já não for necessário, e (iii) proteção contra divulgação ou utilização indevida não autorizadas.
Gestão de Redes Sociais
A comunicação com o mercado e os Clientes é um requisito para a afirmação de uma imagem de rigor e de idoneidade institucional e do sector, os contactos e publicações em redes sociais em representação da Esri Portugal, só podem ser estabelecidos pela Direção Executiva e o responsável pela comunicação e imagem sendo vedada a todos os demais, a (i) publicação de qualquer informação; (ii) a confirmação ou negação de qualquer noticia e (iii). respostas a comentários ou notícias públicas no site institucional ou contas da Esri Portugal em redes sociais.
Na sua relação com o mercado e redes sociais, a Esri Portugal respeitará de forma rigorosa os princípios da verdade e da transparência, devidamente articulados com o princípio da legalidade e o dever de sigilo, quando estes devam prevalecer.
Secretária e Ecrã Limpo (Clean Desk)
A política de secretária limpa consiste em não deixar informações confidenciais ou bens da Esri Portugal, incluindo, mas não se limitando a papéis, pen-drives ou quaisquer outros tipos de dispositivos amovíveis, sem a devida proteção, quando o funcionário se ausentar do seu posto de trabalho (secretária), evitando o acesso não autorizado.
Tais documentos e meios de armazenamento devem ser protegidos e guardados de forma segura, em conformidade com os procedimentos de classificação da informação em uso na Esri Portugal e para cumprimento das normas NATO nesta matéria.
Se o Colaborador não está no seu local de trabalho, todas as informações sensíveis devem ser removidas do ecrã e o acesso deve ser negado a todos os sistemas para os quais a pessoa tem autorização de acesso.
No final do dia de trabalho, todos os equipamentos portáteis devem ser devidamente trancados em gaveta ou armário, ou serem presos a cabos de segurança, ou levados pelo seu responsável, salvo se devidamente autorizado.
Uso das Impressoras
Os Colaboradores, aquando da utilização dos equipamento e impressão e digitalização, devem observar as seguintes regras:
(i) Quaisquer impressões, sobretudo as que contêm informações confidenciais, devem ser imediatamente retiradas da impressora;
(ii) As impressoras são ferramentas para fins profissionais, objetivando aumentar a produtividade nas atividades desenvolvidas pela Esri Portugal. As impressões para fins pessoais devem ser limitadas e com bom-senso, nunca com finalidades conflituantes com os interesses da Esri Portugal, bem como nunca infringindo nenhuma lei, norma, regulamentação e políticas internas da Esri Portugal;
(iii) As impressões a cor devem apenas ser executadas com caráter excecional, quando a utilização da cor interferir na compreensão do documento e/ou quando a situação assim o exigir.
B. Gestão da Cibersegurança
Gestão de Vulnerabilidades
O Departamento de Sistemas de Informação (SI) realiza avaliações periódicas de risco para processos, informações, sistemas e instalações de acordo com as alterações das ameaças e vulnerabilidades técnicas.
A pesquisa de vulnerabilidades nas redes internas e externas são executadas periodicamente, ou sempre que houver uma mudança significativa na estrutura tecnológica. As vulnerabilidades identificadas devem ser tratadas e priorizadas de acordo com seu nível de criticidade.
Autenticação e Controlo de Acesso
Os SI, redes, serviços, software operacional e aplicações da Esri Portugal estão configurados, a fim de assegurar a aplicação, funcional e eficaz dos mecanismos adequados de controlo de acesso e autorização.
A prática de controlo de acessos tem o objetivo de prevenir o acesso de indivíduos não autorizados ao ambiente e aos sistemas, garantindo assim a confidencialidade das informações.
O controlo de acessos executar-se-á através da matriz de segregação de função. Na matriz estão identificados todos os Colaboradores com acesso aos ativos de SI, e listadas todas as equipas e acessos autorizados.
Os Colaboradores possuem acesso apenas à informação de acordo com as necessidades de negócio e/ou equipa a que pertencem.
As credenciais e a matriz de acessos dos Colaboradores, são periodicamente verificadas, de acordo com as medidas técnicas e organizativas adotadas pela Esri Portugal.
Gestão de Acessos
A Esri Portugal disponibiliza a todos os Colaboradores um serviço de cofre seguro de conteúdos digitais, que configura o meio ideal para armazenar e gerir informações confidenciais partilhadas, como senhas, documentos e identidades digitais. O serviço é acessível via internet e deve ser utilizado exclusivamente nos equipamentos da Esri Portugal.
A aplicação de gestão de senhas e cofre seguro permite o armazenamento de senhas de acesso a sites e outros documentos confidenciais através de encriptação AES de 256 bits, arquitetura de conhecimento zero e autenticação integrada com o gestor de redes.
A aplicação fornece ainda controlos de segurança preventiva e de investigação, através de alertas de segurança sobre as senhas de acesso. Permite ainda auditorias de segurança e a conformidade regulamentar, seguindo os padrões de auditoria e conformidade previstos em normas e certificações como NIST, PCI-DSS, SO 2, ISO 27001, HIPAA, DPA, FINRA, GDPR e SOX.
Serviço de diretório
Os serviços de diretório desempenham um papel importante no desenvolvimento de aplicações intranet e internet permitindo a partilha de informações sobre utilizadores, sistemas, redes, serviços e aplicações através da rede.
A Esri Portugal utiliza 2 (dois) serviços de diretório sincronizados entre si: um para o acesso interno aos equipamentos dos Colaboradores e infraestrutura do escritório e outro para acesso aos serviços em nuvem.
Senhas (Passwords)
A Esri Portugal adota as melhores práticas na sua política de criação e gestão de senhas de acesso aos seus ativos fiscos e SI.
Os acessos, validados através de senha, serão limitados aos recursos e serviços necessários para o desempenho das atividades exercidas por cada Colaborador, e poderão ser revogados rapidamente quando necessário.
Cópias de Segurança (Backup)
A Esri Portugal tem implementada uma estratégia de backup de acordo com as boas práticas, e onde se inclui a existência de duplicação da informação, em local fora das instalações do escritório, de acordo com o nível de criticidade da informação para o negócio.
A política de cópias de segurança em uso na Esri Portugal tem como princípios assegurar a:
(i) Recuperação Fácil – permitir recuperar dados perdidos com facilidade;
(ii) Maior segurança - permitir armazenar os dados em um local seguro, tornando-o fisicamente seguro, e reduzir o tempo de inatividade da empresa;
(iii) Elevada confiabilidade - garantir backup remoto regular de dados, automatizado e atualizado de acordo com um plano pré-aprovado pelo departamento de SI e em vigor na Esri Portugal;
(iv) Informação atualizada –programação da automação de backups, assegurando que a informação está protegida e os dados em backup atualizados.
Controlo Contra Software Malicioso
Os malwares são programas desenhados para causar a perda ou alteração de dados do computador. Assim, todo o equipamento da Esri Portugal tem obrigatoriamente um programa antivírus instalado gerido por uma plataforma UTM. O software antivírus é atualizado, de forma automática, sempre que o fabricante disponibilize atualizações e os equipamentos estejam ligados à internet.
O Colaborador, ao receber alerta de vírus de qualquer outra fonte de origem que não seja o antivírus, não deve abrir ou encaminhar a mensagem de alerta a outras pessoas, pois geralmente estes alertas são falsos. O Colaborador deve entrar em contato com a Equipa de Suporte de SI (si@esri.pt) para instruções de procedimento e suporte técnico.
Rastreabilidade
Todas as soluções, sejam elas adquiridas ou desenvolvidas por equipas internas, possuem geração ativa de logs de erros, eventos críticos, entrada e saída de informações relevantes, entre outros eventos. Esse registo pode ser utilizado para restabelecer o estado original de um sistema, para que um administrador conheça o seu comportamento no passado ou até mesmo para análise de auditorias internas e externas.
Os processos de auditoria automatizados devem ser implementados em todos os componentes de sistema para reconstruir os seguintes eventos:
(i) Autenticação de utilizadores (tentativas válidas e inválidas);
(ii) Acesso a informações;
(iii) Ações executadas pelos utilizadores, incluindo criação ou remoção de objetos do sistema.
Testes de Intrusão
Os testes de intrusão internos e externos nas camadas de rede e aplicação são realizados periodicamente, de acordo com a sua criticidade para a organização e negócio, de forma automatizada e com recurso a ferramentas de referência na indústria.
A Esri Portugal assegura a execução com uma periocidade, no mínimo, anual.
C. Gestão da Informação
A Esri Portugal tem definida e aprovada a presente Política de Segurança da Informação, bem como políticas e procedimentos para a gestão e operação da segurança da informação e proteção de dados pessoais na sua organização, que são comunicadas aos seus Colaboradores e revistas periodicamente.
Classificação da Informação
As informações, sejam itens, dados, ou documentos que circulam ou são produzidas pela Esri Portugal são de “Uso Interno” por definição, salvo instruções internas ou legislação aplicável que determine a sua divulgação.
As informações serão classificadas ou categorizadas pelo seu valor, requisitos legais, sensibilidade e criticidade para a Esri Portugal.
Todos os Colaboradores devem zelar pela manutenção de níveis de confidencialidade adequados, e sempre que possível tornar a classificação adotada de maneira explícita, seja no desenho dos processos ou fluxos de informação, seja no próprio documento ou documentação daquele conjunto de informações.
Todas as informações obtidas ou geradas pela Esri Portugal e terceiros são classificadas de acordo com os seguintes níveis:
- Confidencial;
- Restrita;
- Uso interno;
- Pública.
Manutenção do Sigilo das Informações
A Esri Portugal tem um programa de sensibilização (awareness), que inclui o tratamento adequado de dados confidenciais, para todos os Colaboradores que têm acesso às instalações, redes, ambientes e informação, ou que tenham responsabilidade sobre ativos dos Clientes, no âmbito das funções a tarefas.
Os Colaboradores da Esri Portugal devem proteger a confidencialidade de quaisquer informações obtidas durante o exercício de suas funções, na empresa ou em Clientes, que não devem ser (1) divulgadas a terceiros, (2) divulgadas ou disponibilizadas em domínio público, (3) copiadas ou transferidas (mesmo que por foto) a telemóveis , tablets, computadores pessoais ou quaisquer outros dispositivos portáteis e/ou (4) enviadas para correio eletrónico (e-mails) externos, ainda que pertencentes ao próprio Colaborador.
A obrigação de sigilo prevista no parágrafo anterior, aplica-se mesmo após a rescisão do contrato do Colaborador da Esri Portugal, qualquer que seja a razão, permanecendo o Colaborador obrigado a manter sigilo e a proteger a confidencialidade das informações obtidas durante o exercício de suas funções na Esri Portugal.
Os Colaboradores respondem individualmente, civil e criminalmente, pela divulgação indevida de Informações Confidenciais ou pela divulgação de quaisquer informações que tenham por objetivo atingir a honra ou a imagem da Esri Portugal ou dissuadir seu relacionamento com Clientes.
Conteúdo Protegido por Direitos de Autor (Propriedade Intelectual)
Os Colaboradores não devem:
(i) Fazer cópias não autorizadas de software da propriedade da organização, exceto nos casos autorizados por lei, pelo proprietário e/ou pela Direção Executiva da Esri Portugal.
(ii) Copiar software ou outros materiais originais de outras fontes, sendo responsáveis por todas as consequências que podem surgir sob a legislação aplicável de propriedade intelectual.
A maioria das informações e softwares que estão disponíveis em domínio público (incluindo a internet) está protegida por legislação de propriedade intelectual, portanto:
(i) Não é permitido obter softwares, medias e outros conteúdos destas fontes, exceto quando houver permissão explícita por parte do respetivo proprietário e/ou autorização pelo Coordenador de Sistemas de Informação da Esri Portugal;
(ii) Deve-se ler e compreender todas as restrições de direitos de propriedade intelectual do conteúdo e, caso a Esri Portugal não possa cumprir com as condições estipuladas, não proceder download e abster-se da utilização do respetivo material e/ou produto;
(iii) É proibido o uso de qualquer fotografia, imagem ou desenho que possua marca registada de terceiros e/ou imagens não relacionadas com Produtos, Empresas ou Pessoas, sem prévia autorização dos seus titulares.
(iv) Imagens consideradas agressivas e/ou inapropriadas também não devem ser utilizadas;
(v) Em caso de dúvidas em relação às licenças ou a qualquer dos pontos supramencionados, o Colaborador deve entrar em contato com a equipa de suporte de SI (si@esri.pt).
Transferência da Informação
A informação é trocada em canais de comunicação aprovados seguindo os requisitos de segurança definidos consoante a sua classificação de segurança.
Os acordos com Clientes que envolvam o acesso, processamento, comunicação ou gestão de informação ou processamento de informação da organização, ou a adição de produtos ou serviços de processamento de informação devem abranger todos os requisitos de segurança relevantes.
Não é autorizada a troca de informações sensíveis da Esri Portugal com um terceiro sem autorização e controlos adequados para proteger as informações de divulgação não autorizada.
Controlos de Encriptação
A aplicação dos controlos criptográficos durante a aquisição, desenvolvimento e manutenção dos SI é gerida pelo departamento de SI e incorpora os procedimentos chave de gestão adequados e em cumprimento das melhores práticas e normativo NIIST SP800-53.
Segurança das Redes de Comunicações
As redes informáticas e de comunicação são adequadamente geridas e controladas, com o objetivo de proteger a organização de eventuais ameaças, e de manter a segurança dos sistemas e aplicações que utilizam a rede, incluindo as informações em trânsito.
As características de segurança, os níveis de serviço e os requisitos de gestão de todos os serviços de rede, tanto internos como subcontratados, devem ser identificados e incluídos em todos os contratos de serviços de rede.
Os acessos à rede corporativa, fora das instalações da Esri Portugal, são obrigatoriamente assegurados por ligação VPN.
Estão implementados controlos de encaminhamento para redes que garantam que as ligações informáticas e os fluxos de informação não violam a política de controlo de acesso das aplicações como parte integrante da Política de Segurança da Informação.
As definições e configurações de rede obedecem a uma arquitetura de redes segregadas, e uso das seguintes regras para garantia da segurança das informações nela transportadas:
(i) Computadores ligados à rede corporativa não estão acessíveis diretamente pela Internet;
(ii) Não é permitida a ligação direta de rede de terceiros a servidores da rede corporativa Esri Portugal “on-premises”, utilizando protocolos de controlo remoto, exceto em determinados casos previamente autorizados pelo departamento de SI, por motivos de negócio ou de força maior para garantir a operação;
(iii) Para a solicitação de criação, alteração e exclusão de regras na firewall e ativos de rede, o requisitante deve encaminhar pedido à equipa de suporte de SI, que fará a análise, aprovação e execução da configuração.
Relações com Clientes e Parceiros
No relacionamento com os Clientes e parceiros, os Colaboradores da Esri Portugal, destinatários da presente política, deverão ter em conta, em particular, os princípios da imparcialidade e da igualdade de tratamento, não procedendo a qualquer discriminação injustificada, e respondendo a todas as solicitações com prontidão, cortesia, rigor e apropriada abertura.
No quadro destas relações devem ter-se sempre presentes e ficar salvaguardadas as obrigações estatutárias e os compromissos constantes de contratos.
Relações com Fornecedores
Tendo sempre presentes os princípios da eficiência e da integridade, as relações com os fornecedores devem desenvolver-se segundo processos de transparência e de estrita observância das condições acordadas, num clima de confiança recíproca e de elevado sentido de exigência técnica e ética e numa lógica de parceria que vise assegurar uma justa repartição dos riscos, dos custos e do valor acrescentado.
D. Resposta a Incidentes de Segurança da Informação
As respostas aos incidentes de segurança da informação visam assegurar o restabelecimento do nível normal do ambiente TI, após o acontecimento de um incidente de segurança, através do direcionamento na utilização dos recursos e procedimentos fundamentais, no intuito de garantir uma resposta efetiva.
Gestão de Riscos e Impactos
Esta atividade compreende identificar, prever e descrever situações de possíveis sinistros, bem como suas respetivas ações de mitigação, responsáveis, tempos e registos, de forma que, em situações reais, as atividades já estejam previamente mapeadas e as ações já pré-estabelecidas.
A definição do catálogo dos recursos tecnológicos existentes no parque da Esri Portugal, bem como aqueles necessários para possibilitar uma atuação efetiva na resposta aos incidentes, como por exemplo: registo de todos os servidores.
A Esri Portugal segue as diretivas das frameworks NIIST SP800-53 e ISO/IEC 27002:2013 na execução dos controlos de deteção, prevenção e correção, bem como procedimentos adequados de sensibilização dos Colaboradores para proteção de códigos maliciosos.
Gestão de Capacidade
Os recursos dos SI são monitorizados e ajustados, se necessário, sendo efetuadas projeções de capacidade para necessidades futuras, a fim de assegurar o desempenho continuado, nos níveis exigidos.
Gestão de Incidentes
Os incidentes que afetam a segurança da informação no âmbito das atividades e negócio da Esri Portugal são comunicados e respondidos de forma oportuna e eficaz para permitir a tomada de medidas corretivas em tempo útil e sem impactos na operação.
A comunicação de qualquer evento ou incidente de Cibersegurança deve ser efetuado para a Equipa de Suporte de SI da Esri Portugal ou para a Equipa do CSIRT.EsriPT (ciberseguranca@esri.pt).
O detalhe das ações necessárias na resposta a incidentes, conforme o tipo e criticidade desses, deve abordar o tempo mínimo de resposta e a quem os incidentes devem ser reportados, entre outros.
Através dos recursos de deteção na rede, na monitorização dos servidores e recursos de tecnologia ou através de problemas reportados pelos utilizadores, são identificados alertas de segurança que podem configurar incidentes de segurança.
A estratégia de resposta ao incidente de segurança da informação é baseada no tipo (ex.: vírus, perda de arquivo, incêndio) e na criticidade do incidente (ex.: impacta na imagem ou nos negócios da Esri Portugal, compromete várias áreas de negócio e de operação).
Recuperação de Desastres
O Plano de Recuperação de Desastres tem por objeto definir os procedimentos para que os serviços afetados sejam disponibilizados e reconduzidos ao seu estado normal de funcionamento, no menor hiato temporal possível.
Os Sistemas de Informação devem ser protegidos contra falhas de energia e outras perturbações causadas por falhas nos serviços de apoio. Essa proteção está integrada no Plano de Recuperação de Desastres e no Plano de Continuidade de Negócio.
A Esri Portugal utilizará todos os recursos necessários, para a implementação da melhor e mais adequada estratégia de reação, seja permanente ou provisória.
A Esri Portugal promoverá a execução das atividades de recuperação de desastres, tais como: o restauro de backups de sistemas, a instalação de patches, a alteração de senhas e a revisão da segurança do perímetro da rede da Esri Portugal.
Quando as consequências do incidente estiverem contidas, é necessário que sejam removidos todos os componentes do incidente, como por exemplo: um código malicioso ou a inativação de contas de utilizadores que tenham sido ilicitamente acedidas.
O Plano de Recuperação de Desastres é objeto de testes regulares e atualização periódica.
Continuidade de Negócio
A Esri Portugal promoverá um processo sistemático de gestão de risco e planeamento projetado para garantir que a Esri Portugal possa retornar rapidamente a um nível aceitável de serviço após uma interrupção, qualquer que seja sua natureza. Garantindo que um nível mínimo de operação, mesmo diante do inesperado, protegendo a capacidade de funcionar, e que as funções mais críticas e principais do negócio continuem operando – mesmo com capacidade reduzida – enquanto se restaura a operação.
O processo sistemático de gestão de incidentes e risco estará publicado no Plano de Continuidade de Negócio da Esri Portugal, envolvendo os ambientes e processos críticos da Esri Portugal, uma vez que o processo de recuperação pode envolver a ativação de um processo de continuidade do negócio, a fim de restabelecer a operação normal da Esri Portugal.
O Plano de Continuidade de Negócio é objeto de revisão regular e atualização periódica.
Gestão de Operações
Para garantir o funcionamento correto e seguro dos SI, os principais processos empresariais e de suporte, a Esri Portugal incorporou controlos eficazes de segurança da informação e procedimentos operacionais adequados para a gestão e funcionamento dos SI.
Gestão de Software
Os SI (por exemplo, aplicações, infraestruturas, serviços, etc.) são desenhados e concebidos tendo a segurança como componente integrante, e colocados em produção com todos os requisitos de segurança do sistema plenamente compreendidos e implementados, seguindo as melhores práticas de desenvolvimento aplicacional e de produção de código fonte.
Atualizações de Software e Sistemas informáticos
Existem procedimentos de controlo de versões e atualizações dos sistemas operacionais, antivírus e demais sistemas. O sistema operacional dos equipamentos de Colaboradores tem configurado as atualizações automáticas sempre ativas, salvo casos específicos de incompatibilidade ou testes em ambientes simulados.
Desenvolvimento Seguro
A Esri Portugal mantém um conjunto de princípios para desenvolver sistemas de forma segura, garantindo que a segurança cibernética seja projetada e implementada no ciclo de vida de desenvolvimento de sistemas.
Planeamento e Aceitação de Sistemas e Aplicações
A Esri Portugal segue as melhores práticas, enquadradas nas metodologias DevOps e Agile, de testes e aceitação de SI novos ou atualizados, sendo executados testes adequados durante o desenvolvimento e antes da aceitação.
Procedimento de Eliminação e Reutilização de Suportes de Dados e Equipamentos
A Esri Portugal tem controlos aplicados, com base na norma ISO/IEC 27001:2013, para eliminação, com segurança, de informações confidenciais e licenças de software do Cliente antes de reutilizar ou transferir o equipamento para outra entidade.
Auditoria Interna
As ações de avaliação e análises de vulnerabilidade realizadas após a ocorrência do incidente.
(i) Assegurar que as atividades envolvidas nas respostas aos incidentes sejam adequadamente registadas para futuras análises. Os registos servirão como base de conhecimento para resposta a incidentes semelhantes.
(ii) De acordo com o incidente, uma análise mais aprofundada deve ser conduzida para identificar a origem do incidente, para que o tratamento das fragilidades e/ou não conformidade encontradas, contribuam para a resolução do incidente.
(iii) Periodicamente, a Equipa de Suporte de SI realiza uma análise no ambiente tecnológico com o objetivo de identificar possíveis vulnerabilidades e, de forma antecipada, eliminá-las e/ou corrigi-las.
(iv) Após a identificação das possíveis vulnerabilidades, deverá ser aberto uma ocorrência na Equipa de Suporte de SI ou Equipa CSIRT.EsriPT (ciberseguranca@esri.pt) que serão responsáveis pela sua resolução ou mitigação. Após a resolução, deve ser encerrada a ocorrência e registadas as ações realizadas.
*Atualizado a 10 de Abril de 2023