Saltar para o conteúdo principal da página
Você está aqui

Segurança de Informação Área Técnica

Atualização26.10.2023
Nesta página
DefiniçãoBenefíciosEstratégiaPrincípios de SegurançaBoas práticasGuias práticosFerramenta de avaliaçãoLegislação e regulamentosCertificaçãoContactosMosaicos relacionados

Definição

Do que trata esta Área Técnica?

A Segurança da informação é um pilar base das Tecnologias da Informação e da Comunicação (TIC). Está presente em todas as etapas de um processo e em todos os locais de uma organização. Compreende não só a componente técnica de infraestrutura, sistemas e comunicações, mas igualmente a componente física que salvaguarda a segurança das instalações físicas protegendo contra todos os eventos que podem ocorrer, desde um terramoto a um assalto.

O acrónimo "CIA" é frequentemente utilizado para representar os três pilares da segurança da informação:

  • Confidencialidade - manter os dados secretos e garantir que apenas as entidades autorizadas podem aceder aos seus ficheiros e contas;
  • Integridade - garantir que as informações permanecem intactas e que ninguém insere, modifica ou elimina os dados sem permissão;
  • Disponibilidade - garantir que a informação é acedida pela entidade autorizada sempre que queira.

Existem ainda 3 outras propriedades que são muito importantes:

  • Autenticidade - garante que a informação provém de quem a deve enviar (não de uma terceira parte) e só é acessível pelos indivíduos a quem foi dado o acesso;
  • Confiabilidade - garante que a informação é proveniente de uma fonte confiável;
  • Não-repúdio - garante que a ação foi efetuada por determinada pessoa e que por isso ela não pode negar tê-la efetuado (ou ter recebido certa informação). Por exemplo, a pessoa não poder negar que assinou um documento.

Podemos identificar algumas áreas de segurança como a segurança de infraestrutura, redes e aplicações. Seguem-se alguns exemplos associados a cada área:

  • Segurança de infraestrutura - A segurança de infraestrutura pode ser assegurada através do controlo de acesso, atualizações de firmwares, atualizações de gestão de informação, atualizações de antivírus, entre outros;
  • Segurança de rede - A segurança de rede pode ser garantida com a utilização de firewalls ou até utilização de VPN’s, entre outros;
  • Segurança de aplicações - Segurança de aplicações são medidas de segurança que impedem que os dados e/ou o código que compõe a aplicação sejam roubados ou sequestrados. Envolve todas as considerações de segurança, desde as que surgem no início, durante o desenvolvimento e o projeto da aplicação, até às que garantem a sua proteção após a implementação.

Benefícios

Porque que é importante?

Com a transformação digital, a perda de determinados dados e informações pode comprometer profundamente os processos de trabalho e o funcionamento dos serviços. A adoção de práticas de cibersegurança é uma via importante para elevar o nível de segurança de uma entidade, uma vez que se reduzem os riscos e aumenta a proteção contra incidentes e ciberataques. A segurança da informação é extremamente relevante para uma organização ou mesmo para um indivíduo pois:

  • Disponibiliza os processos e técnicas que minimizam o risco de quebra dos pilares e propriedades indicadas em cima;
  • Disponibiliza as metodologias e tecnologias que permitem a proteção da informação dentro do ciberespaço;
  • Permite através da definição de processos de continuidade de negócio que os processos e atividades essenciais da organização continuem a funcionar, mesmo após um ciberataque, através da implementação de processos e atividades que permitem reagir ao ciberataque e promovem a resiliência dos sistemas e processos de uma organização;
  • A segurança começa no utilizador, por isso, um dos aspetos principais da segurança da informação é a formação e sensibilização dos utilizadores de forma a reduzir os riscos inerentes ao fator humano;
  • Obriga a um inventário de ativos, permitindo a sua categorização por grau de importância e o levantamento dos riscos associados a cada ativo, e a identificação das medidas de mitigação para cada risco identificado;
  • Promove uma gestão por risco na organização que é uma das melhores metodologias de gestão da segurança da informação, permitindo à gestão de topo um conhecimento integrado do funcionamento desta área;
  • Cria uma vantagem competitiva, uma vez que assegura confiança;
  • Permite que os colaboradores trabalhem em segurança, formando os utilizadores e sensibilizando-os;
  • Disponibiliza ferramentas que permitem uma monitorização, em tempo real, para deteção antecipada de ciberataques.

Estratégia

Qual a visão da Segurança de Informação na AP?

A Administração Pública tem um papel fundamental na cibersegurança dos serviços portugueses, uma vez que, presta serviços muito importantes para o funcionamento da sociedade. A Administração Pública e a sua cibersegurança afetam todos os cidadãos, direta ou indiretamente.

A Estratégia para a Transformação Digital da Administração Pública 2021-2026, publicada na RCM 131/2021 de 10 de setembro, possui uma linha estratégica dedicada à Segurança e Confiança demonstrando a importância dada a este tema.

Segundo o link_1f517 Relatório de Cibersegurança em Portugal sobre o tema Sociedade 2022 (versão resumida), elaborado em dezembro de 2022, pelo Centro Nacional Cibersegurança (CNCS), e baseado em dados fornecidos pela Direção-Geral de Estatística da Educação e Ciência (DGEEC), verificou-se que: a percentagem de organismos da Administração Pública com uma estratégia para a segurança de informação definida diminuiu em 2021, comparando com 2020, fixando-se em 59%; existem mais organismos da Administração Pública, em 2021, a indicarem ter elevada necessidade de reforço de competências em segurança das TIC, fixando-se em 69%; o número de entidades da Administração Pública com recomendações documentadas sobre medidas, práticas ou procedimentos de segurança das TIC aumentou em 2021, verificando-se em 47% das mesmas.

Princípios de Segurança

O que é necessário fazer?

Security by Default é uma abordagem holística para resolver problemas de segurança na causa raiz. A expressão Security by Default não é um conjunto de requisitos para se atingir conformidade, é mais uma filosofia onde quando adotados alguns dos princípios desta filosofia o serviço encontra-se mais seguro a novas ameaças, com um melhor desempenho e maios usabilidade.

O conceito Security by Design é uma abordagem para o desenvolvimento de software e hardware que visa tornar os sistemas livres de vulnerabilidades e imunes a ataques quer através da implementação de medidas, implementando as melhores práticas de programação, quer através da realização de testes. Security by Design, em programação, significa que os serviços digitais foram projetados para serem fundamentalmente seguros.

O Privacy by Design é um conceito-chave nas leis de proteção de dados. Embora já exista há algum tempo, desde a década de 1990, só recentemente é que ganhou popularidade após a implementação do Regulamento Geral sobre a Proteção de Dados da UE (União Europeia).

A lógica do Privacy by Design é de que a privacidade não pode ser garantida simplesmente pela adesão a normas. Em vez disso, as empresas devem fazer da garantia de privacidade o seu modo de operação-padrão. Um utilizador de produto ou serviço não deve ser obrigado a agir de modo a proteger a sua privacidade.

Boas práticas

O que seria interessante fazer?

Devemos começar por elaborar uma estratégia para a segurança da informação dentro da nossa organização. Esta estratégia passa pela implementação dos controlos presentes nas normas internacionais da área, como, por exemplo, a norma ISO 27001, ou pela implementação do Quadro Nacional de Referência para a Cibersegurança (QNRCS).

Contudo, se partirmos do zero, podemos e devemos proceder à implementação de processos ou ferramentas que nos permitam um ganho significativo no aumento do nosso nível de cibersegurança (quick wins). Por exemplo:

Implementar uma autenticação multifator

Implementar uma autenticação multifator, de modo a proporcionar um nível adicional de segurança, uma vez que está demonstrado que muitos dos ataques cibernéticos são causados pelo comprometimento de contas.

Sensibilizar todos os funcionários

Sensibilizar e formar todos os funcionários na área da ciberhigiene e segurança da informação, de modo a aumentar a resiliência da sua entidade relativamente às ameaças no ciberespaço.

Implementar técnicas para o tratamento de dados

Implementar técnicas e procedimentos para os tratamentos de dados e proteção da informação de dados pessoais, que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.

Realizar testes de intrusão

Realizar testes de intrusão. Estas simulações de ataques cibernéticos a sistemas informáticos ajudam a descobrir pontos de exploração e a testar a segurança dos sistemas contra violações. 

Utilizar as ferramentas disponibilizadas pelo CNCS

Utilizar ferramentas disponibilizadas pelo CNCS, e respetivas recomendações técnicas, para garantir o cumprimento com standards e boas práticas por parte da sua entidade e dos seus serviços.

Realizar um processo de gestão dos riscos

Identificar, analisar, avaliar e tratar os riscos de cibersegurança, de modo a definir e implementar medidas e controlos de segurança ao nível técnico e organizativo, promovendo melhorias na gestão dos riscos.

Guias práticos

Como fazer algo específico?

Explore os guias práticos do Mosaico com passos e orientações detalhadas sobre como fazer algo em específico.
Quadro Nacional de Referência para a Cibersegurança
Roteiro para as Capacidades Mínimas de Cibersegurança
Guia de Gestão dos Riscos

Ferramenta de avaliação

Como avaliar a qualidade da implementação das capacidades de cibersegurança?

O CNCS disponibilizou o link_1f517 Quadro de Avaliação de Capacidades de Cibersegurança, em forma de complemento ao QNRCS, lançado em junho de 2019. O documento destinado a organizações públicas e privadas pretende que ambas sejam capazes de autoavaliar as suas capacidades em cibersegurança e de cumprimento dos seus 5 objetivos: identificar, proteger, detetar, responder e recuperar, tendo em conta o seu contexto e a sua dimensão.

Inicial, intermédio e avançado são os três níveis de capacidade apresentados no documento para cada uma das medidas de cibersegurança presentes no QNRCS, por forma a orientar as empresas a desenvolver competências de deteção, reação e organização das suas capacidades de cibersegurança.

Legislação e regulamentos

O que é obrigatório cumprir?

Regulamento Europeu para a proteção de dados pessoais

Estabelece as regras a nível europeu para proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Consultar Regulamento (UE) 2016/679

Normas para a proteção e tratamento de dados pessoais

Assegura a execução, na ordem jurídica nacional, do Regulamento (UE) 2016/679 do Parlamento e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados.

Consultar Lei n.º 58/2019

Orientações técnicas de arquitetura de segurança para a proteção de dados pessoais

Proteção de dados pessoais. Define orientações técnicas para a Administração Pública em matéria de arquitetura de segurança das redes/sistemas de informação e procedimentos a adotar de modo a cumprir as normas do RGPD.

Consultar RCM n.º 41/2018

Regime Jurídico da Segurança do Ciberespaço e legislação associada

Regime jurídico da segurança do ciberespaço, que transpõe a Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de 2016, relativa a medidas destinadas a garantir um elevado nível comum de segurança das redes e da informação em toda a União, e regulamentação associada, incluindo a definição das obrigações em matéria de certificação da cibersegurança em execução do Regulamento (UE) 2019/881 do Parlamento Europeu, de 17 de abril de 2019.  

Para complementar este Decreto-Lei consulte também a link_1f517 Lei n.º 46/2018, de 13 de agosto, que estabelece o regime jurídico da segurança do ciberespaço e o link_1f517 Regulamento n.º 183/2021, que configura instrução técnica relativa a comunicações entre as entidades e o Centro Nacional de Cibersegurança.

Consultar Decreto-Lei n.º 65/2021

Certificação

Que certificações são adequadas?

Todas as entidades devem assegurar uma correta implementação das normas e dos regulamentos. É através da certificação que sabemos o que estamos a fazer bem, onde temos falhas que temos de colmatar e quais as melhorias que temos de endereçar para sermos cada vez mais ciberresilientes. A obtenção de certificações fornece confiança à gestão de topo do estado da arte nesta área e permite igualmente demonstrar onde deve existir mais investimento.

Sendo assim, cada entidade deve assegurar quais as certificações ou normas necessárias e apropriadas. Entre as várias certificações existentes no link_1f517 Centro Nacional de Cibersegurança, destacam-se:

Quadro Nacional de Referência para a Cibersegurança (QNRCS)

A certificação no EC QNRCS dirige-se a entidades com especiais responsabilidades em Cibersegurança. Permite diversos graus de certificação, sendo possível começar pelo nível Básico, evoluir para o Substancial e progredir até ao Elevado.
QNRCS

Selo de maturidade digital

Certificação distribuída em três níveis: Bronze, Prata e Ouro, destinado com especial enfoque nas micro, pequenas e médias empresas (PME).
Selo de maturidade digital

Contactos

Com quem posso falar?

Precisa de reportar um incidente?

Qualquer incidente deve ser reportado através do formulário online disponibilizado pelo CNCS:

link_1f517 Preencher a Notificação de Incidentes

Caso a entidade não tenha a possibilidade de preencher o formulário online, ou se depare com a indisponibilidade deste, a notificação poderá ser efetuada, a título excecional, através de:

  • cert@cert.pt;
  • (+351) 210 497 399;
  • (+351) 910 599 284 (24/7).

A notificação de incidentes ao Centro Nacional de Cibersegurança não se substitui à comunicação à autoridade judiciária ou ao órgão de polícia criminal competente quando esses incidentes configurem também um ilícito criminal cujo procedimento penal dependa de queixa ou de acusação particular.

Caso as entidades pretendam enviar a notificação protegida por método criptográfico, podem proteger a informação utilizando a link_1f517 chave pública de PGP, associada ao endereço de correio eletrónico.

Tem uma dúvida sobre o regime jurídico da segurança do ciberespaço?

Consulte a link_1f517 secção de Perguntas mais frequentes (FAQ) no sítio web do CNCS. Caso não encontre a resposta à sua questão ou permaneça com alguma dúvida, contacte o CNCS através do endereço de correio eletrónico segciber@cncs.gov.pt.

A sua organização está interessada em certificar-se ou em tornar-se um organismo de certificação em cibersegurança e precisa de mais informações?

Contacte o CNCS através do endereço de correio eletrónico certificaciber@cncs.gov.pt.