Segurança em sistemas de informação
Apresentação
UC00613 (25h · 2,25 pts) aborda a vertente organizacional da segurança da informação: princípios CIA, legislação (RGPD), gestão de risco, políticas, formação, resposta a incidentes. Complementar à UC02836 (segurança no desenvolvimento).
Princípios CIA
A tríade clássica:
- Confidencialidade — informação acessível só a quem está autorizado.
- Integridade — informação não pode ser alterada sem autorização ou registo.
- Disponibilidade — informação acessível quando necessária.
Toda decisão de segurança equilibra estes três. Aumentar um pode prejudicar outro: encriptação forte (confidencialidade) torna recuperação mais difícil se chave se perde (disponibilidade).
Modelos posteriores adicionam: - Autenticidade — provar identidade da fonte. - Não-repúdio — não poder negar autoria. - Responsabilização — rastreabilidade.
Normas e frameworks
ISO/IEC 27001
Norma internacional de Sistema de Gestão da Segurança da Informação (SGSI). Define processo cíclico: - Plan-Do-Check-Act. - Identificação de activos, ameaças, vulnerabilidades. - Tratamento de risco. - Auditoria contínua.
Permite certificação, exigida em sectores regulados (banca, saúde, telecom).
NIST CSF
Framework do NIST (EUA), 5 funções: 1. Identify — conhecer activos e riscos. 2. Protect — controlos preventivos. 3. Detect — monitorização. 4. Respond — reagir a incidentes. 5. Recover — restaurar operações.
CIS Controls
Lista priorizada de 18 controlos práticos (v8). Excelente ponto de partida para PMEs sem recursos para ISO completa.
RGPD
Visão geral
Regulamento (UE) 2016/679, em vigor desde 25 Maio 2018. Aplica-se a qualquer organização que trate dados pessoais de cidadãos da UE, independentemente da sua localização.
Dados pessoais = qualquer informação relativa a pessoa singular identificada ou identificável: nome, email, NIF, geolocalização, IP, dados biométricos.
Princípios fundamentais
- Licitude, lealdade e transparência — tratamento com base legal, leal, sem enganar o titular.
- Limitação da finalidade — recolhidos para fins específicos.
- Minimização — só os dados necessários para a finalidade.
- Exactidão — actualizados, sem erros.
- Limitação da conservação — apagados quando deixam de ser necessários.
- Integridade e confidencialidade — segurança apropriada.
- Responsabilidade — entidade tem de demonstrar conformidade.
Bases legais
Tratamento só é lícito se assenta em pelo menos uma destas seis bases:
| Base | Exemplo |
|---|---|
| Consentimento | Newsletter |
| Contrato | Encomenda |
| Obrigação legal | Faturação |
| Interesses vitais | Médico em emergência |
| Interesse público | Estatística oficial |
| Interesse legítimo | Anti-fraude |
Consentimento tem requisitos rigorosos: livre, específico, informado, retirável (com mesma facilidade com que foi dado).
Direitos do titular
- Informação prévia (Art. 13/14).
- Acesso aos seus dados (Art. 15).
- Rectificação (Art. 16).
- Apagamento ("direito ao esquecimento", Art. 17).
- Limitação do tratamento (Art. 18).
- Portabilidade — receber dados em formato estruturado (Art. 20).
- Oposição (Art. 21).
- Não ser sujeito a decisões automatizadas (Art. 22).
Encarregado de Protecção de Dados (DPO)
Obrigatório em: - Autoridades públicas. - Empresas com monitorização sistemática em larga escala. - Tratamento em larga escala de dados sensíveis.
Funções: aconselhar, monitorizar conformidade, ponto de contacto com autoridade.
Categorias especiais de dados
Tratamento proibido por defeito, com excepções: - Origem racial/étnica. - Opiniões políticas, religião, filosofia. - Filiação sindical. - Dados genéticos, biométricos. - Saúde. - Vida ou orientação sexual.
Notificação de violações
Autoridade (CNPD) em 72 horas após conhecimento. Titular sem demora injustificada se risco elevado.
Coimas
Dois escalões: - Até 10 milhões € ou 2% do volume de negócios anual mundial. - Até 20 milhões € ou 4% do volume de negócios anual mundial.
Em Portugal, CNPD (Comissão Nacional de Protecção de Dados) é a autoridade competente.
Legislação portuguesa
- Lei 58/2019 — execução do RGPD em Portugal.
- Lei 41/2004 — privacidade nas comunicações electrónicas.
- DL 7/2004 — comércio electrónico.
- Lei 109/2009 — cibercrime.
Gestão de risco
Activos
Identificar o que se quer proteger: - Dados (BD, ficheiros). - Serviços (web, email). - Equipamento. - Pessoas. - Reputação.
Ameaças
- Naturais — incêndio, inundação, terramoto.
- Acidentais — erro humano, falha de hardware.
- Intencionais — ataque externo, sabotagem interna.
Vulnerabilidades
Fraquezas que ameaças exploram: - Software desactualizado. - Senhas fracas. - Falta de backup. - Funcionários sem formação.
Avaliação
Risco = Probabilidade × Impacto.
| Improvável | Possível | Provável | Quase certo | |
|---|---|---|---|---|
| Insignificante | 1 | 2 | 3 | 4 |
| Menor | 2 | 4 | 6 | 8 |
| Moderada | 3 | 6 | 9 | 12 |
| Maior | 4 | 8 | 12 | 16 |
| Catastrófica | 5 | 10 | 15 | 20 |
Tratamento
4 opções para cada risco: 1. Mitigar — implementar controlo que reduz probabilidade ou impacto. 2. Transferir — seguro, terceirização. 3. Aceitar — risco baixo, custo de mitigar > impacto. 4. Evitar — eliminar actividade que gera o risco.
Políticas e procedimentos
Política de uso aceitável (AUP)
O que pode/não pode fazer com equipamento e contas da organização.
Cobre: - Uso pessoal admissível. - Software permitido instalar. - Conteúdos proibidos. - Monitorização (notificada). - Sanções.
Política de senhas
- Mínimo 12 caracteres.
- MFA obrigatório em sistemas críticos.
- Bloqueio após N tentativas.
- Sem reutilização entre serviços (password manager).
- Sem expiração forçada (recomendação NIST).
Política de backup
- Regra 3-2-1: 3 cópias, 2 suportes, 1 fora do edifício.
- Frequência conforme criticidade (horário vs diário vs semanal).
- Teste de restauro periódico — backup não testado não é backup.
- Backups imutáveis para defesa contra ransomware.
Política BYOD
Uso de dispositivo pessoal para trabalho: - Inscrição obrigatória em MDM (Mobile Device Management). - Encriptação obrigatória. - Apagamento remoto autorizado. - Separação de dados pessoais e profissionais.
Acesso remoto
- VPN obrigatória.
- MFA na VPN.
- Sessões com timeout.
- Logs de tudo.
Formação e cultura
A maioria dos incidentes envolve componente humana. Tecnologia sem cultura é insuficiente.
Acções: - Formação na admissão. - Refrescos anuais. - Simulações de phishing. - Newsletters e dicas regulares. - Canal seguro para reportar suspeitas. - Cultura blameless — comunicar erros sem represália.
Resposta a incidentes
NIST IR Lifecycle
-
Preparação — políticas, contactos, ferramentas, runbooks prontos antes do incidente.
-
Detecção e análise — alertas, logs, triagem. É realmente incidente? Que severidade?
-
Contenção — isolar máquina afectada, bloquear conta comprometida.
-
Erradicação — remover malware, fechar vulnerabilidade.
-
Recuperação — restaurar a partir de backups, verificar integridade.
-
Lições aprendidas — post-mortem documentado, melhorias implementadas.
Equipa CSIRT
Computer Security Incident Response Team. Pode ser interna, externa contratada, ou híbrida.
Papéis típicos: - Lead (coordena). - Analista forense (investiga). - Comunicação (stakeholders, comunicação social). - Legal. - Técnico (executar acções).
Phishing · resposta
- Não clicar / não responder.
- Reportar pelo canal definido (ex.: encaminhar para
seguranca@empresa.pt). - Equipa IT analisa, bloqueia remetente, alerta resto da organização.
- Se houve interacção (cliques, credenciais), agir como compromisso.
Ransomware
- Isolar máquina afectada (desligar rede).
- Não pagar — incentiva mais ataques, não garante recuperação.
- Notificar autoridades (PJ, CERT.PT, CNPD se houver dados pessoais).
- Restaurar de backup.
- Investigar vector de entrada (phishing? RDP exposto? vulnerabilidade?).
- Post-mortem e melhorias.
Apêndices
A · Glossário
AUP. Acceptable Use Policy. CIA. Confidentiality, Integrity, Availability. CSIRT. Computer Security Incident Response Team. DPO. Data Protection Officer. RGPD/GDPR. Regulamento Geral de Protecção de Dados. SGSI. Sistema de Gestão de Segurança da Informação.
B · Recursos
- CNPD · cnpd.pt
- CERT.PT · cert.pt — Centro Nacional de Cibersegurança.
- OWASP · owasp.org
- ENISA · enisa.europa.eu
- NIST CSF · nist.gov/cyberframework