Política de Segurança de Redes - PME

Esta Política de Segurança de Redes (P21S) foi concebida explicitamente para responder às necessidades específicas de pequenas e médias empresas (PME) que operam sem equipas de TI e de Segurança da Informação grandes ou especializadas. Adaptada para ambientes em que o Diretor Executivo assume a responsabilização global, a política assegura a implementação eficaz de controlos robustos de segurança de redes mesmo quando papéis como Centro de Operações de Segurança (SOC) ou Diretor de Segurança da Informação (CISO) podem não existir. Alinhada com a ISO/IEC 27001:2022 e compatível com os regulamentos GDPR, NIS2 e DORA, fornece clareza e garantia para alcançar conformidade técnica, legal e pronta para auditoria. O âmbito da política é abrangente, cobrindo todos os elementos da rede de uma organização: infraestrutura com fios e sem fios, firewalls, routers, switches, acesso remoto (VPN, RDP) e ligações à nuvem, bem como dispositivos ligados à rede. Isto inclui pessoal interno, trabalhadores remotos e em ambientes híbridos, convidados, contratados, fornecedores e prestadores de serviços terceiros. As separações de rede físicas e lógicas, como zonas de convidados e dispositivos IoT, são explicitamente abrangidas, garantindo que cada segmento é gerido de forma adequada de acordo com o risco e as necessidades de acesso. A atribuição clara de papéis é fundamental: o Diretor Executivo detém a supervisão da política e aprova exceções, enquanto o prestador de serviços terceiros de TI (ou uma função interna de TI) é responsável pela implementação prática, manutenção e deteção e escalonamento de incidentes. Estas definições permitem que PME sem departamentos de TI dedicados cumpram requisitos de conformidade de elevado padrão através de estruturas de governação simplificadas. Coordenadores de Privacidade ou Segurança apoiam a conformidade com regulamentos de proteção de dados pessoais, participam em investigações de violações e asseguram que os requisitos de documentação são cumpridos. Todo o pessoal deve seguir orientações rigorosas sobre acesso à rede, ligação de dispositivos, utilização segura de palavras-passe e notificação de incidentes. Os controlos de governação e tecnológicos são detalhados de forma rigorosa. Todos os ativos de rede devem ser obtidos junto de fornecedores suportados e mantidos atualizados com correções de segurança. Firewalls e controladores sem fios aplicam princípios de negação por defeito; as redes sem fios devem utilizar cifragem WPA3 ou WPA2, com o acesso de convidados estritamente isolado. As exposições de serviços na nuvem são minimizadas, o acesso VPN é estritamente controlado e monitorizado, e a autenticação multifator é obrigatória para inícios de sessão remotos. Registo de auditoria, monitorização, auditorias regulares e canais de reporte claros são exigidos para assegurar melhoria contínua e prontidão para resposta a incidentes. Ao enfatizar revisões anuais, processos de gestão de alterações e aplicação rigorosa (com ações para incumprimento que vão desde retreino até medidas legais), esta política cria uma base eficaz e sustentável para segurança contínua. Os processos de exceção são formalizados, exigindo sempre justificação, controlos compensatórios e aprovação do Diretor Executivo. Esta abordagem permite que as PME operem de forma segura, cumpram obrigações legais e demonstrem proficiência técnica a clientes, auditores e reguladores.