Ficha 02 · Risco, políticas e incidentes
- Avaliar risco
- Escrever políticas
- Responder a incidentes
- Comunicar violações
Parte I · Risco
Exercício 1 · Matriz (15 pts)
Para cada cenário, classifica severidade (1-5) e probabilidade (1-5) e calcula o risco. Indica acção recomendada:
a) Falha de disco no servidor sem RAID nem backup.
b) Phishing genérico a chegar a 5 funcionários por dia.
c) Inundação no rack do edifício (cidade segura, rácio raro).
d) Funcionário descontente revela senha a externo.
| Cenário | Severidade | Probab. | Risco | Acção |
|---|---|---|---|---|
| a) Falha de disco | 5 | 3 | 15 | Acção urgente — RAID + backup |
| b) Phishing | 3 | 5 | 15 | Acção urgente — filtros + formação |
| c) Inundação | 5 | 1 | 5 | Mitigar — seguro + DRP |
| d) Insider | 4 | 2 | 8 | Mitigar — políticas + offboarding rigoroso |
Exercício 2 · 4 estratégias (10 pts)
Para cada risco, escolhe a estratégia (mitigar / transferir / aceitar / evitar) e justifica:
a) Risco de incêndio no datacenter.
b) Risco de erro de digitação em manual interno consultado raramente.
c) Risco de ataque DDoS num site de e-commerce de €10M de receita anual.
d) Risco de uso ilegal de software pirateado.
a) Mitigar (sprinklers gás inerte) + transferir (seguro multirriscos).
b) Aceitar — impacto baixo, frequência baixa, custo de mitigar > benefício.
c) Mitigar (CDN + WAF + provider anti-DDoS como Cloudflare). Pode complementar com transferir via seguro cibernético.
d) Evitar — adquirir licenças legítimas. Aceitar significa risco enorme (auditoria, multa, processo criminal).
Parte II · Políticas
Exercício 3 · AUP (15 pts)
Escreve uma política de uso aceitável curta (6-10 pontos) para o computador de trabalho dos colaboradores de uma escola.
Política de Uso Aceitável de Equipamento
Aplica-se a: todos os colaboradores com acesso a equipamento da escola.
-
Uso profissional prioritário. O computador é para tarefas relacionadas com o trabalho.
-
Uso pessoal moderado é tolerado em pausas, desde que não comprometa desempenho nem comprometa redes/sistemas.
-
Software — só pode instalar-se software previamente autorizado pelo IT.
-
Conteúdos proibidos — pornografia, jogos de azar, software pirateado.
-
Credenciais — não partilhar com terceiros, mesmo colegas. MFA obrigatório em sistemas críticos.
-
Dados pessoais — não armazenar dados pessoais de alunos em pastas locais sem encriptação.
-
Monitorização — a actividade pode ser registada para fins de segurança (sem leitura de conteúdo pessoal específico).
-
Bloqueio de ecrã ao ausentar-se.
-
Equipamento próprio ao trabalho requer aprovação prévia (BYOD).
-
Incidentes devem ser comunicados a
it@escola.ptno momento da detecção.
Incumprimento sujeito a procedimento disciplinar.
Exercício 4 · Backup (10 pts)
Define política de backup para a escola, aplicando regra 3-2-1:
Política de Backup
Objectivo: garantir disponibilidade e recuperação em caso de falha ou ataque.
Regra 3-2-1: - 3 cópias dos dados críticos. - 2 suportes diferentes (disco + nuvem). - 1 fora do edifício.
Implementação:
| Sistema | Cópia 1 (original) | Cópia 2 (local) | Cópia 3 (offsite) |
|---|---|---|---|
| Servidor Moodle | disco do servidor | NAS na sala IT (diário) | cloud (semanal) |
| BD alunos | disco do servidor | NAS (4× dia) | cloud (diário) |
| Documentos partilhados | drive de cada PC | servidor de ficheiros | cloud |
| conta cloud | exportação trimestral | — |
Retenção: - Diários — 7 dias. - Semanais — 4 semanas. - Mensais — 12 meses. - Anuais — 5 anos (faturação, RGPD obriga).
Teste de restauro: trimestral. Backup não testado não é backup.
Imutabilidade: snapshots NAS configurados como imutáveis 14 dias (defesa contra ransomware).
Parte III · Incidentes
Exercício 5 · Ciclo NIST (10 pts)
Ordena as 6 fases do ciclo NIST de resposta a incidentes:
a) Erradicação b) Recuperação c) Detecção e análise d) Lições aprendidas e) Preparação f) Contenção
- Preparação (e)
- Detecção e análise (c)
- Contenção (f)
- Erradicação (a)
- Recuperação (b)
- Lições aprendidas (d)
Exercício 6 · Ransomware (20 pts)
Cenário: 3 PCs da escola acordam com fundo a dizer "Os seus ficheiros foram encriptados. Pague 1 BTC para...". Outros 50 PCs ainda parecem normais. Que fazes nas próximas 2 horas?
Próximos minutos (contenção):
-
Desligar da rede os 3 PCs afectados (puxar cabo, desactivar Wi-Fi). NÃO desligar — pode destruir evidência forense.
-
Avaliar propagação — verificar logs de rede, partilhas SMB, controlador de domínio.
-
Isolar segmentos se houver suspeita de movimentação lateral (desligar VLANs).
-
Notificar equipa de gestão e direcção da escola.
Próxima hora:
-
NÃO pagar o resgate. Sem garantia, financia mais ataques, ilegal em alguns contextos.
-
Identificar vector — phishing? RDP exposto? Vulnerabilidade?
-
Notificar autoridades:
- PJ — Polícia Judiciária (queixa).
- CERT.PT — Centro Nacional de Cibersegurança.
-
CNPD se dados pessoais foram comprometidos (72h).
-
Comunicar internamente — professores e alunos podem usar PCs alternativos.
Próximas horas:
-
Recuperação — começar restauro dos 3 PCs a partir de backup limpo. Confirmar que backup não está infectado.
-
Patch generalizado dos restantes 50 PCs se o vector for vulnerabilidade conhecida.
-
Mudança de credenciais em todas as contas potencialmente comprometidas.
-
Comunicação externa se for caso disso (pais de alunos, parceiros).
Pós-incidente:
-
Post-mortem completo em 1 semana.
-
Acções correctivas — formação, MFA, segmentação de rede, EDR.