Preocupações com cibersegurança na CM Amadora

Preocupações com cibersegurança na CM Amadora

Objetivos do servioç TIC na CMA: garantir a Eficiência, Racionalização de Custos, disponibilidade, Segurança e Suporte do Sistema de Informação e das Tecnologias de Informação e Comunicação que o sustentam

O Processo TIC na CMA aplica-se às atividades e competências relacionadas com as áreas de Sistemas e Tecnologias de Informação e Comunicação, sendo transversal a todas as áreas funcionais da Câmara Municipal da Amadora.

Na CM Amadora, cujos serviços TIC são certificados ISO 27001:2013, um dos dois únicos municípios do país certificados por este referencial.

Os objetivos gerais para a gestão de segurança da informação são os seguintes: criar uma melhor imagem do município, reduzir os danos causados por possíveis incidentes, e, estes estão em linha com os objetivos da organização, estratégia e plano. O Gestor de Processo é responsável por rever estes objetivos gerais do SGSI e por definir novos objetivos.

A Declaração de aplicabilidade (SOA) identifica os controlos que estão implementados, os objetivos desses controlos e como estes são implementados. A Comissão de Segurança da Informação (CSI) identifica, promove e aprova a implementação dos controlos identificados no SOA.

A CSI é responsável por definir o método para a medição da realização dos objetivos – a medição será executada pelo menos uma vez por ano e o Gestor do Processo irá analisar e avaliar os resultados da medição e reportá-los para a Gestão de Topo, como material para a revisão de gestão.

Os pontos cruciais para a Gestão da Segurança da Informação na CM Amadora são:

  • Abordagem para o estabelecimento de objetivos;
  • Princípios orientadores para a Segurança da informação;
  • Princípios de ação relacionados com a Segurança da Informação;
  • Abordagem por processos;
  • Abordagem para a melhoria contínua do Sistema;
  • Abordagem para a gestão da conformidade legal, regulatória e contratual.

Requisitos de segurança da informação

Todo o SGSI (Sistema de Gestão de Segurança de Informação) deve estar em conformidade com os requisitos legais e regulamentares da organização na área de segurança da informação, bem como com as obrigações contratuais.

Preocupações com segurança de informação e cibersegurança

Sempre que se inicie um processo de desenvolvimento de um novo sistema de informação, devem ser identificados, documentados e revistos regularmente os Requisitos da Segurança da Informação, utilizando diversos métodos nomeadamente derivar requisitos de conformidade face a políticas e regulamentação, modelação de ameaças ou revisões de incidentes da Segurança da Informação.

Os requisitos da Segurança da Informação e os controlos devem refletir o valor da informação para com o negócio e o potencial impacto negativo que poderá resultar pela proteção dessa informação de forma inadequada.

A identificação e a gestão dos Requisitos da Segurança da Informação e processos associados devem ser integradas nos estágios iniciais de projetos de novos sistemas de informação.

É proibido utilizar os ativos de informações por forma a que estes coloquem em risco a confidencialidade, integridade ou disponibilidade da informação que possuem.

Por exemplo, é proibido:

  • Instalar software/aplicações num computador local sem a permissão explícita pelo serviço TIC;
  • Fazer download de códigos de programas a partir de dispositivos externos;
  • Instalar ou usar dispositivos periféricos, como cartões de memórias ou outros dispositivos de armazenamento e leitura de dados (por exemplo, pen drives USB) sem permissão explícita pelo serviço TIC.

Sensibilização e formação

São feitas campanhas de sensibilização na intranet municipal e via e-mail relativas a segurança de informação e cibersegurança.

Também é disponibilizada formação específica. Decorre na CMA formação de Security Awareness Training – Segurança da Informação, que iniciou a 18 Outubro do corrente ano e disponível por um período de dois meses.

Esta formação é realizada on-line e com flexibilidade de horário, sendo constituída por módulos de curta duração, não tendo caráter obrigatório completá-los consecutivamente.

É efetuada Avaliação e monitorização periódica do processo de consciencialização/ sensibilização.

Segurança de informaçao e cibersegurança

Dado o conjunto de vulnerabilidades que se constata diariamente a nível do reconhecimento de ameaças (por exemplo mails inseguros), reforça-se, mais uma vez, a importância da formação e sensibilização para estas matérias, pois já existiram casos de aproveitamento de vulnerabilidades.

É feita monitorização constante 24/7 pela solução de Firewall, Web email security, filtering e Antivírus endpoint, baseada na Sophos, que dão origem a indicadores e métricas que são registadas ao longo do tempo mensalmente, bimestralmente, trimestralmente e anualmente, antes e depois do contexto de pandemia e de teletrabalho.

Desta análise resultou a evidência de um aumento superior a 13 vezes no número médio de eventos antivírus mensal, registado no pico da pandemia e de cerca de 7.5 vezes mais agora, considerando o período pré pandémico.

Também por este indicador é tangível que será útil reforçar a sensibilização para este tema, de forma a cada um de nós perceber melhor as ameaças, para o trabalhador e para a organização, cujo risco é comprometer a confidencialidade, disponibilidade e integridade da informação da CMA.

De forma a fortificar o alargamento do perímetro de segurança lógica foram, criadas e aplicadas regras de segurança que obrigam à presença do Endpoint do Antivirus da organização, não só para uso da VPN em casa, como também para dispositivos se ligarem à rede na organização localmente.

Existe a obrigatoriedade do uso do protocolo https em sites para o exterior e internos da responsabilidade da CMA.

Foi criado pelo serviço TIC um manual com o conjunto de questões com as quais os utilizadores mais se deparam em teletrabalho, que se encontra também disponível num site interno da CMA para todos os utilizadores (alguns exemplos, Acesso remoto, Assistência remota, Alterar palavra-passe em teletrabalho, Intranet, Assiduidade, Partilhas, Email, VPN).

De forma a tornar a infraestrutura mais resiliente, entrou em produção em 2021 uma solução de disaster recovery (DR), que combina um conjunto de políticas e de procedimentos que permite a recuperação da infraestrutura tecnológica e dos sistemas críticos, em caso de desastre, tornando o sistema mais resistente.

A Gestão de topo (Presidente Dr.ª Carla Tavares e Vereadora do Pelouro, Dr.ª Ana Carla Venâncio) está envolvida e promove todas estas ações.

 

com a colaboração de: Drª. Cidália Jorge, Drª. Anabela Lourenço e Dr. Ricardo Jorge Simões

Ricardo Madeira Simões

Ricardo Madeira Simões

Chefe de Divisão de Sistemas e TIC
CM Amadora

Chefe de Divisão de Sistemas e Tecnologias de Informação e Comunicação da Câmara Municipal da Amadora

Outros artigos deste autor


REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.