Preços
Teste

Aquisição, desenvolvimento e manutenção

O ciclo de vida da aquisição e desenvolvimento de redes e sistemas de informação deve ser assegurado em todas as suas fases, desde o planeamento, à implementação e à manutenção.

Aquisição, desenvolvimento e manutenção

O ciclo de vida da aquisição e desenvolvimento de redes e sistemas de informação deve ser assegurado em todas as suas fases, desde o planeamento, à implementação e à manutenção.

Aquisição, desenvolvimento e manutenção

Tens de garantir a cibersegurança das redes e dos sistemas de informação desde a aquisição e desenvolvimento, implementação, operação, eliminação progressiva e eliminação de cada componente dos sistemas.

Requisitos

A tua organização deve documentar os procedimentos de cibersegurança para:

  • A aquisição de redes e sistemas de informação ou serviços a terceiros,
  • Desenvolvimento e manutenção de redes e sistemas de informação,
  • Eliminação de redes e sistemas de informação,

Estes procedimentos devem basear-se na política de segurança dos sistemas de informação da sua organização e devem estar ligados à sua política de gestão dos riscos e aos procedimentos de gestão dos fornecedores.

Podes também considerar o seguinte:

  • assegura que o fabricante disponibiliza actualizações de segurança durante o tempo de vida previsto do produto,
  • estabelecer, documentar, implementar e monitorizar configurações, incluindo patches e actualizações de hardware, software, serviços e redes,
  • Especifica e aplica procedimentos para a gestão da mudança,
  • garante que as alterações, reparações e manutenção da rede e dos sistemas de informação seguem os teus procedimentos de gestão de alterações,
  • efectua testes que vão desde revisões de configuração a testes completos da segurança global da rede e da informação,
  • gerir os riscos decorrentes da aquisição de serviços, sistemas ou produtos informáticos a fornecedores e prestadores de serviços ao longo do seu ciclo de vida,
  • estabelecer e aplicar requisitos claros para o desenvolvimento seguro de software e sistemas aquando da aquisição ou desenvolvimento de redes e sistemas de informação. Estes requisitos devem abranger todas as fases de desenvolvimento, por exemplo, através da segurança desde a conceção,
  • separa os sistemas em redes ou zonas com base nas necessidades do negócio e na criticidade com base nas suas avaliações de risco,
  • Protege as redes e os sistemas de informação contra software malicioso ou não autorizado, introduzindo medidas para detetar ou prevenir o malware.

Documentação

Deve rever os seus processos de gestão do ciclo de vida para serviços, sistemas ou produtos de TI adquiridos e desenvolvidos internamente em intervalos regulares planeados e após incidentes graves. Estas revisões devem ser documentadas.

Gestão de vulnerabilidades

Deves estabelecer procedimentos de gestão de vulnerabilidades para descobrir vulnerabilidades e implementar medidas adequadas para reduzir a probabilidade de estas serem exploradas em qualquer fase do ciclo de vida do sistema de informação. Além disso, a partilha de informações sobre vulnerabilidades também pode ajudar os outros a tomar consciência das fraquezas dos seus próprios sistemas.

Requisitos

A tua organização deve ter procedimentos para lidar com as vulnerabilidades que podem afetar a rede e os sistemas de informação. Estes procedimentos devem permitir-te recolher informações sobre as vulnerabilidades técnicas, avaliar a tua própria exposição às mesmas e tomar as medidas adequadas para as gerir.

Para gerir as vulnerabilidades, deves fazer o seguinte:

  • manter-se atualizado sobre as informações relativas à vulnerabilidade provenientes de várias fontes, como as CSIRT nacionais e os fornecedores ou prestadores de serviços,
  • implementa procedimentos de gestão de vulnerabilidades e documenta a razão pela qual não opta por remediar as vulnerabilidades,
  • efectua análises de vulnerabilidades a intervalos regulares e após grandes alterações ou incidentes de segurança, e documenta os resultados. Em ambientes OT, pode ser utilizada a monitorização passiva e a análise de tráfego, uma vez que as verificações activas podem causar interrupções ou tempo de inatividade. Deves apoiar estas análises de vulnerabilidades através de revisões de segurança regulares das configurações do sistema,
  • alinha a gestão das vulnerabilidades com a gestão das alterações e os processos de tratamento de incidentes,
  • assegura que as vulnerabilidades críticas são resolvidas sem atrasos desnecessários.

Podes também considerar estabelecer uma política de divulgação coordenada de vulnerabilidades que abranja os teus sistemas. Os incidentes significativos devem ser comunicados e as vulnerabilidades que ainda não estão acessíveis ao público devem ser partilhadas com a CSIRT nacional.

Documentação

Deves registar as observações das tuas análises de vulnerabilidade e documentar as tuas descobertas e as acções tomadas. Deves monitorizar as tuas fontes de informação sobre vulnerabilidades a intervalos planeados e documentar as vulnerabilidades relevantes.

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.