Política de Gestão de Vulnerabilidades

A Política de Gestão de Vulnerabilidades e Gestão de patches e firmware (P19) define a abordagem estruturada necessária para identificar, classificar, remediar e monitorizar vulnerabilidades técnicas e falhas de software em todos os ativos governados pelo Sistema de Gestão de Segurança da Informação (SGSI) da organização. O seu objetivo principal é reduzir a exposição ao risco decorrente de lacunas não tratadas, assegurando um processo coordenado de avaliação de vulnerabilidades, priorização, remediação e acompanhamento de conformidade, adaptado às prioridades operacionais e ao enquadramento regulamentar relevante para a organização. A política aplica-se em toda a empresa a todos os sistemas de informação, aplicações, infraestrutura de rede, firmware, recursos de nuvem, interfaces de programação de aplicações, endpoints, servidores, infraestrutura virtual e plataformas de terceiros, independentemente do ambiente de alojamento. Vinculativa tanto para equipas internas como para prestadores de serviços terceiros, exige uma abordagem de ciclo de vida completo, começando com varreduras de vulnerabilidades e descoberta regulares, passando por pontuação de risco e aquisição de patches, até à implementação atempada, tratamento de exceções, monitorização e reporte. É dada ênfase especial a varreduras autenticadas e ajustadas ao risco em intervalos definidos, particularmente para ativos expostos à Internet ou de elevado valor, com procedimentos associados para integração de novos sistemas e manutenção da conformidade ao longo do seu ciclo de vida. Os papéis e responsabilidades são delineados com precisão para promover responsabilização. O Diretor de Segurança da Informação (CISO) é responsável pela integração da política e alinhamento com o risco; as lideranças de Gestão de Vulnerabilidades supervisionam a execução operacional; Proprietário do sistema e Proprietários de aplicações são responsáveis por aplicar remediações e validar a estabilidade do sistema; Operações de TI executa alterações dentro de janelas estabelecidas; e analistas de segurança mantêm vigilância através de monitorização contínua da conformidade, monitorização e deteção de ameaças e avaliações de risco atualizadas. Existem requisitos formais para fornecedores terceiros assegurarem que sistemas externos cumprem os mesmos Acordos de Nível de Serviço (SLA) de patches, com auditorias periódicas e controlos sobre os seus processos de Gestão de patches e firmware. Um quadro de governação, incluindo um Registo de Gestão de Vulnerabilidades mantido centralmente e SLAs baseados no risco, sustenta a política. O sistema impõe urgência de patches de acordo com a severidade (conforme determinada pela pontuação CVSS), criticidade do ativo e exposição, integrando-se com a Política de gestão de alterações para rastreabilidade e estabilidade. Protocolos detalhados de exceções estipulam requisitos de aprovação formal, controlos compensatórios, cadência de revisão, limites temporais para riscos críticos e acompanhamento obrigatório em registos designados do SGSI. A aplicação da política baseia-se em monitorização contínua da conformidade, reporte de estado e escalonamento estruturado. A política também exige auditorias, investigações retrospetivas após incidentes e um protocolo robusto de revisão/atualização para assegurar alinhamento contínuo com obrigações regulamentares em evolução, alterações tecnológicas e inteligência de ameaças de alto perfil. Está diretamente ligada a políticas fundamentais, como Política de Segurança da Informação, Política de gestão de alterações, Quadro de gestão de riscos, Gestão de instalações e de ativos, Política de Registo e Monitorização e Política de Resposta a Incidentes (P30), para assegurar cobertura de ponta a ponta.