Partilhar: WhatsApp
aulify · Sebenta
UC · Unidade de Competência · UC00613

Segurança em sistemas de informação

Sebenta · CIA, RGPD, gestão de risco, incidentes
25h · 2.25 pontos crédito Curso: T. Desenv. Software, T. Inform. Gestão ↗ Referencial oficial SNQ
Índice

Apresentação

UC00613 (25h · 2,25 pts) aborda a vertente organizacional da segurança da informação: princípios CIA, legislação (RGPD), gestão de risco, políticas, formação, resposta a incidentes. Complementar à UC02836 (segurança no desenvolvimento).

Princípios CIA

A tríade clássica:

Toda decisão de segurança equilibra estes três. Aumentar um pode prejudicar outro: encriptação forte (confidencialidade) torna recuperação mais difícil se chave se perde (disponibilidade).

Modelos posteriores adicionam: - Autenticidade — provar identidade da fonte. - Não-repúdio — não poder negar autoria. - Responsabilização — rastreabilidade.

Normas e frameworks

ISO/IEC 27001

Norma internacional de Sistema de Gestão da Segurança da Informação (SGSI). Define processo cíclico: - Plan-Do-Check-Act. - Identificação de activos, ameaças, vulnerabilidades. - Tratamento de risco. - Auditoria contínua.

Permite certificação, exigida em sectores regulados (banca, saúde, telecom).

NIST CSF

Framework do NIST (EUA), 5 funções: 1. Identify — conhecer activos e riscos. 2. Protect — controlos preventivos. 3. Detect — monitorização. 4. Respond — reagir a incidentes. 5. Recover — restaurar operações.

CIS Controls

Lista priorizada de 18 controlos práticos (v8). Excelente ponto de partida para PMEs sem recursos para ISO completa.

RGPD

Visão geral

Regulamento (UE) 2016/679, em vigor desde 25 Maio 2018. Aplica-se a qualquer organização que trate dados pessoais de cidadãos da UE, independentemente da sua localização.

Dados pessoais = qualquer informação relativa a pessoa singular identificada ou identificável: nome, email, NIF, geolocalização, IP, dados biométricos.

Princípios fundamentais

  1. Licitude, lealdade e transparência — tratamento com base legal, leal, sem enganar o titular.
  2. Limitação da finalidade — recolhidos para fins específicos.
  3. Minimização — só os dados necessários para a finalidade.
  4. Exactidão — actualizados, sem erros.
  5. Limitação da conservação — apagados quando deixam de ser necessários.
  6. Integridade e confidencialidade — segurança apropriada.
  7. Responsabilidade — entidade tem de demonstrar conformidade.

Bases legais

Tratamento só é lícito se assenta em pelo menos uma destas seis bases:

Base Exemplo
Consentimento Newsletter
Contrato Encomenda
Obrigação legal Faturação
Interesses vitais Médico em emergência
Interesse público Estatística oficial
Interesse legítimo Anti-fraude

Consentimento tem requisitos rigorosos: livre, específico, informado, retirável (com mesma facilidade com que foi dado).

Direitos do titular

Encarregado de Protecção de Dados (DPO)

Obrigatório em: - Autoridades públicas. - Empresas com monitorização sistemática em larga escala. - Tratamento em larga escala de dados sensíveis.

Funções: aconselhar, monitorizar conformidade, ponto de contacto com autoridade.

Categorias especiais de dados

Tratamento proibido por defeito, com excepções: - Origem racial/étnica. - Opiniões políticas, religião, filosofia. - Filiação sindical. - Dados genéticos, biométricos. - Saúde. - Vida ou orientação sexual.

Notificação de violações

Autoridade (CNPD) em 72 horas após conhecimento. Titular sem demora injustificada se risco elevado.

Coimas

Dois escalões: - Até 10 milhões € ou 2% do volume de negócios anual mundial. - Até 20 milhões € ou 4% do volume de negócios anual mundial.

Em Portugal, CNPD (Comissão Nacional de Protecção de Dados) é a autoridade competente.

Legislação portuguesa

Gestão de risco

Activos

Identificar o que se quer proteger: - Dados (BD, ficheiros). - Serviços (web, email). - Equipamento. - Pessoas. - Reputação.

Ameaças

Vulnerabilidades

Fraquezas que ameaças exploram: - Software desactualizado. - Senhas fracas. - Falta de backup. - Funcionários sem formação.

Avaliação

Risco = Probabilidade × Impacto.

Improvável Possível Provável Quase certo
Insignificante 1 2 3 4
Menor 2 4 6 8
Moderada 3 6 9 12
Maior 4 8 12 16
Catastrófica 5 10 15 20

Tratamento

4 opções para cada risco: 1. Mitigar — implementar controlo que reduz probabilidade ou impacto. 2. Transferir — seguro, terceirização. 3. Aceitar — risco baixo, custo de mitigar > impacto. 4. Evitar — eliminar actividade que gera o risco.

Políticas e procedimentos

Política de uso aceitável (AUP)

O que pode/não pode fazer com equipamento e contas da organização.

Cobre: - Uso pessoal admissível. - Software permitido instalar. - Conteúdos proibidos. - Monitorização (notificada). - Sanções.

Política de senhas

Política de backup

Política BYOD

Uso de dispositivo pessoal para trabalho: - Inscrição obrigatória em MDM (Mobile Device Management). - Encriptação obrigatória. - Apagamento remoto autorizado. - Separação de dados pessoais e profissionais.

Acesso remoto

Formação e cultura

A maioria dos incidentes envolve componente humana. Tecnologia sem cultura é insuficiente.

Acções: - Formação na admissão. - Refrescos anuais. - Simulações de phishing. - Newsletters e dicas regulares. - Canal seguro para reportar suspeitas. - Cultura blameless — comunicar erros sem represália.

Resposta a incidentes

NIST IR Lifecycle

  1. Preparação — políticas, contactos, ferramentas, runbooks prontos antes do incidente.

  2. Detecção e análise — alertas, logs, triagem. É realmente incidente? Que severidade?

  3. Contenção — isolar máquina afectada, bloquear conta comprometida.

  4. Erradicação — remover malware, fechar vulnerabilidade.

  5. Recuperação — restaurar a partir de backups, verificar integridade.

  6. Lições aprendidas — post-mortem documentado, melhorias implementadas.

Equipa CSIRT

Computer Security Incident Response Team. Pode ser interna, externa contratada, ou híbrida.

Papéis típicos: - Lead (coordena). - Analista forense (investiga). - Comunicação (stakeholders, comunicação social). - Legal. - Técnico (executar acções).

Phishing · resposta

  1. Não clicar / não responder.
  2. Reportar pelo canal definido (ex.: encaminhar para seguranca@empresa.pt).
  3. Equipa IT analisa, bloqueia remetente, alerta resto da organização.
  4. Se houve interacção (cliques, credenciais), agir como compromisso.

Ransomware

  1. Isolar máquina afectada (desligar rede).
  2. Não pagar — incentiva mais ataques, não garante recuperação.
  3. Notificar autoridades (PJ, CERT.PT, CNPD se houver dados pessoais).
  4. Restaurar de backup.
  5. Investigar vector de entrada (phishing? RDP exposto? vulnerabilidade?).
  6. Post-mortem e melhorias.

Apêndices

A · Glossário

AUP. Acceptable Use Policy. CIA. Confidentiality, Integrity, Availability. CSIRT. Computer Security Incident Response Team. DPO. Data Protection Officer. RGPD/GDPR. Regulamento Geral de Protecção de Dados. SGSI. Sistema de Gestão de Segurança da Informação.

B · Recursos