Política de Mesa Limpa e Ecrã Limpo - PME

A Política de Mesa Limpa e Ecrã Limpo (P10S) é uma orientação operacional crucial concebida para pequenas e médias empresas (PME) que precisam de assegurar a confidencialidade dos dados e manter a conformidade regulamentar, incluindo a ISO/IEC 27001:2022. Por ser uma política para PME, conforme indicado pelo “S” no número do documento e pela atribuição do Diretor Executivo como proprietário do ativo da política, está especialmente adaptada a organizações que podem não ter equipas de TI ou de gestão de segurança dedicadas. O objetivo central da política é definir claramente comportamentos práticos e aplicáveis e controlos tecnológicos que protegem informação sensível, independentemente do local de trabalho ou dos recursos organizacionais. Na sua base, esta política exige que todos os trabalhadores, contratados e pessoal temporário protejam espaços de trabalho físicos e digitais, garantindo que nenhuma informação confidencial permanece visível, sem supervisão ou indevidamente protegida. O âmbito abrange amplamente escritórios físicos, espaços de trabalho partilhados, ambientes de coworking e contextos de trabalho remoto/em casa. Aplica-se a todos os ativos em papel e digitais, como documentos, impressões, notas manuscritas, suportes amovíveis, computadores e dispositivos móveis. Ao incluir esta abrangência, a política aborda padrões de trabalho modernos, mantendo um foco claro na redução do risco. Os papéis e responsabilidades são claramente simplificados para um contexto de PME. O Diretor Executivo tem a propriedade do risco total, sendo responsável pela comunicação da política, formação, aprovação de exceções documentadas e execução de verificações trimestrais de conformidade do espaço de trabalho. Deveres adicionais podem ser delegados a pessoal designado, como a configuração de definições de bloqueio de ecrã ou a distribuição de apoios de armazenamento físico. No entanto, o desenho assegura eficácia mesmo sem departamentos formais de TI ou de conformidade. Todo o pessoal é responsabilizado pelos requisitos simples, mas essenciais: bloquear ecrãs quando não supervisionados, proteger todos os materiais confidenciais, evitar depender apenas de controlos digitais e comunicar riscos potenciais ou não conformidade. Os objetivos da política estão estreitamente ligados tanto à redução do risco operacional como às obrigações regulamentares. Regras claras e práticas estabelecem uma linha de base: bloqueio automático da estação de trabalho após cinco minutos, armazenamento seguro de documentos no final do dia, recolha imediata de impressões sensíveis e sinalética que reforça a sensibilização. O Diretor Executivo é também responsável pela integração e formação de sensibilização, registo de auditoria das atividades de conformidade e escalonamento em caso de incidente ou violação. Importa salientar que o desenho da política apoia uma cultura de vigilância e responsabilização, focando-se em controlos exequíveis dentro das capacidades de uma PME com recursos limitados, mantendo alinhamentos, como o Controlo 7.7 do Anexo A da ISO/IEC 27001 e o Artigo 32 do RGPD. A estrutura global permite às PME demonstrar a devida diligência durante auditorias e mitigar eficazmente riscos físicos e de informação decorrentes de manuseamento interno inadequado ou de ameaças externas, como visitantes ou contratados. Processos realistas de exceção, controlos adaptados para trabalhadores remotos e respostas disciplinares definidas asseguram clareza e credibilidade. A política inclui ligação com outras políticas críticas (por exemplo, Política de sensibilização e formação em segurança da informação, Política de controlo de acesso, Política de Resposta a Incidentes (P30)), formando parte de um quadro conciso e coerente de higiene cibernética ideal para organizações mais pequenas.