Política de Gestão de Vulnerabilidades e Patches - PME

A Política de Gestão de Vulnerabilidades e Patches (P19S) fornece um quadro estruturado para identificar, avaliar e mitigar vulnerabilidades em todo o ecossistema digital da organização. Explicitamente adaptada como uma política para PME, refletida pela sua designação e pela atribuição do Diretor-Geral como a função com responsabilização final, o documento reconhece as restrições específicas de recursos de pequenas e médias empresas, assegurando simultaneamente o alinhamento total com os principais quadros de conformidade, tais como ISO/IEC 27001:2022, GDPR, NIS2 e DORA. O objetivo principal da política é reduzir a exposição ao risco de cibersegurança através da implementação de processos de remediação eficazes, atempados e baseados no risco para todos os ativos, incluindo servidores, endpoints, dispositivos móveis, hardware de rede e sistemas alojados na nuvem. O âmbito da política é amplo e inclusivo, aplicando-se não apenas a todos os componentes convencionais de infraestrutura de TI, mas também a código desenvolvido à medida, plataformas geridas por fornecedores e quaisquer sistemas administrados por terceiros que sejam essenciais para as operações de negócio. Este alcance abrangente significa que tanto os recursos de TI internos como os prestadores de serviços terceiros são regidos por uma norma comum, assegurando práticas uniformes independentemente de quem gere os ativos. Todos os sistemas, quer nas instalações quer baseados na nuvem, são assim obrigados a cumprir processos definidos para identificação e remediação de vulnerabilidades. A política incorpora uma divisão clara de papéis e responsabilidades: o Diretor-Geral é responsável pela supervisão e aceitação do risco, refletindo as estruturas de gestão simplificadas típicas das PME. As atividades de aplicação de patches, manutenção de registos e gestão de exceções são normalmente realizadas por administradores de TI internos ou por prestadores de suporte de TI contratados. Coordenadores de Privacidade ou de Segurança, quando designados, têm a responsabilidade de assegurar que os sistemas que tratam dados pessoais recebem a priorização adequada, apoiando a conformidade regulamentar e reduzindo a probabilidade de violação de dados. São descritos passos práticos de implementação: as correções de segurança críticas devem ser aplicadas no prazo de três dias após a disponibilização, especialmente para sistemas expostos externamente, enquanto todas as outras correções têm uma janela de implementação de 30 dias. Os patches devem ser validados, testados e registados, com atualizações falhadas ou planos de reversão devidamente documentados e escalonados. A política exige ainda a monitorização proativa de vulnerabilidades a partir de notificações do sistema operativo, boletins de fornecedores e avisos globais de ameaças de fontes reputadas. Software de terceiros e software desenvolvido à medida devem ser revistos regularmente quanto a componentes vulneráveis, assegurando a eficácia da política mesmo quando se lida com recursos open source ou externos. O tratamento de exceções, registo de auditoria e processos de revisão de conformidade são detalhados de forma explícita, exigindo que qualquer desvio aos prazos padrão de aplicação de patches seja avaliado quanto ao risco, aprovado e reavaliado segundo um calendário definido. A política também exige revisões anuais e atualizações intercalares após eventos de segurança significativos ou alterações no ambiente de TI. Programas de sensibilização e formação asseguram que todo o pessoal conhece as expectativas de atualização e é capaz de sinalizar potenciais problemas. No geral, a política P19S equilibra rigor e praticidade, apoiando obrigações legais e da indústria, mantendo-se acessível a PME sem equipas de segurança dedicadas.