Política de Utilização Aceitável - PME

A Política de Utilização Aceitável (AUP) – versão PME (documento P03S) foi concebida para estabelecer normas claras, práticas e aplicáveis para a utilização responsável dos recursos de computação fornecidos pela empresa em pequenas e médias empresas (PME). O seu foco principal é assegurar que todos os indivíduos, incluindo trabalhadores, prestadores de serviços, pessoal temporário e até prestadores de serviços terceiros, compreendem plenamente as suas obrigações e expectativas comportamentais ao aceder a sistemas de informação da organização, quer nas instalações, remotamente ou num ambiente de trabalho híbrido. Esta política é explicitamente adaptada para PME, refletindo-se na utilização de funções de gestão generalistas como o Diretor Executivo, em vez de responsáveis especializados de TI ou segurança, tornando-a acessível a organizações sem equipas de TI e Segurança da Informação internas dedicadas, mas que procuram uma conformidade rigorosa com a ISO/IEC 27001:2022. De forma abrangente, a AUP define o que constitui utilização aceitável versus inaceitável de dispositivos pertencentes à empresa, dispositivos pessoais (Traga o Seu Próprio Dispositivo (BYOD)), redes, plataformas em nuvem e todas as ferramentas de software em utilização. Detalha extensivamente mecanismos de governação, como inventários de hardware e protocolos aprovados e software aprovados, requisitos de pré-aprovação e configuração segura de BYOD, e manutenção de registos de atividade para rastrear violações ou incidentes. A monitorização é realizada pelo Gestor de Alterações ou por um prestador externo autorizado, mas sempre dentro dos limites de interesses empresariais legítimos e das leis de privacidade aplicáveis. Esta abordagem equilibra segurança, privacidade e viabilidade organizacional. A política também estabelece um quadro abrangente de tratamento de riscos e de governação de exceções: riscos como infeção por malware, violações de dados e dano reputacional resultantes de utilização indevida são mitigados através de controlos tecnológicos em camadas e programas de sensibilização. Pedidos de exceção, como a utilização de software não autorizado, devem ser formalmente documentados, sujeitos a avaliação de riscos, limitados no tempo e explicitamente aprovados, tipicamente pelo Diretor Executivo ou pelo prestador de serviços terceiros de TI. O forte foco em documentação, desencadeadores de revisão e revalidação anual da política assegura que a política se mantém eficaz à medida que tecnologias, ameaças e requisitos legais evoluem. As disposições de aplicação e conformidade são robustas. Todas as violações suspeitas ou observadas devem ser comunicadas prontamente, com escalonamento claro para o Gestor de Alterações ou Diretor Executivo. As medidas de aplicação podem incluir bloqueio do sistema ou do acesso, advertências verbais ou escritas e até cessação do contrato tanto para pessoal como para prestadores de serviços terceiros. A natureza contratualmente vinculativa da política para terceiros assegura a aplicação consistente de normas de segurança em toda a cadeia de abastecimento da organização. Por fim, a integração da AUP com outras políticas essenciais para PME — Política de controlo de acesso, Política de sensibilização e formação em segurança da informação, Política de trabalho remoto, Políticas de proteção de dados e Política de Resposta a Incidentes (P30) — assegura uma cobertura holística das responsabilidades de segurança. O resultado é um quadro fácil de implementar, alinhado com a ISO 27001:2022, para empresas que procuram conformidade e redução de risco mesmo sem grandes departamentos de TI ou segurança.