PARTE IV- CIBERSEGURANÇA

AUTARQUIA:

SECÇÃO I - ESTRUTURA DE SEGURANÇA ORGANIZACIONAL

A. UNIDADES 1. O Município dispõe de uma unidade interna com competências específicas na área da cibersegurança?

Em caso de resposta afirmativa à questão anterior:
a) Quantas pessoas integra?

2. O Município designou um Ponto de Contacto Permanente, de modo a assegurar os fluxos de informação de nível operacional e técnico com o Centro Nacional de Cibersegurança?

3. O Município designou um Responsável de Segurança, para a gestão do conjunto das medidas adotadas em matéria de requisitos de segurança e de notificação de incidentes?

SECÇÃO II - GESTÃO DE ATIVOS

4. O Município dispõe de um inventário atualizado de todos os ativos essenciais para a prestação dos respetivos serviços?

Em caso de resposta afirmativa à questão anterior:

a) O mesmo foi objeto de validação e assinatura por parte do Responsável de Segurança?

b) O mesmo foi comunicado ao Centro Nacional de Cibersegurança?

c) É mantida uma relação entre cada ativo, respetivo responsável e finalidade da sua utilização?

5. A gestão de ativos é realizada segundo uma abordagem simplificada, automatizada e que reduza a burocracia?

6. Os serviços e funções críticas prioritárias do Município encontram-se definidos e associados com a tecnologia a ser utilizada?

7. As contas de acesso internas e externas encontram-se devidamente catalogadas?

8. É estimado o valor que essas contas podem representar para um potencial agente malicioso?

9. O Município dispõe de mecanismos internos para rastrear as “pegadas digitais” dos seus trabalhadores e agentes, e, em especial, daqueles a que tenham sido concedidos acessos privilegiados?

10. O Município dispõe de documentação interna relativa aos seus fornecedores, bem assim como aos ativos de TI que eles mantêm?

11. O Município dispõe de mecanismos internos suscetíveis de facilitar a identificação de ativos desconhecidos e reduzir as chances de perder algo?

12. O Município dispõe de um plano para validar o seu sistema de gestão de ativos?

13. O Município dispõe de políticas e procedimentos internos com vista à desativação de quaisquer sistemas ou informações que deixem de ser utilizados ou deixem de ser necessários?

SECÇÃO III - GESTÃO DE RISCOS CIBERNÉTICOS

A. AVALIAÇÃO DE RISCOS CIBERNÉTICOS

14. Município realiza uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utiliza, nos termos O do artigo 10.º/1 do Decreto-Lei n.º 65/2021, de 30 de Julho?

Em caso de resposta afirmativa à questão anterior:

a) Essa análise abrange, relativamente a cada ativo:

b) Essa análise tem em consideração:

c) O Município implementa medidas técnicas e organizativas adequadas para gerir os riscos identificados através da referida análise, após a realização da mesma?

d) O Município documenta todas as informações relativas à preparação, execução e apresentação dos resultados de tal análise?

B. PLANO DE CIBERSEGURANÇA

15 - O Município dispõe de um plano de segurança?

Em caso de resposta afirmativa à questão anterior:

a) O mesmo encontra-se devidamente documentado e assinado pelo Responsável de Segurança?

b) O mesmo contém:

c) O mesmo é revisto, e se necessário, atualizado, em função da evolução do contexto de atuação do Município e da ocorrência de incidentes?

C. POLÍTICAS DE CIBERSEGURANÇA

16. A segurança cibernética é considerada noutras políticas do Município?

17. A forma como como as pessoas são apoiadas ao interagirem com tecnologia, sistemas e serviços é segura e utilizável?

18. As pessoas contribuem para a gestão dos riscos de segurança cibernética do Município?

19. São catalogados as ferramentas, métodos, frameworks e padrões, normas ou regulamentos utilizados pelo Município para obter informações relativamente aos riscos associados aos seus sistemas e serviços?

20. São empregues as estratégias de contra-ataque mais comuns baseadas na Internet?

21. São estabelecidas parcerias com outras entidades para partilha de conhecimento na área da cibersegurança?

22. Os riscos cibernéticos identificados pelo Município são comunicados de uma forma eficaz para os seus trabalhadores e agentes?

23. São empregues controlos com vista à mitigação desses riscos?

24. Os trabalhadores e agentes são incentivados a liderar ações de segurança cibernética pelo exemplo?

25. Os responsáveis máximos do Município respeitam as políticas de segurança e não solicitam “tratamento especial” em relação à instalação de dispositivos ou acessos fora do padrão?

26. A equipa de segurança estabelece contactos com os demais serviços do Município, com vista a percecionar em que consiste o seu trabalho diário?

27. São compreendidas as perspetivas, fluxo de trabalho e pressões para saber quais barreiras podem haver para a realização de determinadas atividades?

28. As pessoas com experiência e conhecimento acerca do funcionamento interno do Município são incluídas no processo de formulação de políticas de segurança?

29. O Município dispõe de procedimentos internos com vista ao reporte de questões relacionadas com cibersegurança, dentro da organização?

30. O Município elabora um Relatório Anual que, em relação ao ano civil a que se reporta, inclua os seguintes elementos:

a) Em caso de resposta afirmativa à questão anterior, tal Relatório é remetido ao Centro Nacional de Proteção de Dados, nos termos do artigo 8.º/2 do Decreto-Lei n.º 65/2021, de 30 de Julho?

D. FORMAÇÃO E SENSIBILIZAÇÃO

31. São realizadas campanhas de sensibilização na área da segurança cibernética?

32. São realização formações, na área da segurança cibernética, para atender às necessidades do Município?

Em caso de resposta afirmativa à questão anterior:

a) Os trabalhadores e agentes do Município são envolvidos no processo de estruturação de tais formações, com vista à melhor adaptação dos seus conteúdos à realidade da instituição?

b) Essas formações são ministradas de forma frequente?

c) Os conteúdos dessas formações são pequenos e fáceis de serem assimilados?

d) Os participantes nessas formações contribuem para o aprimoramento de formações futuras?

e) Essas formações contam com o apoio dos responsáveis máximos do Município?

f) Os formadores escolhidos dispõem de conhecimentos adequados sobre a matéria e sobre a sua adaptação à realidade da instituição?

SECÇÃO IV - ARQUITETURA E CONFIGURAÇÃO

33. O Município está ciente dos riscos que está (ou não) disposto a aceitar, antes de projetar um sistema?

35. Encontram-se identificados os sistemas e componentes mais críticos para a missão do Município?

36. É considerada a vida útil esperada dos sistemas do Município?

37. Antes de se projetar um sistema, é efetuada uma análise de mercado, com vista a averiguar se existem produtos ou serviços equivalentes que ofereçam melhores garantias de segurança?

38. Aquando da implantação de serviços informatizados, é considerada a possibilidade de recurso a um modelo de responsabilidade partilhada de serviços em nuvem?

39. São aplicadas configurações seguras em servidores e dispositivos dos utilizadores, com vista a restringir as opções disponíveis a um potencial agente malicioso?

40. Os dados de fontes externas ou menos confiáveis são transformados, validados ou renderizados com segurança para que não possam ser usados para criar um ataque contra os sistemas do Município?

41. Os e-mails de domínio são dificultados para que não sejam falsificados?

42. São empregues controlos anti-spoofing para evitar phishing convincentes?

43. Os sistemas e serviços são projetados para serem seguros por padrão?

44. São identificados e catalogados quaisquer métodos que os utilizadores possam recorrer para contornar as medidas de segurança implementadas?

45. Os controles de segurança escolhidos demonstram-se eficazes na mitigação dos riscos?

46. Os controlos mais críticos foram objeto de validação através de uma auditoria independente?

47. Os componentes críticos de rede, dados e comunicações são isolados através de redes segregadas ou através da adoção de uma arquitetura de confiança zero?

48. Os controlos de aplicações estão configurados para permitir apenas executáveis autorizados?

49. São desativadas macros para usuários e aplicativos não necessários?

50. O Município possui um plano de backup e de recuperação eficiente para proteger dados e ofertar uma resposta eficiente em caso de incidentes?

51. Os sistemas do Município são monitorizados para facilitar a deteção e investigação em caso do seu comprometimento?

52. As interfaces encontram-se protegidas e geridas para dificultar o acesso indevido a funções críticas?

SECÇÃO V - GESTÃO DE VULNERABILIDADES

53. São disponibilizadas atualizações automáticas para sistemas operativos e softwares?

54. São utilizados serviços geridos, como soluções do tipo SaS (Software como Serviço) de fornecedores com histórico comprovado de segurança?

55. São realizados estudos de priorização de vulnerabilidades?

56. Existem planos de mitigação alternativos para vulnerabilidades mais difíceis de corrigir?

57. São definidos métodos de teste manuais (testes de penetração ou exercícios em “equipe vermelha”) em complemento de ferramentas automatizadas?

SECÇÃO VI - GESTÃO DE IDENTIDADES E CONTROLO DE ACESSOS

58. Foram definidas políticas e procedimentos de gestão de identidade e acesso?

59. É efetuado um controlo de quem pode aceder aos dados e sistemas do Município? Foram definidos métodos apropriados para estabelecer e provar a identidade dos utilizadores, dispositivos ou sistemas, com confiança suficiente para tomar decisões de controlo de acesso?

60. Foram estabelecidos acordos de não divulgação com entidades terceiras, no caso de estas necessitarem de aceder aos sistemas do Município?

61. Os acessos concedidos a terceiros são revogados assim que deixem de se revelar necessários?

62. O Presidente da Câmara e demais vereadores dispõem de contas de utilizador separadas para a realização das suas atividades quotidianas (como a navegação na internet ou a utilização de clientes de e-mail) e outras atividades que requeiram privilégios de acesso?

63. Há processos definidos para o controlo de contas e sistemas de utilizadores para garantir que os acessos privilegiados sejam revogados assim que deixarem de ser necessários?

64. São realizadas monitorizações de segurança, com vista à deteção de possíveis comportamentos maliciosos?

65. Os eventos de autenticação e autorização são registados e monitorizados para identificar comportamentos suspeitos que possam indicar um possível compromisso?

66. Os sistemas de controlo de acessos são projetados para permitir uma fácil monitorização do uso da conta de cada utilizador?

67. As contas temporárias são removidas ou suspensas assim que deixarem de ser necessárias?

68. Todas as contas de utilizadores se encontram protegidas por autenticação multifator?

69. É empregue a autenticação de “usuário para serviço”, “usuário para dispositivo” e “dispositivo para serviço”?

70. Existe uma política de passwords que equilibre, de forma adequada, a “usabilidade” e a “segurança”?

71. O Município dispõe de controlos de acesso físicos e lógicos para que apenas utilizadores autorizados possam aceder e/ou modificar dados?

SECÇÃO VII - SEGURANÇA DE DADOS CORPORATIVOS

72. Os dados do Município são protegidos de acordo com os riscos identificados?

73. Os dados em trânsito são protegidos, com vista a garantir que não sejam visualizados ou intercetados de forma indevida?

74. As comunicações são criptografadas?

75. São utilizados protocolos de aplicações seguros, criptografados e autenticados sempre que possível?

76. É utilizada criptografia de camada de rede, como VPNs (Virtual Private Networks, redes privadas virtuais) quando necessário?

77. As interfaces que permitem o acesso a dados confidenciais encontram-se bem definidas?

78. As interfaces apresentam apenas as funcionalidades necessárias, a fim de reduzir as oportunidade abuso, por parte de agentes maliciosos?

79. É efetuada uma monitorização, com vista a detetar possíveis compromissos e impedir consultas incomuns e/ou tentativas de exportação em massa de dados?

80. Existe uma política de retenção de backups por um período de tempo de no mínimo “um mês” para dados críticos?

81. Os “backups” são objeto de testes regulares, de modo a garantir que podem ser efetivamente restaurados, caso seja necessário fazê-lo?

82. Em caso de aplicações executáveis, estas podem ser restauradas através do código fonte?

83. É aplicado um modelo hierárquico para contas de utilizadores?

84. A Concessão de contas com privilégios completos apenas é realizada quando tal se demonstre absolutamente necessário?

85. As etiquetes ou marcas que indiquem a propriedade do dispositivo (ou a natureza dos dados nele contidos) são removidas previamente ao descarte destes materiais?

86. Os procedimentos e equipamentos de destruição intencional de dados são testados periodicamente?

SECÇÃO VIII - REGISTO E MONITORIZAÇÃO

87. Os objetivos pretendidos com o registo e monitorização a serem realizados pelo Município encontram-se claramente definidos?

88. A monitorização realizada demonstra-se proporcional ao contexto do sistema, às potenciais ameaças que a instituição enfrenta e aos recursos disponíveis?

89. Há necessidade de haver um centro de operações de segurança (SOC) com a capacidade de detetar e responder a ataques avançados?

90. São definidas estratégias internas de monitorização?

91. Os registos de monitorização estão disponíveis para análise quando for necessário consultá-los?

92. Os registos de monitorização são mantidos por tempo suficiente para responder às perguntas que poderão ser feitas durante um incidente?

93. São definidos os logs que se desejam utilizar nos registos de monitorizaçaõ?

94. Existe um local centralizado para análise em conjuntos de dados?

95. A monitorização garante que os registos são obtidos como esperado?

96. Os registos de monitorização encontram-se protegidos contra adulterações?

97. O serviço de monitorização analisa registos para verificar se essas políticas são aplicadas ou seguidas conforme esperado?

98. O sistema de monitorização permite criar alertas de deteção com base nas ameaças esperadas?

SECÇÃO IX - GESTÃO DE INCIDENTES

99. Existe um plano de resposta a incidentes? Se sim, o mesmo contempla:

100. O Município dispõe de procedimentos internos para notificar o Centro Nacional de Cibersegurança da ocorrência de incidentes com impacto relevante ou substancial, nos termos dos artigos 15.º, 17.º e 19.º do Regime Jurídico da Segurança do Ciberespaço?

101. O sistema utilizado pelo Município permite incorporar as lições aprendidas com incidentes reais passados nas suas soluções de monitorização?

102. O plano de gestão de incidentes está alinhado a sua estratégia de registo e monitorização?

103. A inteligência de ameaças é utilizada?

104. O Município está inscrita no CiSP (Parceria de Partilha de Informações de Segurança Cibernética) para receber e partilhar informações sobre ameaças?

105. A equipa de resposta a incidentes integra colaborares:

106. Os papéis e responsabilidades de todos os envolvidos no plano de resposta a incidentes encontra-se definidos e compreendidos?

107. Foi fornecida formação adequada à equipe de gestão de incidentes?

108. Os planos de resposta a incidentes encontram-se alinhados com todos os métodos de deteção pré-definidos?

109. O plano de resposta a incidentes inclui orientações sobre requisitos legais ou regulatórios com base nos tipos e volumes de dados que a instituição possui?

110. São realizadas simulações dos planos de resposta a incidentes para verificar sua eficácia?

111. Há um plano de comunicação definido com os stakeholders para ser utilizado durante um incidente?

112. Há recolha dos registos da resposta ao incidente, decisões tomadas, ações tomadas, dados capturados (ou ausentes), para posterior análise?

SECÇÃO X – CADEIA DE ABASTECIMENTO

113. O Município possui uma imagem clara da sua cadeia de abastecimentos?

114. As responsabilidades de segurança de cada interveniente na cadeia encontram-se definidas e satisfazem todas as partes envolvidas?

115. A dimensão da segurança é considerada enquanto fator contratação ?

116. Na contratação de serviços em nuvem, é avaliada a existência de informações publicadas pelos fornecedores no respetivos websites, que possam ajudar a perceber se estes oferecem níveis de segurança adequados?

117. O município fornece orientação, ferramentas e processos de suporte aos fornecedores para permitir que estes giram efetivamente os riscos da cadeia de abastecimentos, de acordo com as suas necessidades?

118. Os contratos estabelecidos com fornecedores definem claramente requisitos específicos para a devolução e exclusão de informações e ativos em caso de rescisão desse contrato?

119. Os contratos estabelecidos com fornecedores incluem requisitos para gerir e reportar incidentes de segurança?

120. Há um canal de comunicação definido para auscultar e ofertar resposta a quaisquer preocupações provocadas pela monitorização de desempenho, incidentes ou relatórios de fornecedores que possam sugerir que as abordagens não estão a funcionar de forma tão efetiva como o planeado?