Política de Redes Sociais e Comunicações Externas - PME

A Política de Redes Sociais e Comunicações Externas (P36S) estabelece um quadro abrangente e prático para proteger pequenas e médias empresas (PMEs) na realização de comunicações voltadas para o público. Abrange todas as referências externas à empresa, incluindo atividade em redes sociais, publicações em blogues, participação em eventos, contacto com os meios de comunicação social e partilha pública de elementos visuais de ambientes de trabalho, para responder aos riscos únicos de conformidade, legais e reputacionais atualmente associados às comunicações digitais. Esta política é especialmente adaptada como uma política para PMEs, o que é evidente pela utilização do papel de Diretor-Geral como principal proprietário do ativo da política e responsável de conformidade, em vez de executivos de TI dedicados ou responsáveis de segurança. Esta abordagem garante que mesmo organizações sem um Diretor de Segurança da Informação (CISO) ou Centro de Operações de Segurança (SOC) conseguem implementar controlos robustos alinhados com os requisitos da ISO/IEC 27001:2022. Todos os indivíduos afiliados, incluindo trabalhadores, contratados, freelancers, fornecedores e pessoal temporário, estão no âmbito, e as regras também regem a utilização de contas ou dispositivos pessoais, quer dentro quer fora do horário de trabalho. Isto é crucial para PMEs com supervisão limitada e acordos de trabalho diversos e flexíveis. Os objetivos centrais da política estão claramente definidos: prevenir dano reputacional decorrente de declarações não aprovadas ou enganosas, proteger dados sensíveis da empresa e de clientes, manter a conformidade legal contínua (como com o RGPD) e promover um envolvimento online profissional e responsável. Os requisitos de governação são altamente acionáveis; por exemplo, definem regras claras para conteúdo aceitável e proibido, aprovações obrigatórias para participações públicas, utilização de declarações de exoneração de responsabilidade ao comentar temas do setor e controlo de acesso forte, como autenticação multifator, para contas oficiais. De forma relevante, fornecedores terceiros de marketing ou RP devem cumprir estritamente ao abrigo de contratos explícitos e não podem publicar conteúdo sem a aprovação do Diretor-Geral. A implementação é tornada prática para PMEs: é exigida formação anual e de integração para todo o pessoal, qualquer conteúdo proposto voltado para o público deve ser enviado ao Diretor-Geral para aprovação com documentação, e existem orientações para arquivar publicações e registar aprovações, mesmo utilizando folhas de cálculo. A política prescreve gestão ativa do risco, incluindo revisões regulares pelo Diretor-Geral para exposições relacionadas com comunicação social, requisitos para tratar e notificar divulgações acidentais (com referências à Política de Resposta a Incidentes dedicada) e um processo estruturado para exceções e alterações. A aplicação é robusta, mas equilibrada; as violações desencadeiam medidas disciplinares claras e são tratadas de forma proporcional à gravidade e intenção. Todas as partes interessadas, incluindo fornecedores, estão abrangidas, promovendo uma presença externa holística e consistente. A política é suportada por ligações diretas a controlos relacionados para PMEs sobre Política de Utilização Aceitável, Formação de Sensibilização em Segurança da Informação, Privacidade de Dados, Resposta a Incidentes e Obrigações Legais, assegurando uma postura de conformidade integrada sólida.