Política de Funções e Responsabilidades de Governação - PME

A Política de Funções e Responsabilidades de Governação (P02S) fornece uma abordagem simplificada para atribuir, documentar e supervisionar responsabilidades de segurança da informação numa pequena ou média empresa (PME). Concebida especificamente para ambientes em que um Diretor-Geral ou Proprietário do Negócio pode supervisionar diretamente tarefas de segurança, muitas vezes sem uma equipa dedicada de TI ou um Centro de Operações de Segurança (SOC), esta política para PME assegura que as organizações permanecem em conformidade com normas reconhecidas globalmente, incluindo a ISO/IEC 27001:2022, a ISO/IEC 27002:2022 e o RGPD. De forma intencional, a política estabelece como as responsabilidades de governação para a segurança da informação são atribuídas, delegadas e geridas em toda a organização. O seu objetivo é garantir responsabilização em todos os níveis operacionais, apoiando a eficácia operacional através da identificação transparente de quem é responsável por várias funções críticas para a segurança, tais como gestão de políticas, aprovações de acesso e de alterações, tratamento de incidentes e monitorização. A política reconhece as limitações de recursos comuns nas PME, permitindo uma atribuição de funções simplificada, frequentemente com o Diretor-Geral a assumir vários deveres-chave de supervisão. Se existir um Coordenador de Segurança Designado (seja um colaborador ou um consultor de confiança), os seus deveres, autoridade e linhas de reporte são claramente delineados. Para muitas PME, o Diretor-Geral mantém-se responsável por todos os resultados, mesmo quando as responsabilidades são delegadas ou contratadas a prestadores de serviços terceiros de TI externos. Quanto ao âmbito, a política é amplamente aplicável a qualquer pessoa que trate dados da organização ou aceda a sistemas: proprietários do negócio, colaboradores, contratados e prestadores de serviços terceiros de TI externos ou consultores. A cobertura abrange todos os sistemas, ambientes e serviços relevantes (TI de escritório, nuvem, registos físicos, dispositivos remotos), garantindo que tanto as atividades de segurança internas como as externalizadas são governadas. Essencial para a praticabilidade em PME, os requisitos de delegação devem ser simples, mas seguros: documentação escrita das atribuições, restrições para impedir autoaprovação não autorizada e preservação da supervisão da gestão em todo o processo. Para apoiar a conformidade e a prontidão para auditoria, a política exige que todas as funções e deveres de segurança sejam registados, revistos rotineiramente e comunicados aos titulares das funções. Um registo simples de responsabilidades, mantido pelo Diretor-Geral, constitui a base desta documentação. Revisões anuais de acessos e atribuições, listas de verificação de conformidade e sessões regulares de rebriefing aos colaboradores asseguram que a organização se mantém segura e pronta para auditoria, mesmo em contextos de rápida mudança ou com recursos limitados. A política enfatiza que as exceções devem ser formalmente justificadas, documentadas, limitadas no tempo e reavaliadas regularmente. Os prestadores são contratualmente obrigados a cumprir a política, com procedimentos de aplicação e escalonamento em caso de não conformidade. As atualizações da política, quer sejam motivadas por alterações regulamentares quer por incidentes operacionais, devem ser partilhadas prontamente com todas as partes interessadas através de canais de comunicação definidos. Sendo um documento específico para PME (assinalado por "S" no número do documento e por referências ao papel de Diretor-Geral em vez de CISO ou diretor de TI), está adaptado a organizações sem gestores de TI ou de segurança a tempo inteiro, mas exige um rigor equivalente ao das políticas de grandes empresas. A política P02S proporciona, assim, tranquilidade e conformidade para PME que procuram cumprir normas exigentes com equipas reduzidas e processos claros e pragmáticos.