Política de Registo e Monitorização - PME

A Política de Registo e Monitorização (P22S) estabelece um quadro robusto para proteger, reter e auditar a atividade dos sistemas em pequenas e médias empresas (PME). Esta política é especificamente adaptada a organizações que não dispõem de equipas dedicadas de TI ou de segurança, suportando papéis operacionais simplificados como Diretor-Geral, Prestador de Suporte de TI e Coordenador de Privacidade. Apesar desta abordagem simplificada, a política assegura conformidade rigorosa com normas internacionais, incluindo ISO/IEC 27001:2022, ISO/IEC 27002:2022, NIST SP 800-53 Rev.5, RGPD da UE, NIS2 da UE, DORA da UE e COBIT 2019. O objetivo da política é tornar obrigatórios controlos de registo e monitorização que sustentem tanto a segurança como a integridade operacional dos sistemas de TI da organização. Define que eventos devem ser registados (abrangendo autenticação, gestão da configuração, acesso a dados sensíveis e alertas de segurança), como os registos são armazenados e protegidos de forma segura e as responsabilidades de revisão e escalonamento de incidentes. A gestão de registos ao abrigo desta política suporta diretamente a conformidade regulamentar, investigações forenses e a prontidão contínua para auditoria, respondendo à confiança do cliente e à resposta obrigatória a violações. É definido um âmbito claro: todos os sistemas (desde servidores e dispositivos de rede até serviços na nuvem e ambientes Traga o Seu Próprio Dispositivo (BYOD)) e utilizadores (trabalhadores, contratados, MSPs) estão abrangidos. Os registos gerados por serviços geridos ou plataformas de terceiros devem ser incluídos quando os direitos administrativos ou o acesso de auditoria forem fornecidos contratualmente. A política exige revisões semanais e mensais de registos críticos, atenção imediata a alertas de elevada gravidade e períodos de retenção de, pelo menos, 12 meses, estendidos para 3 anos no caso de registos de incidentes. As medidas de proteção de registos incluem proteção contra escrita, acesso restrito, sistemas de cópia de segurança cifrados e rasto de auditoria para quaisquer alterações críticas aos sistemas. Os papéis e responsabilidades são definidos explicitamente para PME: o Diretor-Geral supervisiona a aprovação da política, responde a alertas críticos e autoriza exceções quando existirem restrições técnicas ou operacionais. Os Prestadores de Suporte de TI são responsáveis pela configuração de registos, revisão regular e manutenção de sistemas de cópia de segurança e de alertas, enquanto o Coordenador de Privacidade assegura que os registos de dados pessoais cumprem o RGPD e apoia a análise de violações e as notificações regulamentares. O pessoal e os contratados nunca devem adulterar ou desativar sistemas de registo e são obrigados a reportar anomalias. Os mecanismos de governação e conformidade abrangem calendários de governação de registos, requisitos de retenção e controlos de proteção. São incluídas políticas para serviços na nuvem, sincronização temporal (NTP), configuração de alertas, cobertura de BYOD, cópia de segurança e procedimentos de retenção legal para assegurar prontidão forense e defensabilidade jurídica. As exceções devem ser documentadas, revistas semestralmente e mitigadas de forma adequada. A aplicação é suportada por medidas disciplinares por adulteração, incumprimento ou falha em escalar alertas críticos, assegurando que os requisitos de auditoria e regulamentares são sempre cumpridos. A política exige revisões anuais e define desencadeadores para atualizações não programadas com base em constatações de auditoria, incidentes ou alterações na infraestrutura ou no enquadramento regulamentar. Esta política suporta diretamente e é suportada por políticas relacionadas para PME, incluindo Proteção de Dados e Privacidade, Segurança de Rede, Desenvolvimento Seguro, Resposta a Incidentes e Sincronização Temporal. Estas ligações constroem uma base abrangente para rastreabilidade, gestão de violações e conformidade, adaptada a pequenas organizações, mas suficientemente robusta para cumprir as principais normas internacionais.