Política de Testes de Segurança e Red Teaming

A Política de Testes de Segurança e Red Teaming (P40) estabelece um quadro abrangente para avaliação e validação contínuas das medidas de cibersegurança da organização. O seu objetivo principal é assegurar a conformidade com regulamentos como o Artigo 21(2)(f) da NIS2, que exige processos formais e estruturados para avaliar a eficácia das atividades de gestão de riscos de cibersegurança. Ao introduzir varreduras de vulnerabilidades regulares, testes de penetração anuais para sistemas críticos e simulações periódicas de red team, a política assegura a identificação proativa de lacunas que os controlos operacionais padrão podem não detetar. O âmbito da política é amplo, abrangendo todos os sistemas de informação críticos, aplicações e infraestrutura de suporte na organização. Importa salientar que também cobre aspetos de segurança física, como engenharia social e testes de penetração física quando aplicável, para proporcionar uma abordagem holística à proteção organizacional. Todas as Equipas de TI e Segurança da Informação internas, empresas externas de testes e os Proprietários do sistema ou de aplicações relevantes estão vinculados aos seus requisitos. As atividades de teste são cuidadosamente reguladas, exigindo autorização e adesão a regras definidas para evitar interrupções e garantir segurança. As funções e responsabilidades são detalhadas explicitamente para manter a responsabilização e simplificar processos. O Coordenador de Testes de Segurança, nomeado pelo Diretor de Segurança da Informação (CISO), supervisiona o planeamento, a execução e o reporte de todas as atividades de testes de segurança. As equipas internas colaboram tanto em funções defensivas como de teste, enquanto red teams ou testadores de penetração (internos ou Prestadores de Serviços Terceiros) executam cenários de ataque controlados dentro de parâmetros acordados. Os Proprietários do sistema asseguram a remediação atempada dos problemas identificados, e a gestão integra as constatações nos processos mais amplos de gestão de riscos e de reporte de conformidade. A política dá forte ênfase à governação detalhada: cada teste é precedido pela definição do âmbito e das regras de envolvimento, por procedimentos rigorosos de autorização e por reporte rigoroso. Sublinha a importância de práticas seguras de tratamento de dados, exigindo que quaisquer dados reais acedidos sejam mantidos confidenciais e que apenas detalhes anonimizados sejam incluídos nos relatórios. A remediação é obrigatória e acompanhada, com novo teste para verificar correções. A política também se estende a sistemas de fornecedores e de terceiros quando relevante, assegurando alinhamento em toda a cadeia de abastecimento. A melhoria contínua é um tema central: as lições de constatações recorrentes devem influenciar a política, as normas de configuração e os planos de resposta a incidentes. Programas de formação para equipas de TI, desenvolvimento e gestão são obrigatórios para promover sensibilização, reforçar disciplina operacional e manter vigilância contra ameaças emergentes. Todas as atividades de teste são registadas e auditadas periodicamente para confirmar eficácia, cumprimento de deveres regulamentares e encerramento atempado de ações de remediação. As revisões são agendadas anualmente ou após incidentes significativos, garantindo que a política se mantém atual face ao panorama dinâmico de ameaças.