UC00613 · Segurança em sistemas de informação
Aulify · Componente Tecnológica

Segurança em sistemas de informação

Políticas, RGPD, gestão de risco, incidentes
UC00613 · 25 horas · 2,25 pontos Nível 4 · TDS · Ano 2
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Resultados de aprendizagem

  1. Aplicar princípios de segurança da informação (CIA).
  2. Compreender RGPD e legislação aplicável.
  3. Implementar políticas e procedimentos.
  4. Responder a incidentes.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Princípios e normas

Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Tríade CIA

Confidencialidade — só quem deve, acede.
Integridade — dados não alterados sem autorização.
Disponibilidade — disponível quando preciso.

Toda a segurança gira em torno destes 3 pilares.

Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Normas e standards

  • ISO/IEC 27001 — gestão da segurança da informação.
  • ISO/IEC 27002 — controlos de segurança.
  • NIST CSF — cybersecurity framework.
  • CIS Controls — top 18 práticas prioritárias.

Servem de guia, certificação e benchmark.

Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

RGPD

Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

RGPD em 3 minutos

Regulamento Geral de Protecção de Dados (UE 2016/679, em vigor 2018).

Aplica-se a qualquer organização que trate dados pessoais de cidadãos UE.

Princípios:

  1. Licitude, lealdade, transparência.
  2. Limitação da finalidade.
  3. Minimização dos dados.
  4. Exactidão.
  5. Limitação da conservação.
  6. Integridade e confidencialidade.
  7. Responsabilidade.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Direitos do titular

  • Informação — saber o que é tratado.
  • Acesso — receber cópia dos dados.
  • Rectificação — corrigir erros.
  • Apagamento ("ser esquecido").
  • Limitação do tratamento.
  • Portabilidade — exportar dados.
  • Oposição ao tratamento.
  • Decisões automatizadas — direito a revisão humana.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Bases legais

Tratamento só é legal com uma base:

  1. Consentimento explícito.
  2. Execução de contrato.
  3. Obrigação legal.
  4. Interesses vitais.
  5. Interesse público.
  6. Interesse legítimo (com balanço).
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Coimas

Até 20 milhões € ou 4% do volume de negócios anual, o que for maior.

CNPD (Comissão Nacional de Protecção de Dados) é a autoridade portuguesa.

Notificação de violações: 72h após conhecimento.

Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Gestão de risco

Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Avaliação de risco

Para cada activo (dados, servidores, processos):

  1. Identificar ameaças (ataques, falhas, desastres).
  2. Avaliar vulnerabilidades.
  3. Calcular risco = probabilidade × impacto.
  4. Mitigar, transferir, aceitar ou evitar.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Matriz simples

Severidade \ Prob. Improvável Possível Provável
Baixa 1 2 3
Média 2 4 6
Alta 3 6 9
  • 1-2 aceitar.
  • 3-4 mitigar quando possível.
  • 6-9 acção obrigatória.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Políticas

Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Políticas típicas

  • Política de uso aceitável (AUP) — o que pode/não pode com equipamento da empresa.
  • Política de senhas — comprimento, MFA, rotação.
  • Política de backup — frequência, retenção, teste de restauro.
  • BYOD — dispositivos pessoais ao trabalho.
  • Acesso remoto — VPN, MFA, ligações restritas.
  • Resposta a incidentes — quem chamar, como reagir.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Formação e cultura

Tecnologia não chega. 80% dos incidentes têm componente humana (phishing, erro, partilha de senhas).

  • Formação de novos colaboradores.
  • Simulações de phishing periódicas.
  • Newsletters / lembretes.
  • Cultura "speak up" — comunicar incidentes sem medo de represália.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Incidentes

Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Resposta a incidente

NIST IR Lifecycle:

  1. Preparação — políticas, contactos, ferramentas prontas.
  2. Detecção e análise — logs, alertas.
  3. Contenção — isolar, conter dano.
  4. Erradicação — remover causa raiz.
  5. Recuperação — restaurar serviços.
  6. Lições aprendidas — post-mortem.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação

Ransomware · cenário comum 2026

  1. Não pagar — encoraja mais ataques; não há garantia.
  2. Isolar máquina infectada.
  3. Notificar autoridades (PJ Polícia Judiciária, CERT.PT).
  4. Restaurar de backup (testado e isolado).
  5. Comunicar a stakeholders e (se dados pessoais) CNPD em 72h.
  6. Post-mortem completo.
Aulify · Componente Tecnológica · Cursos Profissionais
UC00613 · Segurança em sistemas de informação
Aulify · UC00613 · Fim

A segurança é um processo, não um produto.

📧 geral@aulify.pt
Aulify · Componente Tecnológica · Cursos Profissionais