Política de Dispositivos Móveis e BYOD - PME

A Política de Dispositivos Móveis e BYOD (P34S) foi concebida especificamente para PME, garantindo que organizações sem pessoal dedicado de TI ou segurança conseguem, ainda assim, implementar controlos robustos e certificáveis para endpoints móveis. A sua estrutura clara atribui responsabilização ao Diretor Executivo (GM), substituindo funções tradicionais de TI ou CISO por uma supervisão prática e acessível, adequada ao contexto de PME. O objetivo principal da política é criar proteções aplicáveis sempre que dados da empresa ou do cliente sejam acedidos, tratados ou armazenados, independentemente de os dispositivos serem fornecidos pela empresa ou de propriedade pessoal. Define salvaguardas técnicas e procedimentais de base, como exigir cifragem do dispositivo, bloqueios de ecrã e antivírus, mantendo políticas fáceis de aplicar por pessoal não especializado. O âmbito é abrangente, aplicando-se a todo o pessoal e prestadores de serviços que utilizem dispositivos móveis (incluindo smartphones, tablets ou portáteis) para fins de negócio, independentemente da localização ou propriedade do dispositivo. Requisitos rigorosos de governação determinam que todos os dispositivos BYOD devem ser registados, aprovados e ter aplicações de segurança, com registos de dispositivos e acordos de utilizador a sustentarem a responsabilização. A privacidade é cuidadosamente protegida: a empresa gere apenas dados de negócio em dispositivos pessoais e respeita os limites do utilizador, alinhando-se com requisitos legais como o GDPR. A política aplica um conjunto alargado de controlos: dispositivos corporativos e pessoais devem ter software de segurança atualizado, autenticação forte, cifragem e não devem recorrer a serviços de computação em nuvem não autorizados para dados da empresa. Os utilizadores BYOD são obrigados a assinar acordos e a instalar aplicações de segurança ou controlos equivalentes ao MDM, conforme necessário. O Diretor Executivo (ou pessoal designado) é responsável por aprovar dispositivos, manter o Inventário de Ativos, conduzir revisões de incidentes e assegurar o cumprimento da política, incluindo para prestadores de serviços terceiros de TI. A Gestão de Incidentes é pragmática e rápida, exigindo que dispositivos perdidos ou comprometidos sejam comunicados no prazo de uma hora, desencadeando avaliação célere de apagamento remoto e reposições de credenciais. É definido um processo claro tanto para o tratamento de exceções, através de um Registo de Exceções de BYOD e aprovação do Diretor Executivo, como para a aplicação da conformidade: revisões periódicas, auditorias e consequências por violações, incluindo revogação de acessos, advertências formais e, se necessário, medidas contratuais ou jurídicas. Como política que referencia explicitamente a Cláusula 5.1 (Liderança e Compromisso) e a Cláusula 8.1 (Planeamento e Controlo Operacional) da ISO/IEC 27001:2022, em conjunto com NIST, GDPR, NIS2 e DORA, este documento assegura que as PME cumprem requisitos essenciais de certificação mesmo em cenários de trabalho remoto e híbrido. O Diretor Executivo é responsável por revisões anuais, atualizações após incidentes ou alterações regulamentares e por garantir que todos os utilizadores são notificados e formados. Em suma, a política está estreitamente integrada com documentos de políticas para PME relacionados, criando um quadro completo para gerir riscos de dispositivos e assegurar segurança móvel auditável, legal e fiável para o cliente em organizações de menor dimensão.