Política de Recolha de Evidências e Forense

A Política de Recolha de Evidências e Forense (P31) estabelece um quadro estruturado e juridicamente defensável para gerir a identificação, recolha, preservação, análise e eliminação de evidência digital em casos de incidentes de segurança reais ou suspeitos. O seu objetivo central é assegurar a prontidão forense, mantendo a integridade e a admissibilidade da evidência para investigações internas, processos judiciais ou conformidade regulamentar. O âmbito abrangente da política aplica-se a todo o pessoal, contratados, fornecedores e prestadores de serviços terceiros envolvidos na administração de sistemas ou em atividades de investigação e rege endpoints, servidores, redes, plataformas em nuvem e qualquer incidente que exija tratamento de evidências, incluindo ameaças internas, utilização indevida, incidentes de sistemas de tecnologia operacional (OT) e violações de ativos físico-digitais. Os objetivos principais destacam a aquisição rápida e segura de evidências, a preservação rigorosa da integridade probatória e a documentação estrita, incluindo a cadeia de custódia, para cumprir obrigações legais e regulamentares. As atividades forenses estão estreitamente ligadas à análise pós-incidente e a melhorias de controlos, integrando-se de forma contínua no Sistema de Gestão de Segurança da Informação (SGSI). As responsabilidades do Diretor de Segurança da Informação (CISO), analistas forenses, administradores de TI, responsáveis de Jurídico e Conformidade, Recursos Humanos (RH) e funções de Auditoria e Conformidade são definidas para salvaguardar a defensabilidade jurídica e a transparência em todas as fases de um incidente. A política impõe vários requisitos de governação, incluindo a manutenção de um Programa de Prontidão Forense formal. Este programa define critérios de desencadeamento para recolha de evidências, vias de escalonamento, conjuntos de ferramentas aprovados para utilização forense e enfatiza as normas de documentação e reporte para orientar todas as atividades. Todas as atividades de tratamento de evidências devem aderir a normas forenses aceites internacionalmente, como a ISO/IEC 27035 para tratamento de incidentes, a NIST SP 800-86 para planeamento forense e a NIST SP 800-101 Rev. 1 para forense de suportes. A política exige um Registo de Ferramentas Forenses e determina que a evidência seja adquirida de forma segura, rotulada, armazenada com verificações de integridade e que todos os movimentos sejam registados num registo de cadeia de custódia assinado. Os requisitos de implementação da política prescrevem procedimentos detalhados para aquisição de evidências (utilizando bloqueadores de escrita e ferramentas validadas), isolamento de sistemas, recolha de registos e metadados (assegurando registos sincronizados no tempo para consistência de cronologia) e ambientes seguros e isolados para análise forense. As medidas de proteção de dados exigem alinhamento rigoroso com o RGPD quando a evidência envolve dados pessoais, incluindo controlo de acesso, cifragem e documentação clara da fundamentação da recolha. A retenção de evidências é regida por requisitos legais ou contratuais, e a eliminação segura deve cumprir a Política de Retenção de Dados (P14). São também descritos processos de tratamento de riscos e de exceções, com requisitos específicos para documentar, submeter e aprovar exceções, especialmente quando a evidência não pode ser tratada de acordo com os procedimentos padrão. A monitorização contínua da conformidade, auditorias periódicas, integração da política com a Resposta a Incidentes (P30), bem como a aplicação através de medidas disciplinares ou ação legal, sustentam a eficácia da política. O processo de revisão é formalizado anualmente e após incidentes críticos. A política está alinhada com quadros internacionais, incluindo ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 e 800-101, COBIT 2019, o RGPD da UE, NIS2 e DORA.