Política de trabalho remoto

A Política de trabalho remoto (P09) fornece um quadro abrangente para gerir acesso remoto seguro e mitigar os riscos específicos associados a ambientes de trabalho distribuídos. Foi concebida para todo o pessoal, incluindo trabalhadores a tempo inteiro, a tempo parcial, trabalhadores contratados, prestadores de serviços terceiros, consultores, fornecedores terceiros e pessoal baseado em projetos, que estejam autorizados a desempenhar funções fora das instalações corporativas. A política é aplicável em todas as geografias e fusos horários onde a organização opera, garantindo uma linha de base de segurança uniforme independentemente de onde ou quando o trabalho remoto ocorre. O seu objetivo central é manter a confidencialidade, integridade e disponibilidade dos ativos de informação da organização que são acedidos ou tratados fora do local. A política alcança isto através da implementação de salvaguardas técnicas e procedimentais robustas, tais como cifragem obrigatória, autenticação forte (incluindo autenticação multifator), proteção de endpoint e canais de acesso seguros como Rede Privada Virtual (VPN) ou ambientes de trabalho remotos. Alinha-se estreitamente com os requisitos da ISO/IEC 27001:2022, incluindo o Anexo A Controlo 6.7, que se foca em condições seguras de trabalho remoto, garantindo que tanto as proteções físicas como lógicas são abordadas. Os controlos também respondem a regulamentações do setor como NIST SP 800-53 (para controlo de acesso e proteções criptográficas), GDPR e NIS2 (para segurança e privacidade de dados) e DORA (para resiliência de TIC financeira). Secções específicas da política delimitam papéis e responsabilidades entre a alta direção, a liderança de segurança da informação (Diretor de Segurança da Informação (CISO)/Gestor do SGSI), Operações de TI, Recursos Humanos (RH), superior hierárquico direto, Jurídico e Conformidade e o próprio pessoal remoto. Por exemplo, a TI é responsável por implementar e suportar infraestrutura segura, acompanhar a conformidade dos dispositivos e manter registos de eventos. Os trabalhadores e prestadores de serviços remotos contratados devem cumprir a utilização segura de dispositivos, métodos de acesso aprovados, regras de tratamento de dados e notificar prontamente quaisquer incidentes de segurança ou perda de dispositivos. A política proíbe estritamente o acesso remoto exceto através de configurações autorizadas e exige que todos os dispositivos, corporativos ou Traga o Seu Próprio Dispositivo (BYOD), cumpram a segurança de base (configuração, aplicação de patches, cifragem, proteção contra malware) e requisitos de registo. Os mecanismos de governação na política abordam tratamento de riscos, gestão de exceções e aplicação de forma rigorosa. Categorias de risco como roubo de credenciais, exfiltração de dados, ameaças internas, violações regulamentares e comprometimento por malware são diretamente abordadas com controlos em camadas: controlo de acesso baseado em funções (RBAC), alertas de SIEM, segurança de endpoints, regras de tratamento de dados e formação de sensibilização em segurança. Além disso, todas as exceções devem ser aprovadas pelo Diretor de Segurança da Informação (CISO), documentadas e revistas periodicamente. A supervisão contínua é mantida através de monitorização, registo de auditoria centralizado e processos de auditoria definidos. As violações da política estão sujeitas à revogação de acessos, medidas disciplinares, cessação do contrato ou ação judicial. A política também se integra estreitamente com políticas relacionadas, incluindo Política de segurança da informação, Política de Utilização Aceitável, Política de controlo de acesso, Gestão de riscos, Gestão de ativos, Retenção e eliminação de dados e Política de Registo e Monitorização, para formar um modelo de governação de trabalho remoto de ponta a ponta. O seu ciclo de revisão anual ou orientado por eventos garante capacidade de resposta a ameaças em evolução, alterações regulamentares ou avanços tecnológicos, com todas as atualizações formalmente comunicadas e com tomada de conhecimento. Isto aplica de forma consistente operações seguras, em conformidade e fiáveis em todos os cenários de trabalho remoto.