Política de Segurança de Redes

A Política de Segurança de Redes (Documento P21) foi desenvolvida para estabelecer controlos rigorosos sobre as redes internas e externas da organização, proporcionando proteção contra acesso não autorizado, interrupção de serviço, interceção de dados e uso indevido. Os seus principais objetivos incluem salvaguardar a confidencialidade, integridade e disponibilidade dos dados em trânsito e em repouso, alinhando-se de perto com requisitos regulamentares e normativos essenciais, como a ISO/IEC 27001:2022, o Artigo 32 do RGPD, a Diretiva NIS2, a DORA e o COBIT 2019. Esta política robusta aplica-se globalmente a todas as infraestruturas de rede, incluindo ambientes físicos, virtuais, em nuvem e ambientes híbridos. Inclui, no seu âmbito abrangente, routers, switches, firewalls, redes baseadas na nuvem, sistemas de Rede Privada Virtual (VPN) e até serviços de suporte como DNS e servidores proxy. Tanto o pessoal interno como prestadores de serviços terceiros que interajam com estas redes ficam vinculados aos requisitos definidos. As funcionalidades notáveis da política incluem segmentação de rede obrigatória, protocolos explícitos de configuração de firewalls, normas de encaminhamento seguro e monitorização e registo de auditoria centralizados e contínuos das atividades de rede. A governação está claramente estruturada, obrigando papéis como o Diretor de Segurança da Informação (CISO), gestores de segurança de redes, Centro de Operações de Segurança (SOC), Operações de TI e até fornecedores terceiros a cumprir responsabilidades definidas para conceção segura de redes, monitorização operacional, gestão de alterações e resposta a incidentes. A política define expectativas não apenas para a gestão rotineira de redes, mas também para o tratamento de exceções, como dependências de sistemas legados, através de um processo controlado de aprovação sujeito a avaliação de riscos. Todas as aprovações de exceções são registadas no Sistema de Gestão de Segurança da Informação (SGSI) com um ciclo rigoroso de revisão de 90 dias, garantindo que não são ignoradas vulnerabilidades de longo prazo. Para minimizar superfícies de ataque e cumprir obrigações de conformidade, a política estipula que todas as redes de fronteira devem ser protegidas utilizando firewalls de próxima geração com inspeção stateful, filtragem de conteúdos a nível de aplicação e prevenção de intrusões. As redes internas devem ser segmentadas entre áreas de produção, desenvolvimento, utilizadores e convidados, utilizando firewalls e Redes Locais Virtuais (VLANs) para impor controlo de acesso rigoroso. As soluções de Rede Privada Virtual (VPN) e acesso remoto devem utilizar cifragem e autenticação multifator, enquanto as redes sem fios são obrigadas a adotar protocolos de segurança de nível empresarial e segregação de convidados. Os ambientes em nuvem e ambientes híbridos não estão isentos: regras de grupos de segurança, ligações de VPN auditadas e definições de firewall nativas da nuvem devem ser geridas de forma rigorosa. Para monitorização e deteção, o registo de auditoria contínuo num SIEM centralizado, a deteção de anomalias através de NDR e períodos definidos de retenção de logs são requisitos integrais. Revisões periódicas da política e auditorias são obrigatórias, desencadeadas por novas ameaças, alterações de rede, atualizações regulamentares ou constatações de auditoria. O incumprimento, incluindo a evasão deliberada de controlos, conduz a medidas disciplinares, penalizações contratuais ou notificação de violações em conformidade com os regulamentos. Por fim, a Política de Segurança de Redes também especifica as suas ligações com outras políticas organizacionais críticas, incluindo segurança fundamental, controlo de acesso, gestão de alterações, gestão de ativos, registo e monitorização e resposta a incidentes, para uma abordagem em defesa em profundidade.