Preços
Teste

Segurança dos Recursos Humanos, Políticas de Controlo de Acessos e Gestão de Activos

É um requisito mínimo da NIS2 que as organizações protejam as suas redes e sistemas de informação através do estabelecimento de medidas no âmbito da segurança dos seus recursos humanos, das políticas de controlo de acesso e da gestão de activos.

Segurança dos Recursos Humanos, Políticas de Controlo de Acessos e Gestão de Activos

É um requisito mínimo da NIS2 que as organizações protejam as suas redes e sistemas de informação através do estabelecimento de medidas no âmbito da segurança dos seus recursos humanos, das políticas de controlo de acesso e da gestão de activos.

Recursos Humanos Segurança

A tua organização tem de garantir que os funcionários, parceiros e fornecedores compreendem e se comprometem com as suas responsabilidades de segurança, em conformidade com a política de segurança do sistema de informação da organização.

Requisitos

A tua organização tem de garantir que os empregados, fornecedores e prestadores de serviços estão conscientes e cumprem as suas responsabilidades na proteção das redes e sistemas de informação da tua organização.

Podes estabelecer procedimentos para garantir que:

  • todos os empregados, fornecedores diretos e prestadores de serviços conhecem e seguem as tuas práticas normais de ciber-higiene,
  • todos os utilizadores com acesso administrativo ou privilegiado compreendem e agem de acordo com as suas funções, responsabilidades e autorização,
  • os membros da direção compreendem e agem de acordo com o seu papel e responsabilidades em matéria de segurança das redes e dos sistemas de informação

Estas responsabilidades de segurança podem ser incluídas em contratos e acordos de trabalho.

Podes efetuar verificações de antecedentes de novos empregados e de fornecedores diretos e consultores, se considerares que tal é exigido pela tua avaliação de risco do seu papel, responsabilidades e acesso à rede e aos sistemas de informação.

Se consideras que a verificação dos antecedentes é relevante, então deves fazê-lo:

  • define quais as funções e responsabilidades que exigem um inquérito pessoal,
  • assegura que os controlos são efectuados em conformidade com a legislação e as normas éticas,
  • efectua os controlos antes de as pessoas assumirem as funções ou responsabilidades em questão.

Deves também garantir que as responsabilidades de segurança que se mantêm válidas depois de um empregado sair ou mudar de função são claramente definidas, comunicadas e compreendidas. Deves também definir e comunicar as regras que se aplicam em caso de violação das políticas ou procedimentos de segurança.

Documentação

Os contratos de trabalho da tua organização podem indicar que os empregados são obrigados a completar a formação necessária em segurança de redes e sistemas de informação, e que estão cientes das suas responsabilidades no cumprimento das políticas e procedimentos da organização.

A tua documentação pode incluir políticas e procedimentos escritos para actividades como verificações de antecedentes e entrevistas de saída. Estas políticas e procedimentos devem ser revistos a intervalos planeados.

Políticas de controlo de acesso

Deves estabelecer políticas de controlo de acesso para proteger os activos físicos e digitais contra a perda de confidencialidade, integridade e disponibilidade, impedindo o acesso não autorizado.

Requisitos

A tua organização deve estabelecer uma política de controlo de acesso para conceder, alterar e remover direitos de acesso a redes e sistemas de informação, que deve estar em conformidade com a política de segurança do sistema de informação.

A política deve identificar e avaliar os riscos relacionados com o controlo do acesso lógico e físico, abrangendo o acesso tanto de pessoas como de tratamentos, por exemplo, quando um sistema externo está ligado a um sistema interno.

A política deve incluir procedimentos para a gestão dos direitos de acesso, incluindo os direitos privilegiados, e estes devem abranger

  • métodos para identificar e avaliar a necessidade de acesso dos empregados, fornecedores e prestadores de serviços, incluindo tanto os utilizadores normais como os que têm direitos administrativos,
  • métodos para garantir que os direitos de acesso sejam concedidos, modificados ou removidos conforme necessário.

A tua organização deve restringir e controlar a utilização de sistemas de administração de TI e de sistemas que possam alterar as configurações de segurança. A tua política de controlo de acesso pode abranger o acesso tanto de funcionários como de entidades externas, como fornecedores.

Deves gerir e documentar as identidades de todos os utilizadores e sistemas com acesso a informação e bens relacionados, assegurando que é claro quem ou o quê tem acesso a redes e sistemas e porquê. Este processo deve abranger todo o ciclo de vida das identidades, incluindo a sua criação, modificação, revisão regular e eventual remoção. Para apoiar este processo, devem ser implementados procedimentos e tecnologias de autenticação seguros, em conformidade com a política de controlo do acesso.

Documentação

A tua documentação de controlos de acesso pode incluir políticas e procedimentos escritos para conceder, alterar e remover o acesso às instalações e sistemas de informação da tua organização. Estas políticas e procedimentos devem ser revistos a intervalos regulares.

Gestão de activos

A gestão de activos permite à sua organização saber quais os activos que devem ser protegidos e qual o nível de proteção adequado para cada um, e é um requisito da NIS2.

Requisitos

A tua organização tem de definir a gestão dos activos que podem afetar a segurança da rede e da informação. Por conseguinte, deves estabelecer procedimentos que abranjam a gestão de todos os activos, incluindo a rede e os sistemas de informação, os componentes relacionados e as dependências críticas com os teus parceiros. Deve ser definido um nível de proteção adequado para cada ativo.

A organização:

  • deve estabelecer um procedimento para definir os níveis de classificação dos activos, de modo a que os níveis de proteção reflictam a sensibilidade, a criticidade, o risco e o valor comercial de cada ativo,
  • deve preparar e comunicar instruções para o manuseamento dos bens ao longo do seu ciclo de vida, em conformidade com a política de segurança dos sistemas de informação.
  • podes desenvolver e manter um inventário da rede e dos sistemas de informação e activos relacionados. Deves garantir que o inventário de activos se mantém completo, preciso e fiável. As alterações ao inventário devem ser documentadas e incluídas nos processos de gestão de alterações.
  • deve exigir que todo o pessoal e parceiros externos devolvam ou apaguem permanentemente os bens que lhes foram atribuídos logo que o seu emprego ou contrato termine.

Documentação

A tua documentação de conformidade pode incluir procedimentos escritos para o manuseamento de activos e registos da forma como estes são comunicados aos funcionários relevantes. Estes procedimentos devem ser revistos com regularidade.

Teste RGPD

Vê se conheces bem o RGPD.

  • Vais responder a 13 perguntas sobre o RGPD.
  • Demora apenas 1-2 minutos.
  • Normalmente, os especialistas respondem corretamente a todas as 13 perguntas.
Iniciar o teste

Teste gratuito

Entraremos em contacto contigo por e-mail o mais rapidamente possível.