Política de Comunicações Seguras e Autenticação Multifator

A Política de Comunicações Seguras e Autenticação multifator (MFA) estabelece controlos abrangentes para salvaguardar as comunicações organizacionais e o acesso dos utilizadores, alinhando-se com normas regulamentares e da indústria rigorosas. O seu objetivo principal é assegurar a confidencialidade e integridade da informação transmitida através de todos os canais de comunicação, incluindo voz, vídeo, texto e sistemas de emergência, impondo processos avançados de autenticação de acordo com o Artigo 21(2)(j) da NIS2. Aplicável a todos os trabalhadores, contratados e partes externas, a política impõe a utilização exclusiva de ferramentas de comunicação aprovadas pela organização e de canais cifrados para informação sensível ou operacional. Estes requisitos estendem-se aos sistemas de notificação de emergência, garantindo que, mesmo durante crises, a comunicação permanece segura, resiliente e disponível. Os coordenadores de resposta a emergências têm um papel direto tanto nos testes e validação periódicos destes sistemas como na formação do pessoal para a sua utilização correta e segura. Um objetivo crucial da política é aplicar autenticação multifator para todo o acesso à rede e aos sistemas, em particular para contas privilegiadas e acesso remoto. Os titulares de contas privilegiadas devem utilizar credenciais únicas separadas que imponham sempre autenticação multifator ou autenticação contínua, e qualquer elevação temporária de privilégios é estritamente limitada no tempo e monitorizada. Caso limitações técnicas impeçam a implementação imediata de autenticação multifator ou cifragem, como restrições de sistemas legados ou indisponibilidades operacionais, são exigidos controlos compensatórios, como monitorização de sistemas reforçada ou restrições de acesso temporárias, com todas as exceções formalmente aprovadas pelo Diretor de Segurança da Informação (CISO) e sujeitas a revisão trimestral. A política também exige programas de sensibilização e formação rigorosos para todos os utilizadores, na integração e anualmente depois. Estas sessões, com foco reforçado para funções de alto risco, como administradores de TI e alta direção, asseguram que o pessoal consegue distinguir canais seguros de canais inseguros, compreender táticas de ataques de phishing e engenharia social e utilizar corretamente ferramentas de comunicação segura. Para além da integração, é disponibilizada formação direcionada para utilizadores com níveis de risco elevados, com foco em métodos avançados de autenticação e nos riscos específicos associados às comunicações de emergência. Para assegurar a conformidade contínua, são realizadas monitorização contínua da conformidade e auditorias anuais de todos os sistemas de autenticação e comunicação. Qualquer utilizador que tente contornar políticas ou utilizar métodos de comunicação não autorizados ou não seguros está sujeito a medidas disciplinares, incluindo possível cessação. A Equipa de Segurança da Informação mantém a responsabilidade pela monitorização de registos e pela aplicação de configuração segura por defeito, enquanto os processos de auditoria verificam o alinhamento contínuo com as obrigações das políticas e obrigações regulamentares. Esta política fornece, assim, uma abordagem em camadas e abrangente para proteger os ativos de informação da organização, integrando de forma estreita controlos para comunicações seguras e autenticação de acesso, em total alinhamento com diretivas como a NIS2, ISO/IEC 27001:2022 e quadros relacionados.