NIS2 Portugal

⚠️ Aviso Importante

Esta página contém ferramentas interativas e tabelas extensas que funcionam melhor num computador desktop.

Para uma experiência completa, recomendamos aceder através de um dispositivo com ecrã maior.

📱 Política de Segurança para Trabalho Remoto

Conformidade NIS2 - Princípios Zero Trust | VPN + MFA | Gestão de Dispositivos

Versão 2.0 - Atualizado com requisitos de trabalho remoto para 2025 (42% dos colaboradores)

Progresso: 0%

📊 Progresso de Customização

0%

67 campos por preencher | 0 itens de checklist concluídos

1. Preâmbulo

A presente Política de Segurança para Trabalho Remoto estabelece as diretrizes, requisitos técnicos e organizacionais para garantir a segurança da informação em contextos de trabalho remoto, em conformidade com a Diretiva NIS2 (EU) 2022/2555.

Com aproximadamente 42% dos colaboradores a trabalhar remotamente em 2025, a [NOME_ORGANIZACAO] reconhece a necessidade imperativa de implementar controlos de segurança robustos baseados em arquitetura Zero Trust, onde nenhum utilizador ou dispositivo é considerado confiável por defeito.

1.1. Âmbito de Aplicação

Esta política aplica-se a:

  • Todos os colaboradores da [NOME_ORGANIZACAO] em regime de trabalho remoto (parcial ou total)
  • Colaboradores externos, consultores e prestadores de serviços com acesso remoto
  • Todos os dispositivos utilizados para aceder a sistemas corporativos remotamente
  • Redes domésticas e públicas utilizadas para acesso aos recursos da organização
  • Dados corporativos acedidos, processados ou armazenados fora das instalações físicas

1.2. Objetivos da Política

  • Confidencialidade: Proteger informação sensível contra acesso não autorizado em ambientes remotos
  • Integridade: Garantir que dados não sejam alterados indevidamente durante transmissão ou armazenamento remoto
  • Disponibilidade: Assegurar acesso contínuo e seguro aos recursos corporativos
  • Conformidade: Cumprir requisitos NIS2 (Artigo 21), RGPD e normas ISO 27001/27002
  • Resiliência: Manter operacionalidade mesmo em cenários de incidentes de segurança

1.3. Princípios Fundamentais

🔐 Zero Trust Architecture

"Never Trust, Always Verify" - Todo o acesso requer verificação contínua de identidade, dispositivo, localização e contexto, independentemente da origem da conexão.

Data de Aprovação: [DATA_APROVACAO]
Aprovado por: [NOME_APROVADOR], [CARGO_APROVADOR]
Próxima Revisão: [DATA_PROXIMA_REVISAO]
Responsável: [NOME_RESPONSAVEL_SEGURANCA], CISO

2. Princípios Zero Trust para Trabalho Remoto

A [NOME_ORGANIZACAO] adota os seguintes princípios Zero Trust (NIST SP 800-207) para ambientes de trabalho remoto:

2.1. Verificação Contínua de Identidade

Nenhum utilizador, dispositivo ou aplicação é considerado confiável por defeito. Todos os acessos requerem:

  • Autenticação Multi-Fator (MFA): Obrigatório para 100% dos acessos remotos
  • Avaliação de Risco em Tempo Real: Análise contínua de comportamento, localização e contexto
  • Sessões com Tempo Limitado: Reautenticação periódica conforme sensibilidade dos dados
  • Validação de Dispositivos: Apenas dispositivos registados e em conformidade podem aceder

2.2. Segmentação Micro-Perimetral

Implementação de controlos de acesso granulares:

  • Least Privilege Access: Utilizadores acedem apenas aos recursos necessários para suas funções
  • Segmentação de Rede: Isolamento lógico entre sistemas críticos e ambientes de trabalho remoto
  • Application-Level Access: Acesso direto a aplicações específicas, não à rede interna completa

2.3. Inspeção e Registo de Tráfego

Tipo de Tráfego Inspeção Logging Retenção
Autenticações VPN ✅ Completa Todos os eventos [RETENCAO_LOGS_VPN] meses
Tráfego Aplicacional ✅ Deep Packet Inspection Metadados + conteúdo suspeito [RETENCAO_LOGS_APLICACIONAL] meses
Transferências de Ficheiros ✅ DLP + Antimalware Todos os uploads/downloads [RETENCAO_LOGS_FICHEIROS] meses
Acesso a Dados Críticos ✅ CASB + UEBA Acesso detalhado [RETENCAO_LOGS_DADOS_CRITICOS] meses

2.4. Proteção Endpoint-to-Cloud

Criptografia end-to-end para toda comunicação remota:

  • TLS 1.3: Protocolo mínimo para comunicações HTTPS
  • VPN com IPSec/IKEv2: Túnel criptografado AES-256 para acesso à rede corporativa
  • Encrypted DNS: DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT)
  • Disk Encryption: BitLocker, FileVault ou LUKS obrigatório em todos os dispositivos

⚠️ Proibições Absolutas

Nunca permitido em trabalho remoto:

  • Acesso direto a servidores internos sem VPN ou Zero Trust Network Access (ZTNA)
  • Armazenamento de credenciais corporativas em gestores de passwords pessoais
  • Partilha de ecrã/sessões remotas sem aprovação explícita
  • Uso de redes Wi-Fi públicas sem VPN ativa

3. Requisitos de Acesso Remoto

3.1. Acesso VPN Obrigatório

Todo o acesso remoto à rede corporativa da [NOME_ORGANIZACAO] deve ser realizado através de VPN aprovada:

Requisito Especificação Técnica Verificação
Protocolo VPN OpenVPN, IPSec/IKEv2, WireGuard Auditoria trimestral de configurações
Criptografia AES-256-GCM ou ChaCha20-Poly1305 Verificação automática na conexão
Autenticação Certificados X.509 + MFA Validação em cada login
Perfect Forward Secrecy DHE ou ECDHE Análise de logs de handshake
Kill Switch Bloqueio de tráfego se VPN cair Teste mensal de failover
Split Tunneling ❌ Proibido para dados corporativos Política forçada via GPO/MDM

3.2. Autenticação Multi-Fator (MFA)

MFA é obrigatório para:

  • Conexão inicial à VPN corporativa
  • Acesso a email corporativo via webmail ou clientes remotos
  • Sistemas de gestão de identidade (Active Directory, Azure AD, Okta)
  • Aplicações SaaS com dados corporativos (Microsoft 365, Google Workspace, Salesforce)
  • Acesso a repositórios de código, sistemas de CI/CD e ambientes de produção
  • Consolas administrativas e sistemas de gestão privilegiada

Métodos MFA Aprovados (por ordem de preferência):

Método Segurança Casos de Uso
🔑 FIDO2 / WebAuthn (YubiKey, etc.) 🟢 Muito Alta Administradores, acesso a dados críticos
📱 Push Notifications (Microsoft Authenticator, Duo) 🟢 Alta Uso geral diário
🔢 TOTP (Google Authenticator, Authy) 🟡 Média-Alta Backup quando push não disponível
💬 SMS (apenas como fallback) 🟠 Baixa-Média Emergências (vulnerável a SIM swapping)

⚠️ MFA Não Aceites

Os seguintes métodos não são considerados MFA válido:

  • Perguntas de segurança (conhecimento estático)
  • Email como segundo fator (facilmente comprometido)
  • Códigos de backup impressos sem segundo fator dinâmico

3.3. Validador de Configuração VPN

🔍 Verificação de Conformidade VPN

Marque os itens que a sua configuração VPN atual implementa:

❌ Configuração VPN não conforme - 0/8 requisitos cumpridos

4. Gestão de Dispositivos para Trabalho Remoto

4.1. Tipos de Dispositivos

A [NOME_ORGANIZACAO] reconhece três categorias de dispositivos para trabalho remoto:

💼 Dispositivos Corporativos

Propriedade: Empresa

Gestão: Total (MDM/MAM)

✅ Vantagens:
  • Controlo total de segurança
  • Configurações padronizadas
  • Suporte IT completo
  • Conformidade garantida
❌ Desafios:
  • Custo de aquisição elevado
  • Manutenção e renovação
  • Logística de distribuição

Recomendado para: Acessos a dados críticos, administradores

🏠 BYOD (Bring Your Own Device)

Propriedade: Colaborador

Gestão: Parcial (MAM apenas)

✅ Vantagens:
  • Redução de custos
  • Familiaridade do utilizador
  • Flexibilidade
  • Satisfação colaboradores
❌ Desafios:
  • Risco de segurança elevado
  • Falta de padronização
  • Dificuldade de auditoria
  • Mistura dados pessoais/corporativos

Recomendado para: Acesso a aplicações não-críticas, consulta de email

🤝 COPE (Corporate Owned, Personally Enabled)

Propriedade: Empresa

Gestão: Híbrida (MDM + uso pessoal permitido)

✅ Vantagens:
  • Controlo de segurança mantido
  • Satisfação do utilizador
  • Separação lógica de dados
  • Melhor compliance
❌ Desafios:
  • Custo de aquisição
  • Políticas de uso pessoal complexas
  • Gestão de privacidade

Recomendado para: Equilibrar segurança e flexibilidade

4.2. Requisitos de Segurança por Tipo de Dispositivo

Requisito de Segurança Corporativo BYOD COPE
Registo em MDM/MAM ✅ Obrigatório ✅ Obrigatório (MAM apenas) ✅ Obrigatório
Criptografia de disco completa ✅ Forçado via MDM ✅ Verificado antes de acesso ✅ Forçado via MDM
Antivírus/EDR instalado [SOLUCAO_EDR] ⚠️ Verificação de compliance [SOLUCAO_EDR]
Atualizações de SO ✅ Automáticas via MDM ⚠️ Verificadas (bloqueio se desatualizadas) ✅ Automáticas via MDM
PIN/Biometria obrigatória ✅ Mínimo 8 dígitos/complexidade ✅ Verificado antes de acesso ✅ Mínimo 8 dígitos/complexidade
Wipe remoto em caso de perda ✅ Dispositivo completo ✅ Apenas dados corporativos ✅ Dispositivo completo
Armazenamento local de dados críticos ✅ Permitido (criptografado) ❌ Proibido ✅ Apenas em container corporativo
Jailbreak/Root ❌ Bloqueado ❌ Acesso negado se detetado ❌ Bloqueado

4.3. Mobile Device Management (MDM)

A [NOME_ORGANIZACAO] utiliza a solução [NOME_SOLUCAO_MDM] para gestão de dispositivos móveis.

Funcionalidades críticas implementadas:

  • Enrollment Obrigatório: Dispositivos não registados não podem aceder a recursos corporativos
  • Conditional Access: Políticas baseadas em compliance (SO atualizado, antivírus ativo, etc.)
  • Application Management: Whitelist de aplicações permitidas, blacklist de apps maliciosas
  • Remote Lock/Wipe: Bloqueio ou eliminação remota em caso de perda/roubo
  • Geofencing: Alertas se dispositivo sair de [PAIS_ORGANIZACAO]
  • Container Corporativo: Separação lógica entre dados pessoais e corporativos (BYOD/COPE)

📱 Processo de Enrollment

1. Colaborador recebe email com link de registo
2. Instalação do perfil MDM ([NOME_PERFIL_MDM])
3. Verificação de compliance automática
4. Instalação de aplicações corporativas via App Store/Play Store gerido
5. Configuração automática de VPN, email e certificados

4.4. Calculadora de Risco BYOD

⚠️ Avaliação de Risco BYOD

Avalie o nível de risco ao permitir dispositivos pessoais (BYOD) na sua organização:

5. Segurança de Endpoints

5.1. Endpoint Detection and Response (EDR)

Todos os dispositivos utilizados para trabalho remoto devem ter solução EDR instalada e ativa:

Solução EDR Corporativa: [NOME_SOLUCAO_EDR]

Capacidade EDR Descrição Ação em Deteção
Behavioral Analysis Deteção de comportamentos anómalos (ransomware, cryptominers) Isolamento automático do dispositivo + alerta SOC
Threat Intelligence Comparação com IoCs conhecidos (hashes, IPs, domínios maliciosos) Bloqueio + quarentena de ficheiro/processo
Machine Learning Deteção de malware zero-day sem assinaturas Análise em sandbox + decisão analista
Memory Protection Prevenção de exploits (buffer overflow, ROP, heap spray) Terminação de processo + logging detalhado
Network Inspection Análise de tráfego de rede gerado pelo endpoint Bloqueio de C2 communication + investigação
Forensics & Timeline Gravação de eventos para investigação post-mortem Retenção de [RETENCAO_LOGS_EDR] dias

5.2. Antivírus e Anti-Malware

Proteção complementar ao EDR para deteção de ameaças conhecidas:

Sistema Operativo Solução Antivírus Atualizações
Windows 10/11 [ANTIVIRUS_WINDOWS] Diárias (assinaturas) + Real-time protection
macOS [ANTIVIRUS_MACOS] Diárias (assinaturas) + XProtect nativo
Linux [ANTIVIRUS_LINUX] Diárias (assinaturas) + ClamAV para scan on-demand
Android Google Play Protect + [ANTIVIRUS_ANDROID] Automáticas via Play Store
iOS/iPadOS Proteções nativas iOS (sandbox, code signing) N/A (arquitetura fechada)

5.3. Gestão de Vulnerabilidades

Atualizações de segurança são críticas para prevenir exploits:

  • Sistemas Operativos: Atualizações críticas aplicadas em [PRAZO_PATCH_CRITICO] dias
  • Aplicações: Browsers, PDF readers, Office suites atualizados mensalmente
  • Firmware: BIOS/UEFI, drivers de rede verificados trimestralmente
  • Scan de Vulnerabilidades: Mensal via [FERRAMENTA_VULN_SCAN]

🚨 Sistemas Operativos Não Suportados

Os seguintes SOs não podem ser utilizados para trabalho remoto:

  • Windows 7, 8, 8.1 (end-of-life)
  • macOS anterior a [MACOS_VERSAO_MINIMA]
  • Android anterior a versão [ANDROID_VERSAO_MINIMA]
  • iOS anterior a versão [IOS_VERSAO_MINIMA]
  • Distribuições Linux sem suporte de segurança ativo

5.4. Checklist de Segurança de Dispositivos

✅ Verificação de Compliance do Dispositivo

Antes de utilizar um dispositivo para trabalho remoto, confirme que cumpre todos os requisitos:

6. Proteção de Dados e Data Loss Prevention (DLP)

6.1. Princípios de Proteção de Dados

Em ambientes de trabalho remoto, a proteção de dados corporativos requer controlos adicionais:

  • Data Classification: Todos os dados classificados como Confidencial ou superior não podem ser armazenados localmente em dispositivos BYOD
  • Encryption in Transit: TLS 1.3 para todas as comunicações, VPN para acesso à rede
  • Encryption at Rest: Criptografia de disco completa obrigatória
  • Data Minimization: Apenas dados estritamente necessários devem ser acedidos remotamente
  • Right to Erasure: Capacidade de apagar remotamente dados corporativos em caso de perda/roubo

6.2. Solução DLP Implementada

Tecnologia DLP: [NOME_SOLUCAO_DLP]

Canais monitorizados:

Canal Monitorização Ações Preventivas
Email (SMTP/IMAP) Scanning de anexos e corpo de mensagens Bloqueio de envio + alerta a [EMAIL_DLP_ALERTS]
Cloud Storage (OneDrive, Google Drive) CASB monitoring de uploads/partilhas Bloqueio de partilha externa + quarentena de ficheiro
USB/Dispositivos Externos Registo de transferências para dispositivos removíveis Bloqueio completo (exceto whitelisted devices)
Impressoras Logging de documentos impressos (follow-me printing) Watermarking automático em documentos confidenciais
Clipboard Deteção de copy-paste entre aplicações Bloqueio de paste em apps não-corporativas
Screenshots Deteção via EDR de screenshots de dados sensíveis Alerta + revisão manual
Browsers Web DLP em uploads para sites não aprovados Bloqueio de upload + redirecionamento para política

6.3. Políticas DLP por Classificação de Dados

Classificação Exemplos Políticas de Proteção
🔴 Crítico Dados pessoais sensíveis (RGPD Art. 9), segredos comerciais, credenciais • Acesso apenas via terminal server/VDI
• Proibido download local
• MFA obrigatório para cada acesso
• Watermarking visível
🟠 Confidencial Contratos, informação financeira, estratégias de negócio • Criptografia obrigatória (AES-256)
• Bloqueio de partilha externa
• Logging completo de acessos
• IRM (Information Rights Management)
🟡 Interno Políticas internas, comunicações corporativas, apresentações • Criptografia recomendada
• Partilha externa requer aprovação
• DLP em modo audit (não bloqueio)
🟢 Público Informação já publicada, marketing, comunicados de imprensa • Sem restrições DLP
• Pode ser partilhado livremente

6.4. Armazenamento de Dados

☁️ Cloud-First Strategy

A [NOME_ORGANIZACAO] adota estratégia cloud-first para trabalho remoto:

  • OneDrive for Business / SharePoint: Armazenamento primário de documentos
  • Sync Seletivo: Apenas ficheiros recentes em cache local
  • Files On-Demand: Ficheiros mantidos apenas na cloud, baixados sob demanda
  • Version History: 500 versões mantidas para recuperação de ransomware

Armazenamento local proibido para:

  • Bases de dados corporativas (SQL, Oracle, etc.)
  • Ficheiros classificados como Críticos ou Confidenciais
  • Credenciais, chaves de criptografia, certificados digitais
  • Código-fonte de aplicações críticas

6.5. Resposta a Incidentes de Data Loss

Em caso de suspeita de fuga de dados:

  1. Deteção: Alerta DLP ou reporte de utilizador
  2. Contenção: Isolamento imediato do dispositivo via MDM/EDR
  3. Análise: Revisão de logs DLP, EDR e SIEM para determinar scope
  4. Notificação: Informar [EMAIL_DPO] (DPO) em [PRAZO_NOTIFICACAO_DPO] horas
  5. Recuperação: Wipe remoto de dados se necessário, rotação de credenciais comprometidas
  6. Lições Aprendidas: Post-mortem e ajustes à política DLP

7. Conectividade e Segurança de Redes

7.1. Tipos de Redes e Níveis de Confiança

Tipo de Rede Nível de Confiança Requisitos de Segurança
🏠 Rede Doméstica (casa do colaborador) 🟡 Média • VPN obrigatória para acesso a recursos corporativos
• Router com password forte (WPA3 ou WPA2)
• SSID não corporativo (para separação)
• Verificação periódica de dispositivos conectados
☕ Wi-Fi Público (cafés, aeroportos, hotéis) 🔴 Baixa • VPN sempre ativa antes de qualquer acesso
• Desativar partilha de ficheiros e descoberta de rede
• Evitar transações sensíveis se possível
• Utilizar apenas HTTPS
📱 Hotspot Móvel (4G/5G do colaborador) 🟢 Alta • Password forte no hotspot
• VPN recomendada (não obrigatória para 5G)
• Monitorizar consumo de dados
🏨 Rede de Cliente/Parceiro 🟡 Média • VPN obrigatória
• Firewall do dispositivo ativo
• Desativar auto-connect após visita

7.2. Segurança de Redes Domésticas

Colaboradores em teletrabalho devem configurar suas redes domésticas com os seguintes controlos mínimos:

  • Alteração de Credenciais Padrão: Username e password do router devem ser alterados do default do fabricante
  • WPA3 ou WPA2-AES: Protocolo de criptografia Wi-Fi mínimo aceitável
  • SSID Único: Não utilizar nome de rede que identifique a organização
  • Guest Network: Dispositivos IoT (smart TVs, assistentes virtuais) em rede separada
  • Firewall do Router Ativo: Verificar que firewall está habilitado
  • Firmware Atualizado: Router deve ter última versão de firmware para corrigir vulnerabilidades
  • Desativar WPS: Wi-Fi Protected Setup é vulnerável a ataques de força bruta
  • Desativar Gestão Remota: Admin interface do router não deve ser acessível da internet

🚨 Redes Proibidas

Nunca conectar a recursos corporativos através de:

  • Redes Wi-Fi abertas sem password (mesmo com VPN, risco de MITM)
  • Redes de transportes públicos (comboios, autocarros) sem VPN
  • Hotspots de dispositivos desconhecidos (risco de rogue AP)
  • VPNs públicas gratuitas (risco de logging e MITM)

7.3. Controlos de Segurança de Rede

Controlo Implementação Responsável
DNS Filtering Bloqueio de domínios maliciosos/phishing via DNS corporativo IT - [RESPONSAVEL_REDE]
URL Filtering Proxy/firewall bloqueia categorias proibidas (gambling, adult, malware) IT - [RESPONSAVEL_SEGURANCA]
SSL Inspection Decriptação de tráfego HTTPS para inspeção DLP (exceto sites sensíveis: banca, saúde) IT - [RESPONSAVEL_SEGURANCA]
IDS/IPS Deteção de padrões de ataque em tráfego VPN SOC - [RESPONSAVEL_SOC]
Bandwidth Management QoS para priorizar tráfego crítico (VoIP, videoconferência) IT - [RESPONSAVEL_REDE]
Geo-Blocking Bloqueio de acessos de países não autorizados: [PAISES_BLOQUEADOS] IT - [RESPONSAVEL_SEGURANCA]

7.4. Videoconferência Segura

Ferramentas aprovadas para reuniões com informação corporativa:

  • Plataforma primária: [PLATAFORMA_VIDEO_PRINCIPAL]
  • Alternativas aprovadas: [PLATAFORMAS_VIDEO_ALTERNATIVAS]

Boas práticas de segurança em videoconferência:

  • Utilizar sala de espera (waiting room) para controlar admissões
  • Activar criptografia end-to-end quando disponível
  • Nunca partilhar link de reunião publicamente (risco de Zoombombing)
  • Exigir autenticação corporativa para reuniões sensíveis
  • Gravar reuniões apenas se estritamente necessário (RGPD compliance)
  • Utilizar fundos virtuais desfocados para proteger privacidade do espaço doméstico
  • Bloquear ecrã quando não estiver à frente do dispositivo durante reunião

8. Monitorização e Logging

8.1. Objetivos de Monitorização

A monitorização de atividades de trabalho remoto tem como objetivos:

  • Deteção de Incidentes: Identificar atividades suspeitas ou maliciosas em tempo real
  • Compliance: Verificar adesão às políticas de segurança e conformidade regulatória
  • Investigação Forense: Capacidade de rastrear eventos em caso de incidente confirmado
  • Auditoria: Demonstrar controlos para auditorias NIS2 e ISO 27001
  • Optimização: Identificar bottlenecks de performance ou usabilidade

8.2. Eventos Monitorizados

Categoria Eventos Registados Retenção
Autenticação Login/logout VPN, MFA challenges, falhas de autenticação, mudanças de password [RETENCAO_LOGS_AUTH] meses
Acesso a Dados Abertura/edição/download de ficheiros críticos, queries a bases de dados [RETENCAO_LOGS_DATA_ACCESS] meses
Alterações de Sistema Instalação de software, mudanças de configuração, alterações de permissões [RETENCAO_LOGS_SYSTEM] meses
Tráfego de Rede Conexões estabelecidas, volume de dados transferidos, IPs acedidos [RETENCAO_LOGS_NETWORK] meses
Atividade DLP Tentativas de exfiltração, bloqueios de DLP, alertas de políticas [RETENCAO_LOGS_DLP] meses
Segurança Endpoint Alertas EDR, deteções de malware, isolamentos de dispositivos [RETENCAO_LOGS_EDR] meses

8.3. SIEM e Correlação de Eventos

Solução SIEM: [NOME_SOLUCAO_SIEM]

Fontes de logs integradas:

  • VPN concentrators ([FABRICANTE_VPN])
  • Active Directory / Azure AD
  • Soluções EDR ([NOME_SOLUCAO_EDR])
  • DLP ([NOME_SOLUCAO_DLP])
  • Cloud Access Security Broker (CASB) - [NOME_SOLUCAO_CASB]
  • Firewalls e proxies web
  • Aplicações críticas (SAP, CRM, ERP)

Use cases SIEM para trabalho remoto:

  • Impossible Travel: Login de dois locais geograficamente distantes em tempo impossível
  • Múltiplas Falhas MFA: X tentativas falhadas de MFA em Y minutos (possível phishing)
  • Download Massivo: Transferência anómala de grande volume de dados
  • Acesso Fora de Horário: Login em horários inusuais para o utilizador
  • Mudança de Privilegios: Elevação de permissões não autorizada
  • Acesso a Dados Sensíveis: Utilizador sem histórico de acesso a dados críticos acede pela primeira vez

8.4. User and Entity Behavior Analytics (UEBA)

Machine learning aplicado para detetar anomalias comportamentais:

  • Baseline de Comportamento: Sistema aprende padrões normais de cada utilizador (horários, volumes de dados, aplicações acedidas)
  • Scoring de Risco: Atribuição de score de risco dinâmico baseado em desvios do baseline
  • Alertas Contextuais: Redução de falsos positivos através de correlação de múltiplos indicadores

📊 Indicadores UEBA Típicos para Trabalho Remoto

  • Utilizador habitualmente em Lisboa faz login de Moscovo
  • Engenheiro de software acede pela primeira vez a dados RH
  • Download de 50GB de dados quando média histórica é 2GB/mês
  • Acesso a 10x mais ficheiros que o normal num curto período
  • Uso de VPN de país não autorizado

8.5. Transparência e Privacidade

Em conformidade com RGPD e legislação laboral portuguesa:

  • Informação Prévia: Colaboradores são informados sobre monitorização no contrato de trabalho
  • Proporcionalidade: Apenas dados necessários para segurança são recolhidos (não há keylogging ou screenshots contínuos)
  • Finalidade Específica: Logs utilizados apenas para segurança, não para avaliação de performance
  • Acesso Restrito: Apenas [CARGO_ACESSO_LOGS] pode aceder a logs de atividade individual
  • Retenção Limitada: Logs apagados após período definido (exceto se em investigação de incidente)

⚠️ Monitorização Proibida

As seguintes práticas não são permitidas sem consentimento explícito e justificação legal:

  • Gravação de áudio ou vídeo contínua
  • Keylogging integral (captura de tudo o que é digitado)
  • Screenshots automáticos periódicos
  • Monitorização de comunicações pessoais (email pessoal, redes sociais)
  • Tracking de localização GPS em dispositivos pessoais (BYOD)

9. Formação, Consciencialização e Compliance

9.1. Programa de Formação Obrigatória

Todos os colaboradores em regime de trabalho remoto devem completar:

Formação Frequência Duração Tópicos
Onboarding de Segurança Remota Antes de iniciar trabalho remoto 2 horas • Política de trabalho remoto
• Configuração VPN e MFA
• Boas práticas de password
• Identificação de phishing
Segurança em Trabalho Remoto Anual 1 hora • Atualizações à política
• Casos de estudo de incidentes
• Quiz de validação de conhecimento
Simulações de Phishing Trimestral N/A • Emails simulados de phishing
• Formação adicional para quem "clica"
Resposta a Incidentes (IR) Anual 30 minutos • Como reportar incidente
• Contactos de emergência
• Procedimentos básicos

9.2. Tópicos Críticos de Consciencialização

🎯 Foco nas Ameaças Específicas de Trabalho Remoto

  • Ataques Man-in-the-Middle: Risco em redes públicas, importância de VPN
  • Shoulder Surfing: Proteção de ecrã em espaços públicos, privacy filters
  • Rogue Access Points: Verificar nome exato de redes Wi-Fi antes de conectar
  • Social Engineering: Aumentou 300% com trabalho remoto (chamadas falsas de IT)
  • Ransomware: Cuidado com anexos de email, downloads de sites suspeitos
  • Insider Threats: Familiares/coabitantes podem aceder indevidamente a dispositivos

9.3. Verificações de Compliance

Auditorias regulares:

  • Mensal: Verificação automática de compliance via MDM (SO atualizado, antivírus ativo, etc.)
  • Trimestral: Auditoria de configurações VPN e revisão de logs de acesso
  • Semestral: Entrevistas com amostra de colaboradores remotos sobre práticas de segurança
  • Anual: Auditoria externa de conformidade NIS2 incluindo testes de penetração a VPN

9.4. Consequências de Não-Conformidade

Violações às políticas de segurança de trabalho remoto resultam em:

Gravidade Exemplos Consequências
🟢 Baixa Esquecimento de ativar VPN pontual, password fraca Aviso verbal + formação de refrescamento
🟡 Média Utilização de dispositivo não autorizado, partilha de credenciais Aviso formal escrito + formação obrigatória
🟠 Alta Desativar EDR/antivírus, armazenar dados críticos em cloud pessoal Suspensão de acesso remoto + procedimento disciplinar
🔴 Crítica Exfiltração intencional de dados, instalação de malware deliberada Despedimento + processo legal (criminal se aplicável)

9.5. Contactos de Segurança

📞 Em Caso de Incidente de Segurança

Reportar imediatamente a:

  • Email: [EMAIL_SEGURANCA]
  • Telefone (24/7): [TELEFONE_SEGURANCA]
  • Teams/Slack: Canal [CANAL_SEGURANCA]
  • CISO: [NOME_CISO] - [EMAIL_CISO]

Tipos de incidentes a reportar: dispositivo perdido/roubado, suspeita de malware, phishing recebido, acesso não autorizado, violação de dados.

9.6. Revisão e Atualização da Política

Esta política é revista [PERIODICIDADE_REVISAO] ou sempre que:

  • Alterações significativas à infraestrutura de trabalho remoto
  • Novos requisitos regulatórios (NIS2, RGPD, etc.)
  • Incidentes de segurança graves que exponham gaps na política
  • Mudanças no modelo de trabalho da organização
  • Novas tecnologias ou ameaças emergentes

Histórico de Versões:

Versão Data Alterações Principais Autor
2.0 [DATA_VERSAO_2] Atualização para NIS2, adição de Zero Trust, calculadora BYOD [AUTOR_VERSAO_2]
1.5 [DATA_VERSAO_1_5] Inclusão de requisitos MDM e DLP [AUTOR_VERSAO_1_5]
1.0 [DATA_VERSAO_1] Versão inicial da política [AUTOR_VERSAO_1]

9.7. Aprovação e Distribuição

Aprovado por:
[NOME_CEO], CEO
[NOME_CISO], Chief Information Security Officer
[NOME_DPO], Data Protection Officer
[NOME_LEGAL], Legal Counsel

Distribuição: Esta política é distribuída a todos os colaboradores via email corporativo e disponibilizada permanentemente em [URL_INTRANET_POLITICAS].

Reconhecimento obrigatório: Todos os colaboradores devem assinar digitalmente o reconhecimento de leitura e compreensão desta política via plataforma [PLATAFORMA_RECONHECIMENTO].

Política de Segurança para Trabalho Remoto - Conformidade NIS2
[NOME_ORGANIZACAO] | Última atualização: [DATA_ATUALIZACAO]