Já todos ouvimos falar muito de passwords e palavras-chave. Mas pouco (nada?) se fala de um conceito que anda por aí, pelo menos, desde 1981 quando foi inventado por Sigmund N. Porter da NCR Corporation: passphrases (ou frases-chave: em português).

Uma passphrase é um conjunto de palavras que se usa no mesmo local onde, geralmente, se introduzem palavras-chave. A maioria das aplicações suportam passphrases mas antes de as começar a usar sugere-se que se realizem alguns testes com alguns utilizadores para avaliar impactos negativos numa utilização generalizada do conceito na organização.

Recomendamos que use passphrases nas perguntas de segurança que surgem na Internet e que recolhem dados que estão ao alcance de quem conhece bem o seu perfil ou encontra informações relevantes na Internet tais como “cidade onde nasceu”, “nome de solteira da mãe”, “destino de viagem favorito”, etc.

O que deve ter uma boa passphrase:

1. Deve ser conhecida apenas por si
2. Deve ser longa o suficiente para ser segura
3. Deve ser difícil de adivinhar
4. Deve ser fácil de digitar

Como escolher uma passphrase?

1. Escolha uma série de palavras: podem ser de um dos seus livros favoritos que esteja sempre ao seu alcance
2. Use um dado para escolher a página, role outra vez e escolha a linha para escolher uma palavra. Repita o processo 5 ou 6 vezes até ter as palavras equivalentes. Se ninguém o viu a fazer isto marque a palavra com um pequeno ponto a caneta e guarde o livro ao seu alcance. use um ponto para a primeira palavra, dois para a segunda e assim por diante (ou faça o inverso). Escolha um caracter especial de separação de palavras (.,$#+, etc). Se não tiver um dado folheie o livro e escolha aleatoriamente uma página e uma palavra.
3. Se vai usar a passphrase para fins mais seguros, como a encriptação de discos ou para Bitcoins escolha passphrases de sete a nove palavras.
4. Se quiser ser ainda mais seguro escolha palavras de forma aleatória sem recurso a nenhum livro e não assinale as palavras mas limite-se a memorizá-las. Se está a encriptar um disco: não arrisque e guarde a passphrase num local segura (idealmente um cofre). Se a perder: perderá os seus ficheiros para sempre…
5. Pode também usar o site https://www.generatormix.com/random-portuguese-words-generator para gerar palavras para as suas passphrases mas o método do livro é mais divertido e, se trabalhar bem e se não marcar as palavras será mais seguro (porque embora este site seja https há a possibilidade – ainda remota – de captura do seu écran)

Todos e cada um de nós pode fazer mais e melhor para ser ciberseguro.

1. Utilize a autenticação por múltiplo factor em todas as contas de todas as aplicações que utiliza e onde esta opção está disponível. Seleccione os produtos e serviços em função da existência ou não do MFA. Uma password não é suficiente para garantir que está ciberseguro. Use apenas passwords complexas, mude-as regulamente, use passphrases em vez de passwords e instale gestores de passwords protegidos por MFA.

2. Tenha sempre os seus computadores e telemóveis actualizados com todos os updates disponibilizados pelos fabricantes. Tenha especial cuidado com as actualizações dos seus web browsers

3. Pense – sempre – antes de clicar num link/URL. Mais de 90% dos ataques de ransomware resultam de campanhas de phishing por email em que para além dessa actividade se procuram recolher dados pessoais que depois podem ser usados para adivinhar as suas passwords.

4. Use passwords muito complexas ou, idealmente, um password manager pago que gera e armazena de forma segura como LastPass, NordPass, PassCamp, Dashlane, RoboForm ou o 1Password.

Recomendamos que nos proxies (como o open source squid) sejam criadas regras que impeçam os acessos directos a sites que são feitos apenas pelo seu endereço de TCP/IP. Este é um vector habitualmente utilizado por droppers para carregarem o payload do malware.

Se usar Squid barre acessos a, p.ex: http://207.244.80.179

com a ACL:
acl soips url_regex ((25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.){3}(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)
http_access deny soips

Convidamos a divulgar este inquérito aos vossos associados
ou, desejando a duplicarem as questões para a enviarem vós próprios através da vossa rede de contactos empresariais e assim poderem aferir do seu grau de ciber-resiliência:
https://forms.gle/aH8tVaedfMSsknfCA

Algumas sugestões de leitura e prática:
https://cidadaospelaciberseguranca.wordpress.com/2022/03/29/o-observatory-da-mozilla/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/26/teste-o-seu-site-na-immuniweb-com/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/21/ramsonware-como-se-proteger/
https://cidadaospelaciberseguranca.wordpress.com/2022/03/01/treino-e-formacao/

Sugestão de “IT Cibersecurity Policy” para as Organizações:
https://cidadaospelaciberseguranca.wordpress.com/2022/04/15/propomos-que-todos-as-organizacoes-a-partir-desta-lista-aberta-de-sugestoes-elabore-uma-it-cibersecurity-policy/

Propomos que todos as organizações, a partir desta lista (aberta) de sugestões, elabore uma “IT Cibersecurity Policy”, que inclua (entre outras) as seguintes medidas:

Generalidades:

1. Todos os colaboradores (incluindo os novos em “onboarding”) devem receber, ler e assinar um documento contendo as restrições e práticas em vigor e que se aplicam aos assets de IT da organização. Só depois é que recebem as credenciais de acesso aos sistemas.
2. Todos os equipamentos da organização, na ausência do utilizador, devem ser locked pelos próprios ou através de uma policy remotamente aplicada.
3. Uso obrigatório de passwords em todos os sistemas incluindo telemóveis da organização e aplicações de uso interno.
4. As passwords devem ser mudadas regularmente e serem complexas e não podem ser partilhadas com ninguém. Deve ser ponderado o uso de passphrases em lugar de passwords.
5. O acesso remoto aos equipamentos da organização deve ser feito apenas com formas que exigem o consentimento do utilizador. Resguardam-se as actividades do suporte de IT que tecnicamente sejam necessárias ou não o exijam.
6. Deve ser proibido copiar ou apagar dados da organização sem ter previamente obtido o consentimento por parte da sua chefia directa.
7. Todos os devices USB de armazenamento de dados devem estar encriptados.
8. O uso da autenticação por múltiplo factor é mandatório.
9. Nenhum utilizador – independentemente da sua função ou posição hierárquica – deve ser administrador local das suas máquinas e nem estar logado em contas de administração local ou de rede.
10. Os acessos a servidores em modo de administração deve ser feito em contas diferentes daquelas em que os técnicos de suporte habitualmente usam nos seus equipamentos pessoais.
11. É obrigatório o reporte pelos canais adequados de qualquer quebra de cibersegurança, acesso não autorizado, exposição de dados da organização ou de qualquer comportamento anómalo, inseguro ou suspeito (como um possível mail de phishing) à área de IT da organização.

12. Política de uso do correio electrónico:
12a. É proibido o uso de contas de mail pessoais para fins de serviço.
12b. É proibido abrir anexos de mail de fontes desconhecidas (porque podem conter malware).
12c. É proibido o uso pessoal excessivo do email da organização.

13. Política de uso da internet:
13a. O acesso à Internet através dos meios das organizações é feito apenas para fins de negócio da organização.
13b. A organização irá monitorizar todos os acessos à Internet.
13c. É proibido o acesso a sites de categorias que possam colocar em risco a cibersegurança da organização.
13d. Todos os downloads devem ser feitos a partir de sites conhecidos e com boa reputação.
13e. É estritamente vedado o download de aplicações e jogos para os computadores da empresa (com excepção da equipa de suporte de IT)
13f. É proibida a instalação de software de controlo remoto (com excepção da equipa de suporte de IT ou quando esta, explicitamente, o indicar).
13g. É proibido o acesso e download a conteúdos tais como música, filmes e software dado que frequentemente estes sites procuram injectar malware nos computadores onde estas operações são realizadas.
13h. Usar o endereço de mail da organização para se registrar em sites dado que isso abre a porta a campanhas de spam e phishing.

14. Política de Acesso Remoto:
14a. O acesso a partir do exterior da rede deve ser hierarquicamente aprovado.
14b. O uso dos sistemas da organização por entidades terceiras é proibido.
14c. O acesso a meios da organização deve ser feito apenas a partir de uma VPN da organização e não a partir de computadores pessoais ou partilhados (p.ex Google Workplace ou Office 365).
14d. A organização tem o direito de monitorizar o tráfego nas redes a partir de onde o colaborador acede aos recursos da organização por forma a identificar padrões de uso anómalo ou a actividade de malware.

Paralelamente, a organização deve também definir:
1. Uma “Data Breach Response Policy“: Que defina como se lida com um incidente de cibersegurança e quais são as opções de remediação para as operações da organização e para os seus parceiros. Esta política deve definir as responsabilidades de cada área da organização identificando funções e competências e incluir métodos de feedback interno e externo.
2. Um “Disaster Recovery Plan“: Como parte de uma estratégia de continuidade da actividade em que o CISO e a equipa que o apoia deve gerir o incidente de cibersegurança.
3. Um “Business Continuity Plan“: que descreva como é que a organização vai funcionar numa emergência e que coordene os esforços entre as diversas áreas da organização. Este BCP pode ser activado durante um incidente de ransomware e levar à reposição de backups o que pressupõe que estes devem ser conservados em cold storage e em localização remota.
4. Uma política de “offboarding” de utilizadores quando estes abandonam a organização.

Recentemente, de forma não intrusiva e usado apenas ferramentas muito simples tais como um browser e o site dnschecker.com, o CpC – Cidadãos pela Cibersegurança visitou os sites de todas as câmaras municipais do pais. Através destas consultas e do envio de um questionário a que algumas autarquias responderam elaborámos este índice municipal de cibersegurança chegámos a algumas conclusões e a um ranking que apresentaremos mais abaixo.

Neste indice ordenámos as autarquias por vários parâmetros recebendo mais pontos se a métrica testada foi mais grave e menos pontos (ou zero) se a autarquia, nesse parâmetro, teve um bom desempenho.

Várias métricas – todas públicas e não intrusivas – foram testadas tais como o uso de DNSSEC, a existência de sites e certificados HTTPS em boas condições, se o domínio de mail implementava as boas práticas de SPF, DKIM e DMARC e outras métricas disponíveis através a todos os que visitam os sites das câmaras municipais de Portugal.

Não iremos publicar a lista total nem, sobretudo e para defesa dos próprios, comunicar as câmaras municipais que ficaram mais mal classificadas mas convidamos todas as autarquias a vistoriarem os seus próprios sites com ferramentas gratuitas ou, preferencialmente, a contratarem serviços (que não prestamos) de profissionais de cibersegurança.

Da lista apurámos um “top 10” em que, por ordem, encontrámos
Portimão: no muito meritoso 1º lugar
Praia da Vitória (Ilha Terceira): uma surpresa muito agradável no 2º lugar
Grândola: Um bom exemplo vindo do Alentejo em 3º lugar
Gavião: ocupando um digno 4º lugar e vindo também do Alentejo
Fafe: Um 5º lugar muito honroso vindo do Algarve
Gaia: Num digno 6º lugar
Vila Franca do Campo: em 7º lugar também vindo dos Açores
Paredes de Coura: um 8º andar do distrito de Viana do Castelo
Barreiro em 9º lugar e, por fim,
Moita em 10º lugar
Seguiram-se 243 autarquias mais mal classificadas
Em outras 54 câmaras em que não foi possível tirar conclusões.

A visão de conjunto permite identificar o problema de que ainda falta fazer algum trabalho para dar ciberresiliência às nossas autarquias locais. Cruzando estas visitas com as respostas ao nosso inquérito resulta a conclusão de que – todos – cidadãos, munícipes e autarcas temos que fazer muito mais a exigir às nossas autarquias locais que cumpram as boas práticas de cibersegurança começando pelas recomendações do “Quadro Nacional de Referência para a Cibersegurança” do Centro Nacional de Cibersegurança, pela RCM nº36/2015 Estratégia nacional de segurança para o ciberespaço, pela Directiva UE SRI Segurança das Redes e da Informação, e ainda pela Lei 46/2018 Regime Jurídico da segurança do ciberespaço e o RCM 92/2019 ou estratégia nacional de segurança do ciberespaço.

O Quadro Nacional pode ser lido em
https://www.cncs.gov.pt/docs/cncs-qnrcs-2019.pdf
e a Diretiva em
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016L1148&from=PT
e, por fim, esta Lei 46/2018 em
https://dre.pt/dre/detalhe/resolucao-conselho-ministros/92-2019-122498962

Recomendamos também a leitura de
https://cidadaospelaciberseguranca.wordpress.com/2022/04/14/guia-de-ciberseguranca-para-as-autarquias-locais/

CpC – Cidadãos pela Cibersegurança

A partir do Questionário Nacional de Cibersegurança Municipal enviado em finais de março a todos os municípios de Portugal e que, infelizmente, não teve qualquer resposta, o Observatório CpC – Cidadãos pela Cibersegurança elaborou o “Guia Municipal de Cibersegurança”

Cultura Organizacional:

1. A autarquia não deve ambicionar ser vista exteriormente como “infalível”: Deve ter planos para prevenir e reagir a falhas e incidentes de cibersegurança mas se acreditar que estes são impossíveis não fará estes planos nem, sobretudo, os fará com credibilidade e verdadeiro empenho.

2. Não adopte uma cultura de “segurança através da obscuridade”:
Comunique aos seus parceiros de negócio, colaboradores e fornecedores, em primeira mão e logo após ter feito as devidas denúncias às autoridades.

3. Seja aberto quanto às práticas da segurança da sua organização. As câmaras municipais que responderam ao nosso inquérito (a sua quantidade e identidade são sigilosos) admitiriam terem essa abertura.
Tradicionalmente a “segurança pela obscuridade” (“Security Through Obscurity” (STO)) tem sido uma prática habitual nas organizações como forma de resistir a ciberataques já que os intrusos usam a informação disponível sobre as organizações para explorarem vulnerabilidades e vectores de ataque. Esta prática tem décadas mas está actualmente a cair em desuso.
A STO dá uma ideia ilusória de segurança assentando numa noção de “need to know”: se um indivíduo não conhece como pode impactar os sistemas de segurança: não representa um risco de segurança para a organização. Em teoria isto parece bem, contudo, no mundo actual de sistemas abertos e interligados, do grande desenvolvimento das linguagens de programas, da popularização do conhecimento das mesmas e das vulnerabilidades das mesmas, assim como a existência de grupos profissionalizados e agentes estatais bem organizados e financiados tornam a STO obsoleta.

4. Embora a maioria das autarquias que responderam ao nosso inquérito tenham listado a cibersegurança como um travão para a inovação as medidas de cibersegurança não têm que, necessariamente, travar a inovação. As novas tecnologias e inovações já incorporam várias formas de cibersegurança. Incorporar a cibersegurança logo no começo do processo d desenvolvimento de uma nova solução vai agilizar o processo de desenvolvimento sem comprometer a sua cibersegurança.

5. À questão “Experimentou nos últimos anos um incidente de cibersegurança porque um colaborador para colocar uma nova aplicação em produção reduziu ou ignorou deliberadamente os padrões de cibersegurança?” A maioria das autarquias inquiridas responderam que não. Apesar disto parecer provável tanto mais porque não é comum as autarquias terem equipas internas de desenvolvimento e que este processo é geralmente colocado em outsourcing sob a forma de contratos públicos.

6. Em “acredita que a cibersegurança é um factor importante quando escolhe um novo produto ou serviço informático?” a maioria dos inquiridos responderam positivamente o que indica um correcto grau de consciência em relação aos riscos de cibersegurança. E de facto devem estar sempre em equação, presentes no caderno de encargos e serem um elemento diferenciador que vá para além dos prazos e dos custos (até como forma de evitar custos futuros em mitigação ou recuperação após um ciberataque).

7. O facto de a totalidade das respostas a “se um fornecedor de serviço sofrer um incidente grave de segurança irá procurar um fornecedor alternativo?” ter sido positiva deve fazer reflectir – pelo menos – os fornecedores de serviços informáticos para que tenham boas estruturas, pessoal bem treinado e que não deixem “backdoors” ou pegadas nas redes das autarquias que suportam que – por convenientes que sejam – possa ser exploradas por agentes maliciosos em ciberataques. Os responsáveis informáticos devem também monitorizar todas as operações de agentes terceiros concedendo apenas o mínimo acesso necessário e garantindo que todas as contas e acessos são encerrados quando o serviço ou projecto encerram.

8. À questão “a Câmara Municipal já seguiu as recomendações do “Quadro Nacional de Referência para a Cibersegurança” do Centro Nacional de Cibersegurança e cumpre a RCM nº36/2015 Estratégia nacional de segurança para o ciberespaço, a Directiva UE SRI Segurança das Redes e da Informação, a Lei 46/2018 Regime Jurídico da segurança do ciberespaço e o RCM 92/2019 ou estratégia nacional de segurança do ciberespaço?” A resposta mais comum foi a negativa.
Quadro Nacional podem ser lido em
https://www.cncs.gov.pt/docs/cncs-qnrcs-2019.pdf
e a Diretiva em
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016L1148&from=PT
e a Lei 46/2018 em
https://dre.pt/dre/detalhe/resolucao-conselho-ministros/92-2019-122498962

9. A “já identificou os recursos necessários para uma abordagem de gestão do risco?” as respostas foram positivas. A Gestão de Risco permite lidar com eficácia com a incerteza, assim como com os riscos e oportunidades associadas. Este é um processo contínuo e adaptável às alterações que inevitavelmente vão surgindo ao longo tempo.
Se bem delineada a Gestão de Risco define mecanismos para gerir cada risco e permitirá ajustar a capacidade da organização para lidar com o risco e definir estratégias minimizando o impacto junto dos munícipes, trabalhados e parceiros/fornecedores.

10. Na questão “Os ativos estão identificados? (tecnológicos, rede, pessoas, etc com nº de inventário, funções, localização e categoria, responsável, dependências de outros activos?). Quantos servidores possuem? em Data Center? Onde? Quantos computadores? Que equipamentos se ligam à rede local e que protocolos de segurança de rede implementam?” A resposta maioritária foi a de “Alguns”. O que é um problema: para podermos criar uma estrutura verdadeiramente resiliente temos que conhecer o património que estamos a conhecer e, em particular, o património informático, os nossos computadores, appliances, redes, aplicações, saber onde estão, quem as mantêm, quais são as suas credenciais de acessos, versões (para podemos fazer uma gestão de versões por vulnerabilidades). A este respeito recomendamos o software gratuito https://snipeitapp.com/ que, ademais, também permite cruzar estes elementos e registar alterações e quem as fez.

11. À questão “Quantos incidentes ocorreram no último ano? (999 para “Não Respondo”)” a maioria optou por “não respondeu”: o que é compreensível até numa lógica de “defesa pela obscuridade”.

12. Às questões “Foi definido um processo de gestão do risco?”, “Foi determinada a tolerância ao risco da rede e activos da Câmara Municipal?”, “Quais são os controlos implementados no plano de gestão do risco?”, “Já houve uma avaliação de vulnerabilidades e identificação de impactos caso ocorra a exploração de uma vulnerabilidade?” todos optaram por não responder sem que recomendamos que implementem todas as medidas de gestão de risco sugeridas pelas questões.

13. A “Conhecem e estão a resolver as questões indicadas pelo Centro Nacional de Cibersegurança em https://webcheck.pt/” a resposta também ficou por dar mas recomendamos – vivamente – que acedam esta plataforma online gratuita que faz uma análise à presença pública e de forma não disruptiva nem intrusiva à presença da autarquia dando conselhos práticos de como pode ser elevado o seu nível de cibersegurança.

14. De igual forma e com resposta igualmente compreensível (servindo aqui – como noutras – a questão como um alerta e recomendação) perguntámos às autarquias portuguesas se “Detectam actividades anómalas em tempo útil?” não tendo recolhido respostas. O mesmo sucedeu (e o mesmo recomendamos) à pergunta “Existe e é aplicado um procedimento de resposta a um incidente de cibersegurança?” assim como a “Têm um plano de recuperação e fazem backups offsite?” e “As redes e fluxos de dados estão mapeados?” e “As redes e sistemas de informação externos estão identificados e catalogados?” e ainda “Os requisitos de resiliência necessários para suportar a prestação de serviços críticos estão definidos?” (algo que se aplica também em situações de guerra, agitação social ou catástrofe natural).

15. Tendo em conta que alguns dos ataques mais graves dos últimos anos (SolarWinds, Okta, etc) ocorreram precisamente através da cadeia de suporte questionámos às nossas autarquias se “Os contratos com fornecedores respeitam o plano de gestão de risco para a cadeia logística e esta avaliação é realizada periodicamente?” também não tendo respostas. O mesmo sucedeu à questão “Existe e é testado o plano de resposta e recuperação a desastres?” e a “O ciclo de vida de gestão de identidade foi definido?” e ainda a “Existem controlos de acesso físico às redes e sistemas de informação?” e “Os acessos remotos são geridos e monitorizados?” (questões para as quais damos o mesmo tipo de recomendação das questões anteriores: que existam).

16. Continuámos a nossa bateria de questões com
“Na gestão de acessos os princípios do menor privilégio e da segregação de funções são aplicados?”
“Os sistemas de autenticação de utilizadores usam autenticação por múltiplo factor?”
“A política de segurança da informação foi definida e comunicada?”
“Os colaboradores têm formação regular em segurança da informação?”
“Existem protecções que evitem a exfiltração de informação?”
“Existem sistemas de prevenção de perda de informação? (DLP)”
“Existe um sistema de classificação de informação de mensagens de correio electrónico e documentos?”
“É feita monitorização dos cabeçalhos dos pacotes de rede?”
“São efectuadas análises aos padrões de tráfego de rede para detectar desvios, de tipo e volume?”
“Existem mecanismos de verificação para confirmar a integridade de software, firmware e dados?”
“Foi criada e é mantida uma configuração base de redes e sistemas de informação que incorpore os princípios da segurança?”
“Existe um sistema de gestão de actualizações de segurança?”
“Existe um processo formal de gestão de alterações?”
“Existe um centro de dados com proteção contra picos de corrente elétrica, dispositivos físicos para simplificar e tornar seguro o controle de energia, gerador de electricidade de emergência, sensores de fumo, humidade, inundação e temperatura? Este centro de dados tem registo de controlo de acessos, contratos de manutenção e relatórios de intervenção?”
“Existem ou foram feitas auditorias de segurança e pentests?”
“Os planos de resposta, de recuperação de incidentes e de continuação da actividade (se existem) são testados, para que se possa determinar a eficácia dos mesmos e identificar possíveis pontos de falha?”
“Os processos de recursos humanos como a triagem de candidatos, contratação, categorização das posições e de cessação de vínculo laboral, são avaliados e revistos com base e requisitos de cibersegurança?”
“Se existem suportes de dados amovíveis estes estão protegidos e a sua utilização é restrita de acordo com uma política definida?”
“O princípio da minimização de funcionalidades é incorporado na configuração dos sistemas de modo a fornecer apenas os recursos necessários ao cumprimento da função?”
“Existe um modelo de referência de operações de rede e fluxos de dados esperados para utilizadores e sistemas que inclui um sistema de detecção e prevenção de intrusões (IDS/IPS), firewall, proxy e firewall de aplicações web (WAF)?”
“Existem mecanismos para detecção de código malicioso nas redes e sistemas de informação da autarquia?” (que podem ser tão simples como antivirus)
“A autarquia tem a capacidade para detectar instalações indevidas de aplicações móveis nos seus equipamentos?” (como o MDM)
“As actividades dos prestadores de serviços externos são monitorizadas para detecção de incidentes de cibersegurança?”
“Existe monitorização de acessos não autorizados de colaboradores, conexões, dispositivos e software?” (através da análise regular de logs de proxies)
“São realizados rastreamentos regulares de vulnerabilidades informáticas?”
“Estão definidos os papéis e responsabilidades na detecção de eventos anómalos?”
“Os processos de detecção são testados sempre que é efectuada uma alteração significativa a um sistema, é efectuada uma alteração aplicacional significativa, é incluído um novo sistema na infraestrutura e há conhecimento de uma nova vulnerabilidade?”
“Estão definidos os processos para receber, analisar e responder a vulnerabilidades provenientes de fontes internas e externas?”
“Existe um plano de comunicação para incidentes de cibersegurança que minimize os impactos na credibilidade e reputação?”
“Existe um CISO ou Chief Information Security Officer? (interno ou externo/outsourcing)”
“Existe um SOC ou seja um centro de operações de segurança que pode operar em regime de 24/7 em dedicação ou em dedicação parcial?”
“Existe uma CSIRT ou “Computer Security Incident Response Team”, uma equipa interna ou externa que tem como principal tarefa responder aos incidentes de segurança e gere e ajuda os utilizadores a recuperarem de incidentes de segurança?”

A todas estas questões não obtivemos respostas mas a todas – sem excepção – apelamos a respostas positivas dentro destas e de outras organizações.