Política de Proteção de Endpoints e Malware - PME

Esta Política de Proteção de Endpoints – Malware (P20S) foi concebida especificamente para pequenas e médias empresas (PME) que procuram uma proteção robusta, prática e alinhada com normas contra ameaças de malware direcionadas a dispositivos de endpoint. Assinalada pelo “S” no número do documento e pela delegação da responsabilidade principal no Diretor-Geral, esta política reflete uma abordagem simplificada adequada a organizações sem Diretor de Segurança da Informação (CISO), Centro de Operações de Segurança (SOC) ou equipas de TI a tempo inteiro, mantendo-se totalmente em conformidade com quadros de referência líderes, incluindo ISO/IEC 27001:2022. O objetivo desta política é estabelecer normas mínimas claras e aplicáveis para proteger todos os dispositivos de endpoint, incluindo portáteis, desktops, tablets, smartphones e suportes amovíveis. Ao abordar os elementos técnicos, processuais e comportamentais da segurança de endpoints, visa mitigar riscos comuns como ransomware, spyware, keyloggers e malware baseado em USB. A política foi redigida para apoiar os objetivos de resiliência cibernética da organização e facilitar a conformidade regulamentar, nomeadamente com GDPR, NIS2, DORA e COBIT 2019. O âmbito é abrangente: cobre dispositivos organizacionais e BYOD, independentemente de estarem no local, em acesso remoto, conectados à nuvem ou offline. Todo o pessoal, prestadores de serviços geridos, contratados e estagiários estão abrangidos pelos seus requisitos. A política detalha a governação para dispositivos da empresa e dispositivos pessoais, com ênfase particular nos controlos de BYOD, como antivírus obrigatório ou agentes equivalentes a MDM, aplicação de patches atualizada, armazenamento cifrado e aplicação de bloqueio de ecrã. Os principais requisitos operacionais incluem executar soluções aprovadas de antivírus ou deteção e resposta em endpoint (EDR) em todos os endpoints, varreduras completas semanais do sistema, atualizações automáticas de assinaturas, bloqueio de tipos de ficheiros suspeitos, desativação de serviços não utilizados e análise em tempo real de USB. Se for detetado malware, são claramente descritos procedimentos de desconexão imediata, notificação de TI, contenção, ações de remediação e notificação de incidentes. Controlos adicionais exigem formação regular de sensibilização do pessoal e exercícios de simulação de engenharia social para minimizar riscos de infeção relacionados com o utilizador. A política estipula ainda que eventos críticos (como proteções desativadas ou tentativas repetidas de infeção) são registados e geram alertas automáticos, que a evidência de auditoria é retida para auditoria por pelo menos 12 meses e que as exceções são estritamente exceções documentadas e limitadas no tempo. A revalidação anual e atualizações acionadas por eventos asseguram que a política se mantém eficaz face à evolução das ameaças e a alterações regulamentares. Todos estes controlos são adequados para PME, fornecendo a Diretores-Gerais e prestadores de serviços de TI passos de segurança acionáveis e geríveis que cumprem as expectativas dos principais quadros regulamentares.