Mini Bundle: Segurança de Acesso e de Rede - PME

O Mini Bundle: Segurança de Acesso e de Rede - PME fornece um conjunto robusto e pré-alinhado de seis documentos de governação de cibersegurança, construídos especificamente para pequenas e médias empresas (PME). Reconhecendo os desafios únicos enfrentados por organizações sem departamentos dedicados de TI ou de segurança, cada política do pacote é simplificada para usar papéis normalmente presentes em PME, como Diretor Executivo, Gestores de Departamento e prestadores de serviços terceiros. Todos os documentos estão meticulosamente mapeados para os requisitos mais recentes da ISO/IEC 27001:2022 e ISO/IEC 27002:2022, bem como para quadros relacionados como NIST SP 800-53 Rev.5, EU RGPD, EU NIS2, EU DORA e COBIT 2019. Este pacote inclui a Política de controlo de acesso, que define como o acesso a sistemas de informação, instalações e dados é gerido através de processos claros de aprovação, revisão formal de acessos e aplicação do princípio do menor privilégio. A Política de Gestão de contas de utilizador e privilégios expande isto ao assegurar controlos robustos sobre provisionamento de acessos, modificação e desprovisionamento de acessos, proibindo credenciais partilhadas e exigindo credenciais únicas e identidades únicas e rastreáveis, suportadas por rasto de auditoria rigoroso e registo de auditoria para conformidade. Ambas são redigidas para organizações em que o Diretor Executivo ou uma função de TI externa atua como Proprietário do sistema ou autoridade de aprovação, reduzindo a complexidade e garantindo que o controlo pode ser mantido mesmo com recursos internos limitados. A Política de Gestão de Vulnerabilidades e patches define as expectativas para identificar, avaliar riscos e remediar vulnerabilidades em todos os ativos de TIC corporativos, incluindo estações de trabalho, servidores, infraestrutura em nuvem e software. A aplicação atempada de patches, o reporte trimestral e processos claros de Gestão de Exceções são obrigatórios, com responsabilidades partilhadas entre o Diretor Executivo e prestadores de TI. Para proteger a infraestrutura de endpoints, a Política de Proteção de endpoint - Proteção contra malware fornece requisitos para antivírus, segurança de Traga o Seu Próprio Dispositivo (BYOD), monitorização e resposta a incidentes, com instruções técnicas e processuais adaptadas ao contexto de PME, incluindo a utilização de ferramentas não aprovadas (proibidas), ferramentas aprovadas e formação regular sobre malware. Os controlos críticos de rede são abordados na Política de Segurança de Rede, que detalha a conceção, segmentação de rede, monitorização e aplicação de canais de acesso com fios, sem fios e acesso remoto seguros. A política cobre redes físicas e lógicas, exigindo configurações robustas de firewalls, utilização de Rede Privada Virtual (VPN) com autenticação multifator, auditorias regulares e notificação de comportamentos de rede não autorizados ou anómalos. A Política de Registo e Monitorização garante que todas as atividades críticas, desde alterações administrativas a alertas técnicos, são registadas, retidas e revistas regularmente, permitindo que as PME cumpram obrigações operacionais e obrigações legais de responsabilização, investigação de violações e auditorias de conformidade. Como políticas específicas para PME (evidenciadas pelo “S” na sua numeração e referências de papéis), cada documento enfatiza uma implementação prática e realista, usando registos, fluxos simples de aprovação e listas de verificação em vez de estruturas de grandes equipas ou posições especializadas. Em conjunto, este pacote fornece uma base abrangente, acionável e auditável de melhores práticas de cibersegurança em pequenas e médias empresas.