Política de sensibilização e formação em segurança da informação

A Política de sensibilização e formação em segurança da informação (P08) estabelece um quadro formal, em toda a organização, para garantir que todo o pessoal, contratados e agentes terceiros compreendem as suas responsabilidades de segurança da informação. Impõe formação abrangente que suporta a conformidade com a ISO/IEC 27001:2022 e outros quadros globais de referência. O documento detalha uma abordagem baseada no risco, exigindo que a sensibilização para a segurança seja continuamente abordada através da integração, formação de reciclagem periódica e táticas de formação orientadas por eventos, adaptadas à evolução das ameaças e às exigências regulamentares. Esta política define um âmbito claro, estipulando que todos os utilizadores com acesso a sistemas de informação ou a instalações da organização, sejam trabalhadores internos, trabalhadores temporários, contratados ou fornecedores, devem participar. Os requisitos especificam formação inicial de sensibilização para a segurança na integração, módulos específicos por função para posições como desenvolvedores ou utilizadores com privilégios elevados e campanhas de sensibilização contínuas. Os mecanismos de entrega incluem e-learning, briefings presenciais, simulações e ativos multimédia, com formação de reciclagem anual obrigatória ou formação adicional desencadeada por incidentes de segurança ou alterações legais/tecnológicas relevantes. Requisitos de governação detalhados garantem que todos os utilizadores são orientados por conteúdo educativo acessível e inclusivo, cobrindo temas essenciais como resistência ao phishing, higiene das palavras-passe e obrigações regulamentares. As funções de Recursos Humanos e do Diretor de Segurança da Informação (CISO) são centrais para manter registos de conclusão de formação, assegurar que novos colaboradores e pessoas com alterações de funções cumprem as datas limite e acompanhar a conclusão através de um Sistema de Gestão da Aprendizagem. O incumprimento conduz a medidas disciplinares progressivas, desde lembretes automatizados até à revogação de acessos e escalonamento para Recursos Humanos. São obrigatórias simulações de phishing periódicas e campanhas de sensibilização; os respetivos resultados orientam o refinamento do conteúdo e o escalonamento de retreino direcionado quando os riscos são repetidamente identificados. O tratamento de exceções é definido através de um processo de aprovação documentado e baseado no risco, e a política dá forte ênfase a revisões regulares da política, atualizações de conteúdo e prontidão para auditoria, assegurando alinhamento contínuo com ISO/IEC 27001, 27002, NIST SP 800-53, GDPR, NIS2, DORA e COBIT 2019. Assim, a política sustenta uma defesa mensurável e evolutiva contra vulnerabilidades relacionadas com pessoas, vital para manter a resiliência organizacional.