Política de Mesa Limpa e Ecrã Limpo

A Política de Mesa Limpa e Ecrã Limpo (P10) estabelece controlos rigorosos para garantir que a informação sensível é protegida contra acesso não autorizado, divulgação, perda ou roubo em qualquer ambiente de trabalho físico ou híbrido. Suporta obrigações regulamentares globalmente reconhecidas, como ISO/IEC 27001:2022 (especialmente cláusulas que abordam segurança física e comportamental), artigos do GDPR sobre proteção de dados e confidencialidade, e outros referenciais, incluindo NIST SP 800-53, EU NIS2, EU DORA e COBIT 2019. Esta política tem um âmbito amplo, aplicando-se universalmente a trabalhadores permanentes e temporários, contratados, prestadores de serviços terceiros e até visitantes que possam ter acesso a espaços de trabalho confidenciais. Governa estritamente a conduta em gabinetes individuais, espaços abertos, salas de reunião e ambientes de trabalho remotos ou híbridos, como hot-desking. O objetivo é normalizar comportamentos seguros para que todo o pessoal, independentemente da sua função ou local de trabalho, cumpra as mesmas regras de salvaguarda da informação. São estabelecidos requisitos claros para meios de controlo físicos e tecnológicos. Os utilizadores devem manter as secretárias livres de documentos sensíveis expostos, bloquear ecrãs antes de se afastarem, armazenar ou eliminar de forma segura materiais confidenciais e não deixar credenciais ou dispositivos sem supervisão. As Operações de TI devem configurar sistemas com temporizadores de bloqueio de ecrã definidos para um máximo de 5 minutos, implementar filtros de privacidade em áreas de elevado tráfego e aplicar aplicação técnica em todos os endpoints. As equipas de Gestão de Instalações e de Ativos e Segurança do Acesso Físico disponibilizam armazenamento com fechadura, destruidores de papel e sinalética clara, realizando também rondas regulares de conformidade e tratando violações. As responsabilidades de aplicação e supervisão são distribuídas pela Alta Direção, pelo Diretor de Segurança da Informação (CISO)/Gestor do SGSI, por Gestão de Instalações e de Ativos, por Operações de TI e pelos superiores hierárquicos diretos, assegurando uma abordagem em camadas à responsabilização. A política exige um programa de formação robusto, integração e formação de reciclagem periódica para educar todo o pessoal sobre os riscos associados a informação sensível sem supervisão. Auditorias regulares, acompanhamento de métricas de eficácia de conformidade (como violações observadas e registos de conclusão de formação) e vias de escalonamento rigorosas para não conformidade, incluindo medidas disciplinares de Recursos Humanos (RH), demonstram um compromisso com a disciplina operacional e a prontidão jurídica. O tratamento de exceções e os processos de risco residual também estão implementados, exigindo aprovação avançada, documentação e controlos adicionais para qualquer desvio. De forma abrangente, esta política unifica o comportamento do utilizador, o desenho do espaço de trabalho, a aplicação técnica e os processos de auditoria num quadro repetível vital para a resiliência organizacional e a conformidade regulamentar. Todas as atualizações são controladas por requisitos de revisão e atualização, comunicadas através de canais oficiais e exigem tomada de conhecimento da política novamente. Políticas alinhadas sobre Política de Segurança da Informação, Gestão de Riscos de Segurança da Informação, Tratamento de Dados, Classificação de Dados, Política de Retenção de Dados, eliminação e monitorização reforçam ainda mais o sistema global de governação.