Saltar para o conteúdo principal da página
Você está aqui

Segurança de Informação

Área Técnica
Atualização15.05.2026
Nesta página
DefiniçãoBenefíciosEstratégiaPrincípios de SegurançaLegislação e regulamentosBoas práticasGuias práticosFerramenta de avaliaçãoCertificaçãoContactosConteúdos relacionados

Definição

Do que trata esta Área Técnica?

É um pilar-base das Tecnologias da Informação e da Comunicação (TIC). Está presente em todas as etapas de um processo e em todos os locais de uma organização. Abrange não só a componente técnica de infraestrutura, sistemas e comunicações, mas também a componente física que salvaguarda a segurança das instalações físicas, ao protegero contra todos os eventos que podem ocorrer, desde um terramoto a um assalto.

O acrónimo CIA é utilizado para representar os três pilares da segurança da informação:

  • Confidencialidade manter dados secretos e garantir que apenas as entidades autorizadas podem aceder aos seus ficheiros e contas
  • Integridade – garantir que as informações permanecem intactas e que ninguém insere, modifica ou elimina os dados sem permissão
  • Disponibilidade – garantir que a informação é acedida pela entidade autorizada sempre que queira

Existem ainda três outras propriedades muito importantes:

  • Autenticidade – garantir que a informação provém de quem a deve enviar (não de uma terceira parte) e só é acessível pelos indivíduos a quem foi dado o acesso
  • Confiabilidade assegurar que a informação é proveniente de uma fonte confiável
  • Não-repúdio – garantir que a ação foi feita por determinada pessoa e que por isso ela não pode negar tê-la feito (ou ter recebido certa informação). Por exemplo, a pessoa não poder negar que assinou um documento

Podemos identificar áreas de segurança como a de infraestrutura, redes e aplicações. Seguem-se alguns exemplos associados a cada área:

  • Segurança de infraestrutura assegurar através do controlo de acesso; atualizações de firmwares, de gestão de informação, de antivírus; entre outros
  • Segurança de rede garantir com a utilização de firewalls ou até utilização de VPN, entre outros
  • Segurança de aplicações impedir que os dados e/ou o código que compõe a aplicação sejam roubados ou sequestrados. Envolve todas as considerações de segurança, desde as que surgem no início, durante o desenvolvimento e o projeto, até às que garantem a proteção após a implementação

Benefícios

Por que é importante?

Com a transformação digital, a perda de dados e informação pode comprometer os processos de trabalho e o funcionamento dos serviços. A adoção de práticas de cibersegurança é importante para elevar o nível de segurança de uma entidade, uma vez que se reduzem os riscos e aumenta a proteção contra incidentes e ciberataques. A segurança da informação é extremamente relevante para uma organização ou mesmo para um indivíduo, pois:

  • Proporciona os processos e técnicas que minimizam o risco de quebra dos pilares e propriedades
  • Disponibiliza metodologias e tecnologias que permitem proteger a informação no ciberespaço
  • Possibilita, através da definição de processos de continuidade de negócio, que os processos e atividades essenciais da organização continuem a funcionar, mesmo após um ciberataque, através da implementação de processos e atividades que permitem reagir e promovem a resiliência dos sistemas e processos de uma organização
  • A segurança começa no utilizador, por isso, um dos aspetos principais da segurança da informação é a formação e a sensibilização dos utilizadores de forma a reduzir os riscos inerentes ao fator humano
  • Forma e sensibiliza os utilizadores, no sentido de os capacitar
  • Obriga a um inventário de ativos, ao permitir a categorização por grau de importância, o levantamento dos riscos associados a cada ativo, e identificar as medidas de mitigação para cada risco identificado
  • Promove a gestão por risco na organização, uma das melhores metodologias de gestão de segurança da informação, o que permite à gestão de topo um conhecimento integrado do funcionamento desta área
  • Cria uma vantagem competitiva, uma vez que assegura confiança
  • Permite que os colaboradores trabalhem em segurança, forma os utilizadores e sensibiliza-os
  • Disponibiliza ferramentas que permitem uma monitorização, em tempo real, para deteção antecipada de ciberataques

Estratégia

Qual a visão da Segurança de Informação na Administração Pública?

A Administração Pública (AP) tem um papel fundamental na cibersegurança dos serviços portugueses, dado que presta serviços importantes para o funcionamento da sociedade. A AP e a sua cibersegurança afetam todas as pessoas, de forma direta ou indireta.

A Estratégia para a Transformação Digital da Administração Pública 2021-2026, publicada na Resolução do Conselho de Ministros 131/2021 de 10 de setembro, tem uma linha estratégica dedicada à Segurança e Confiança, que demonstra a importância dada a este tema.

Princípios de Segurança

O que é necessário fazer?

Security by default é uma abordagem holística para resolver problemas de segurança na causa raiz. Não é um conjunto de requisitos para se atingir conformidade, é mais uma filosofia onde, quando adotados alguns dos princípios, o serviço fica mais seguro perante novas ameaças, com um melhor desempenho e maior usabilidade.

O conceito security by design é uma abordagem para o desenvolvimento de software e hardware que visa tornar os sistemas livres de vulnerabilidades e imunes a ataques, quer através da implementação de medidas, ao implementar as melhores práticas de programação, quer através da realização de testes. Em programação significa que os serviços digitais foram projetados para serem seguros.

Privacy by design é um conceito-chave nas leis de proteção de dados. Embora já exista há algum tempo, desde a década de 1990, só ganhou popularidade após a implementação do Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia.

A lógica de privacy by design é de que a privacidade não pode ser garantida só pela adesão a normas. Em vez disso, as empresas devem fazer da garantia de privacidade o seu modo de operação-padrão. Um utilizador de produto ou serviço não deve ser obrigado a agir de modo a proteger a sua privacidade.

Legislação e regulamentos

O que é obrigatório cumprir?

Regulamento (UE) 2016/679

Regulamento Europeu para a proteção de dados pessoais.
Leia mais sobre a legislação

Lei n.º 58/2019, de 8 de agosto

Normas para a proteção e tratamento de dados pessoais.
Leia mais sobre a legislação

RCM n.º 41/2018

Orientações técnicas de arquitetura de segurança para a proteção de dados pessoais.
Leia mais sobre a legislação

Lei n.º 46/2018, de 13 de agosto

Regime jurídico da segurança do Ciberespaço, transpondo a Diretiva (UE) 2016/1148
Leia mais sobre a legislação

Boas práticas

O que é interessante fazer?

Implementar uma autenticação multifator

Implementar uma autenticação multifator, de modo a proporcionar um nível adicional de segurança, uma vez que está demonstrado que muitos dos ataques cibernéticos são causados pelo comprometimento de contas.

Sensibilizar todos os funcionários

Sensibilizar e formar todos os funcionários na área da ciberhigiene e segurança da informação, de modo a aumentar a resiliência da sua entidade relativamente às ameaças no ciberespaço.

Implementar técnicas para o tratamento de dados

Implementar técnicas e procedimentos para os tratamentos de dados e proteção da informação de dados pessoais, que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques a sistemas de informação.

Realizar testes de intrusão

Realizar testes de intrusão. Estas simulações de ataques cibernéticos a sistemas informáticos ajudam a descobrir pontos de exploração e a testar a segurança dos sistemas contra violações. 

Utilizar as ferramentas disponibilizadas pelo CNCS

Utilizar ferramentas disponibilizadas pelo CNCS, e respetivas recomendações técnicas, para garantir o cumprimento com standards e boas práticas por parte da sua entidade e dos seus serviços.

Realizar um processo de gestão dos riscos

Identificar, analisar, avaliar e tratar os riscos de cibersegurança, de modo a definir e implementar medidas e controlos de segurança ao nível técnico e organizativo, ao promover melhorias na gestão dos riscos.

Guias práticos

Como fazer algo específico?

Encontre orientações passo a passo para realizar tarefas específicas no contexto dos serviços públicos digitais.
Quadro Nacional de Referência para a Cibersegurança
Roteiro para as Capacidades Mínimas de Cibersegurança
Guia de Gestão dos Riscos

Ferramenta de avaliação

Como avaliar a qualidade da implementação das capacidades de cibersegurança?

O CNCS - Centro Nacional de Cibersegurança disponibiliza o Quadro de Avaliação de Capacidades de Cibersegurança, em forma de complemento ao Quadro Nacional de Referência para a Cibersegurança (QNRCS). O documento, destinado a organizações públicas e privadas, pretende que todas sejam capazes de autoavaliar as suas capacidades em cibersegurança e de cumprimento dos seus cinco objetivos: identificar, proteger, detetar, responder e recuperar, tendo em conta o contexto e a dimensão.

Inicial, intermédio e avançado são os três níveis de capacidade apresentados no documento para cada uma das medidas de cibersegurança presentes no QNRCS, por forma a orientar as empresas a desenvolver competências de deteção, reação e organização das suas capacidades de cibersegurança.

Certificação

Que certificações são adequadas?

Todas as entidades devem assegurar uma correta implementação das normas e dos regulamentos. É através da certificação que sabemos o que estamos a fazer bem, onde temos falhas que temos de colmatar e quais as melhorias a fazer para sermos cada vez mais ciberresilientes. A obtenção de certificações dá confiança à gestão de topo nesta área e permite demonstrar onde deve existir mais investimento.

Sendo assim, cada entidade deve assegurar quais as certificações ou normas necessárias e apropriadas. Entre as várias certificações existentes no Centro Nacional de Cibersegurança de destacar:

Quadro Nacional de Referência para a Cibersegurança (QNRCS)

A certificação no EC QNRCS dirige-se a entidades com especiais responsabilidades em cibersegurança. Permite diversos graus de certificação, sendo possível começar pelo nível básico, evoluir para o substancial e progredir até ao elevado.

Selo de Maturidade Digital

Certificação distribuída em três níveis: Bronze, Prata e Ouro, com especial enfoque nas micro, pequenas e médias empresas.

Contactos

Com quem posso falar?

Precisa de reportar um incidente?

Qualquer incidente deve ser reportado através do formulário online disponibilizado pelo CNCS:

Preencher notificação de incidentes

Caso a entidade não tenha a possibilidade de preencher o formulário online, ou se depare com a indisponibilidade deste, a notificação poderá ser feita, a título excecional, através de:

  • cert@cert.pt
  • (+351) 210 497 399
  • (+351) 910 599 284 (24/7)

A notificação de incidentes ao Centro Nacional de Cibersegurança não se substitui à comunicação à autoridade judiciária ou ao órgão de polícia criminal competente quando os incidentes configurem também um ilícito criminal cujo procedimento penal dependa de queixa ou de acusação particular.

Caso as entidades pretendam enviar a notificação protegida por método criptográfico, podem proteger a informação ao utilizar a chave pública de PGP, associada ao endereço de correio eletrónico.

Tem uma dúvida sobre o regime jurídico da segurança do ciberespaço?

Consulte a secção de perguntas mais frequentes (FAQ) no website do CNCS. Caso não encontre a resposta à sua questão ou permaneça com alguma dúvida, contacte o CNCS através do endereço de correio eletrónico segciber@cncs.gov.pt.

A sua organização está interessada em certificar-se ou em tornar-se um organismo de certificação em cibersegurança e precisa de mais informação?

Contacte o CNCS através do endereço de correio eletrónico certificaciber@cncs.gov.pt.