Download |
A consciencialização das
organizações para a temática da segurança das redes e dos sistemas de
informação nunca foi tão relevante como é hoje em dia. A cada ano que passa
existe um maior número de dispositivos conectados entre si através da internet,
alguns deles, mal protegidos ou mal configurados, que acabam por se traduzir em
ameaças aos ativos das organizações.
A cibersegurança, em todas as suas
vertentes, é uma preocupação central nas sociedades atuais. Um ambiente seguro
é fundamental para estabelecer e desenvolver qualquer atividade económica ou
social. No entanto, a segurança não deve ser a protagonista. Pelo contrário,
deve existir para libertar os cidadãos e as empresas de preocupações, de modo a
que se possam focar nas suas atividades.
Em alinhamento com a Lei n.º 46/2018,
que estabelece o regime jurídico da segurança do ciberespaço, transpondo a
Diretiva (UE) 2016/1148, do Parlamento Europeu e do Conselho, de 6 de julho de
2016, relativa a medidas destinadas a garantir um elevado nível comum de
segurança das redes e da informação em toda a União, este documento tem como
missão providenciar às organizações um guia de cibersegurança que sistematiza
um conjunto de medidas para as problemáticas mais relevantes da atualidade
nesta matéria. Pretende disponibilizar as bases para uma organização cumprir os
requisitos mínimos de segurança da informação recomendados.
Sabendo que as
organizações se podem encontrar em diferentes níveis de maturidade e possuir
diferentes dimensões (desde micro e pequenas organizações a grandes empresas ou
instituições públicas), e que algumas recomendações podem ser
desproporcionalmente exigentes para a dimensão da organização ou não ser
suficientemente exigentes, sugere-se que o documento seja interiorizado com
espírito crítico por cada organização e adequado às suas necessidades.
Está
estruturado num conjunto de medidas de segurança que traduzem cinco objetivos
específicos: Identificar, Proteger, Detetar, Responder e Recuperar.
São
referenciados exemplos e orientações que permitem sistematizar processos e
procedimentos cuja aplicação conduza ao cumprimento desses mesmos objetivos,
não na forma de uma lista de controlo de ações a realizar, mas antes na
representação dos objetivos chave reconhecidos pelos diversos intervenientes,
como uma referência de alto nível assente num conjunto de referenciais
internacionais e em diferentes normas técnicas.
Os objetivos são divididos em
categorias e subcategorias, sendo que para cada subcategoria este documento
referencia um exemplo de implementação tecnológica, de implementação processual
e de evidência, consistindo numa descrição genérica de como poderá ser
aplicado, contribuindo, desse modo, para uma melhor compreensão do mesmo.
Este
documento termina com um conjunto de recomendações adicionais, fundamentais
para que as organizações possam cumprir, por um lado, com a legislação em
vigor, e por outro possam de forma efetiva estar preparadas, através da
definição de uma estratégia que envolva toda a organização, para gerir o risco
e mitigar o impacto dos incidentes que poderão afetar as organizações.
Sumário Executivo in Quadro Nacional de Referência para a Cibersegurança,
Centro Nacional de Cibersegurança, Versão 1.0, junho de 2019
Centro Nacional de Cibersegurança, Versão 1.0, junho de 2019
Sem comentários:
Enviar um comentário