Propomos que todos as organizações, a partir desta lista (aberta) de sugestões, elabore uma “IT Cibersecurity Policy”, que inclua (entre outras) as seguintes medidas:

Generalidades:

1. Todos os colaboradores (incluindo os novos em “onboarding”) devem receber, ler e assinar um documento contendo as restrições e práticas em vigor e que se aplicam aos assets de IT da organização. Só depois é que recebem as credenciais de acesso aos sistemas.
2. Todos os equipamentos da organização, na ausência do utilizador, devem ser locked pelos próprios ou através de uma policy remotamente aplicada.
3. Uso obrigatório de passwords em todos os sistemas incluindo telemóveis da organização e aplicações de uso interno.
4. As passwords devem ser mudadas regularmente e serem complexas e não podem ser partilhadas com ninguém. Deve ser ponderado o uso de passphrases em lugar de passwords.
5. O acesso remoto aos equipamentos da organização deve ser feito apenas com formas que exigem o consentimento do utilizador. Resguardam-se as actividades do suporte de IT que tecnicamente sejam necessárias ou não o exijam.
6. Deve ser proibido copiar ou apagar dados da organização sem ter previamente obtido o consentimento por parte da sua chefia directa.
7. Todos os devices USB de armazenamento de dados devem estar encriptados.
8. O uso da autenticação por múltiplo factor é mandatório.
9. Nenhum utilizador – independentemente da sua função ou posição hierárquica – deve ser administrador local das suas máquinas e nem estar logado em contas de administração local ou de rede.
10. Os acessos a servidores em modo de administração deve ser feito em contas diferentes daquelas em que os técnicos de suporte habitualmente usam nos seus equipamentos pessoais.
11. É obrigatório o reporte pelos canais adequados de qualquer quebra de cibersegurança, acesso não autorizado, exposição de dados da organização ou de qualquer comportamento anómalo, inseguro ou suspeito (como um possível mail de phishing) à área de IT da organização.

12. Política de uso do correio electrónico:
12a. É proibido o uso de contas de mail pessoais para fins de serviço.
12b. É proibido abrir anexos de mail de fontes desconhecidas (porque podem conter malware).
12c. É proibido o uso pessoal excessivo do email da organização.

13. Política de uso da internet:
13a. O acesso à Internet através dos meios das organizações é feito apenas para fins de negócio da organização.
13b. A organização irá monitorizar todos os acessos à Internet.
13c. É proibido o acesso a sites de categorias que possam colocar em risco a cibersegurança da organização.
13d. Todos os downloads devem ser feitos a partir de sites conhecidos e com boa reputação.
13e. É estritamente vedado o download de aplicações e jogos para os computadores da empresa (com excepção da equipa de suporte de IT)
13f. É proibida a instalação de software de controlo remoto (com excepção da equipa de suporte de IT ou quando esta, explicitamente, o indicar).
13g. É proibido o acesso e download a conteúdos tais como música, filmes e software dado que frequentemente estes sites procuram injectar malware nos computadores onde estas operações são realizadas.
13h. Usar o endereço de mail da organização para se registrar em sites dado que isso abre a porta a campanhas de spam e phishing.

14. Política de Acesso Remoto:
14a. O acesso a partir do exterior da rede deve ser hierarquicamente aprovado.
14b. O uso dos sistemas da organização por entidades terceiras é proibido.
14c. O acesso a meios da organização deve ser feito apenas a partir de uma VPN da organização e não a partir de computadores pessoais ou partilhados (p.ex Google Workplace ou Office 365).
14d. A organização tem o direito de monitorizar o tráfego nas redes a partir de onde o colaborador acede aos recursos da organização por forma a identificar padrões de uso anómalo ou a actividade de malware.

Paralelamente, a organização deve também definir:
1. Uma “Data Breach Response Policy“: Que defina como se lida com um incidente de cibersegurança e quais são as opções de remediação para as operações da organização e para os seus parceiros. Esta política deve definir as responsabilidades de cada área da organização identificando funções e competências e incluir métodos de feedback interno e externo.
2. Um “Disaster Recovery Plan“: Como parte de uma estratégia de continuidade da actividade em que o CISO e a equipa que o apoia deve gerir o incidente de cibersegurança.
3. Um “Business Continuity Plan“: que descreva como é que a organização vai funcionar numa emergência e que coordene os esforços entre as diversas áreas da organização. Este BCP pode ser activado durante um incidente de ransomware e levar à reposição de backups o que pressupõe que estes devem ser conservados em cold storage e em localização remota.
4. Uma política de “offboarding” de utilizadores quando estes abandonam a organização.