Gestão de segurança da informação
Processo end-to-end com política, gestão de riscos, controlos, RACI e métricas
Descarregar pack completoÂmbito e objectivos
Proteger a informação necessária à organização, assegurando confidencialidade, integridade e disponibilidade através de uma abordagem sistemática e baseada em risco.
Novo risco identificado, incidente de segurança, alteração regulamentar (ex. NIS2, RGPD), resultado de auditoria ou revisão periódica do sistema de gestão.
Política de segurança, inventário e classificação de activos, avaliação e tratamento de riscos, implementação de controlos, sensibilização, monitorização e auditoria interna.
Segurança física das instalações (domínio de facilities management) e planos de continuidade de negócio (processo autónomo de gestão da continuidade).
Política de segurança aprovada, registo de riscos actualizado, controlos implementados e documentados, relatórios de conformidade e auditoria, e plano de melhoria contínua do ISMS.
Diagrama do processo
Diagrama BPMN simplificado do processo de gestão de segurança da informação (3 swimlanes). Percorra horizontalmente em dispositivos móveis.
Actividades macro
| # | Actividade | Responsável | Input | Output |
|---|---|---|---|---|
| 1 | Definição da política de segurança | Security manager | Requisitos legais, contexto organizacional, resultados de auditoria | Política de segurança da informação aprovada |
| 2 | Inventário e classificação de activos | Security manager / Equipa técnica | Catálogo de serviços, sistemas e processos | Registo de activos com classificação de criticidade |
| 3 | Avaliação de riscos | Security manager | Registo de activos, ameaças conhecidas, vulnerabilidades | Registo de riscos com probabilidade, impacto e prioridade |
| 4 | Tratamento de riscos | Security manager / Gestão de topo | Registo de riscos avaliados, apetite ao risco da organização | Plano de tratamento de riscos (aceitar, mitigar, transferir, evitar) |
| 5 | Implementação de controlos | Equipa técnica | Plano de tratamento de riscos, Anexo A da ISO 27001 | Controlos técnicos e organizacionais implementados e documentados |
| 6 | Sensibilização e formação | Security manager | Política aprovada, identificação de lacunas de conhecimento | Programa de sensibilização executado, registos de formação |
| 7 | Monitorização e detecção | Equipa técnica | Logs, alertas SIEM, relatórios de controlos | Indicadores de segurança, alertas de anomalia identificados |
| 8 | Resposta a incidentes de segurança | Security manager / Equipa técnica | Alerta de incidente de segurança detectado | Incidente contido e remediado, registo de incidente documentado |
| 9 | Auditoria interna | Auditor interno / DPO | Plano de auditoria, controlos implementados | Relatório de auditoria com não-conformidades e recomendações |
| 10 | Revisão pela gestão e melhoria | Gestão de topo | Resultados de auditoria, métricas, incidentes do período | Decisões de melhoria, actualização do registo de riscos, novo ciclo |
Descrição detalhada das actividades
A política de segurança da informação é o documento de referência que estabelece os objectivos, princípios e responsabilidades de protecção da informação na organização. Deve ser aprovada pela gestão de topo, publicada e comunicada a todos os colaboradores. A revisão deve ocorrer pelo menos anualmente ou após alterações significativas.
Passos chave
- Identificar o contexto organizacional e requisitos regulamentares aplicáveis (ISO 27001, NIS2, RGPD)
- Definir o âmbito do ISMS e as partes interessadas relevantes
- Redigir a política com objectivos mensuráveis e responsabilidades claras
- Submeter para aprovação formal da gestão de topo
- Publicar e comunicar a todos os colaboradores com confirmação de leitura
Sem saber o que existe, não é possível proteger. O inventário de activos identifica todos os recursos de informação da organização — sistemas, dados, aplicações, pessoas e instalações — e atribui-lhes um nível de criticidade. Este inventário é a base para as actividades de avaliação de risco.
Passos chave
- Identificar todas as categorias de activos: informação, software, hardware, pessoas, serviços
- Atribuir um responsável (owner) a cada activo
- Classificar a informação por nível de confidencialidade (pública, interna, confidencial, secreta)
- Registar localização, suporte e ciclo de vida de cada activo
- Manter o inventário actualizado e sujeito a revisão periódica
A avaliação de riscos analisa sistematicamente as ameaças que podem afectar os activos identificados, as vulnerabilidades que podem ser exploradas e o impacto potencial sobre a confidencialidade, integridade e disponibilidade. O resultado é um registo de riscos priorizado que orienta as decisões de investimento em segurança.
Passos chave
- Seleccionar a metodologia de avaliação de riscos (ex. ISO 27005, FAIR)
- Identificar ameaças relevantes para cada activo crítico
- Identificar vulnerabilidades técnicas e organizacionais
- Estimar probabilidade de ocorrência e impacto para cada risco
- Calcular o nível de risco e comparar com o critério de aceitação definido
- Documentar todos os riscos no registo formal
Para cada risco identificado acima do nível aceitável, a organização decide a opção de tratamento mais adequada: mitigar com controlos, transferir para terceiros (ex. seguro, outsourcing), evitar a actividade que origina o risco, ou aceitar formalmente o risco residual. As decisões de aceitação de risco requerem aprovação da gestão de topo.
Passos chave
- Para cada risco, seleccionar a opção de tratamento (mitigar, transferir, evitar, aceitar)
- Identificar os controlos do Anexo A da ISO 27001 aplicáveis
- Definir responsável, prazo e recursos para cada medida de tratamento
- Elaborar a Declaração de Aplicabilidade (SoA) com justificação de inclusão/exclusão de controlos
- Obter aprovação formal da gestão de topo para riscos aceites
A equipa técnica implementa os controlos seleccionados no plano de tratamento de riscos. Os controlos podem ser técnicos (firewalls, encriptação, autenticação multi-factor, backups, patches) ou organizacionais (políticas de acesso, segregação de funções, acordos de confidencialidade). Cada controlo deve ser documentado e verificado quanto à sua eficácia.
Passos chave
- Implementar controlos técnicos: segmentação de rede, encriptação, MFA, gestão de patches
- Implementar controlos organizacionais: políticas de acesso, clean desk, BYOD
- Documentar cada controlo com descrição, responsável e data de implementação
- Testar a eficácia dos controlos implementados
- Registar evidências de implementação para fins de auditoria
A tecnologia protege, mas as pessoas são frequentemente o elo mais vulnerável. O programa de sensibilização garante que todos os colaboradores conhecem a política de segurança, identificam tentativas de phishing, aplicam as boas práticas no dia-a-dia e sabem como reportar incidentes suspeitos. A formação deve ser regular, prática e adequada ao perfil de cada função.
Passos chave
- Desenvolver conteúdos de sensibilização adaptados a diferentes perfis (utilizadores, IT, gestão)
- Realizar formação de integração para novos colaboradores
- Executar simulações de phishing para avaliar a resiliência
- Comunicar regularmente alertas de ameaças actuais
- Registar participação e avaliação de cada acção formativa
A monitorização contínua permite detectar anomalias, acessos não autorizados e comportamentos suspeitos antes que causem danos significativos. As ferramentas SIEM centralizam logs de múltiplas fontes e correlacionam eventos para gerar alertas accionáveis. As métricas de segurança são reportadas regularmente à gestão.
Passos chave
- Configurar recolha centralizada de logs (sistemas, aplicações, rede, endpoints)
- Definir regras de correlação e alertas no SIEM
- Estabelecer processo de triagem e resposta a alertas
- Monitorizar vulnerabilidades técnicas (gestão de vulnerabilidades e patches)
- Produzir relatório mensal de indicadores de segurança
Quando é detectado um incidente de segurança, a organização deve agir rapidamente para conter o impacto, preservar evidências e restaurar a normalidade. O processo de resposta a incidentes de segurança é distinto da gestão de incidentes operacionais e pode implicar notificação regulatória (ex. RGPD exige notificação à CNPD em 72 horas para violações de dados pessoais).
Passos chave
- Detectar e classificar o incidente de segurança (violação de dados, malware, acesso não autorizado)
- Activar o plano de resposta a incidentes e notificar a equipa de resposta
- Conter o incidente para limitar a propagação (isolamento, revogação de acessos)
- Recolher e preservar evidências forenses
- Remediar a causa e restaurar os sistemas afectados
- Notificar autoridades reguladoras se aplicável (CNPD, CNCS)
- Documentar o incidente e lições aprendidas para melhoria do processo
A auditoria interna verifica independentemente se o ISMS está a funcionar conforme o planeado e se os controlos são eficazes. O auditor interno (ou externo em regime de outsourcing) verifica a conformidade com a política, os procedimentos e os requisitos normativos, identifica não-conformidades e formula recomendações de melhoria.
Passos chave
- Elaborar o plano de auditoria anual com âmbito e calendário
- Seleccionar o auditor com independência face à área auditada
- Executar a auditoria: entrevistas, análise documental, testes de controlos
- Registar constatações e classificar por severidade (observação, não-conformidade menor, maior)
- Emitir o relatório de auditoria com recomendações e prazos de resolução
- Acompanhar o encerramento das não-conformidades
A revisão pela gestão de topo fecha o ciclo PDCA do ISMS. Com base nos resultados das auditorias, nos incidentes do período, nas métricas de segurança e nas alterações do contexto organizacional e regulatório, a gestão toma decisões sobre prioridades, recursos e actualizações ao sistema. Esta actividade é um requisito obrigatório da ISO 27001.
Passos chave
- Reunir inputs: resultados de auditoria, métricas, incidentes, alterações de contexto, feedback das partes interessadas
- Avaliar a adequação da política e objectivos de segurança
- Tomar decisões sobre recursos, prioridades e melhorias
- Actualizar o registo de riscos e o plano de tratamento
- Documentar as decisões e actas da revisão
- Iniciar novo ciclo com os objectivos actualizados
Modelo RACI
| Actividade | Sec. manager (SM) |
Eq. técnica (ET) |
Gestão de topo (GT) |
Auditor (AU) |
DPO (DPO) |
|---|---|---|---|---|---|
| Definição da política | R | C | A | C | C |
| Inventário de activos | A | R | I | I | C |
| Avaliação de riscos | R | C | A | C | C |
| Tratamento de riscos | R | C | A | I | I |
| Implementação de controlos | A | R | I | I | - |
| Sensibilização e formação | R | C | A | I | I |
| Monitorização e detecção | A | R | I | I | - |
| Resposta a incidentes | R | R | A | I | C |
| Auditoria interna | C | C | A | R | C |
| Revisão pela gestão | R | I | A | C | I |
Métricas e KPIs
| Métrica | Descrição | Target sugerido |
|---|---|---|
| MTTD | Tempo médio de detecção de incidentes de segurança desde a sua ocorrência | < 24h |
| MTTR (segurança) | Tempo médio de resposta e contenção após detecção de um incidente de segurança | < 4h (crítico) < 24h (alto) |
| Cobertura de patches | Percentagem de sistemas com patches críticos de segurança aplicados dentro do prazo definido | > 95% |
| Taxa de sensibilização | Percentagem de colaboradores que completaram o programa anual de sensibilização em segurança | 100% |
| Clique em phishing simulado | Percentagem de colaboradores que clicaram em emails de phishing simulado nas campanhas de teste | < 5% |
| Não-conformidades abertas | Número de não-conformidades identificadas em auditoria ainda sem plano de acção correctiva aprovado | 0 (major) |
| Cobertura de backups | Percentagem de sistemas críticos com backups verificados e restauro testado no período | 100% |
| Riscos acima do apetite | Número de riscos com nível residual acima do critério de aceitação sem tratamento em curso | 0 |
Interfaces com outros processos
Change enablement
Controlos técnicos e remediações que impliquem alterações ao ambiente são implementados através do processo formal de gestão de mudanças.
Gestão de incidentes
Incidentes de segurança são tratados em articulação com a gestão de incidentes operacionais, com escalação para o security manager quando aplicável.
Gestão de riscos corporativa
Os riscos de segurança de informação com impacto material são reportados ao processo de gestão de riscos empresarial para visibilidade da gestão de topo.
Conformidade e auditoria (ISO 27001 / NIS2 / RGPD)
Requisitos regulamentares e normativos definem os controlos obrigatórios e condicionam o âmbito do ISMS e o programa de auditoria interna.
Gestão de continuidade de negócio
A avaliação de riscos de segurança alimenta a análise de impacto de negócio (BIA) e os cenários de recuperação no plano de continuidade.
Gestão de activos e CMDB
O inventário de activos de TI na CMDB é o ponto de partida para identificar o universo de activos sujeitos a avaliação de risco e implementação de controlos.
Descarregar o pack completo
Inclui o processo documentado, registo de activos, registo de riscos, Declaração de Aplicabilidade (SoA), modelo RACI em Excel e plano de tratamento de riscos.