Publicadas recomendações para proteger administração pública de ciberataques

O Conselho de Prevenção da Corrupção (CPC) emitiu um conjunto de recomendações para proteger entidades e órgãos da Administração Pública contra-ataques informáticos que coloquem em causa a confidencialidade, integridade e disponibilidade da informação e respetivos serviços.

A recomendação sobre "boas práticas" de cibersegurança, esta sexta-feira publicada em Diário da República, visa garantir "um elevado nível comum" de segurança das redes e dos sistemas de informação para o regular funcionamento das entidades e órgãos da Administração Pública, sublinhando o Conselho de Prevenção da Corrupção a importância da implementação das melhores práticas de cibersegurança, bem como a sua manutenção e atualização.

"De facto, o ciberespaço é uma realidade dinâmica e fluida, em permanente mutação, colocando desafios de alcance transnacional e que atravessa vários setores de atividade", escreve o CPC, lembrando o regime sobre segurança do ciberespaço impõe um mínimo obrigatório a assegurar pelas entidades e as ferramentas disponibilizadas pelo Centro Nacional de Cibersegurança, como o Quadro Nacional de Referência para a Cibersegurança, o Quadro de Avaliação de Capacidades de Cibersegurança, o CiberCheckUp e o Roteiro para Capacidades Mínimas de Cibersegurança.

"Deste modo, torna-se necessário e oportuno, que os órgãos e as entidades adotem medidas de reforço e adequação, mantendo uma comunicação estreita entre elas, e promovendo a sensibilização para o papel fundamental que os recursos humanos têm no processo", afirma o CPC, enumerando as medidas que delibera "recomendar a todos" os órgãos e entidades públicas e a todas as entidades abrangidas pelo regime jurídico da segurança do ciberespaço.

Entre essas medidas constam a realização de uma análise dos riscos em relação a todos os ativos que garantam a continuidade do funcionamento das redes e dos sistemas de informação que utilizam e, ainda, aos ativos que garantam a prestação dos serviços, e a notificação da ocorrência de incidentes "com impacto relevante ou substancial".

O Conselho recomenda ainda, nomeadamente, desenvolver e planificar um plano de resposta a incidentes e verificar o acesso que os colaboradores têm na organização e as permissões que podem representar um risco para a entidade, o que inclui ativar a autenticação por dois fatores.

"É recomendável, ainda, o conhecimento permanente das recentes ameaças que estão a ser levadas a cabo", lê-se também no documento, assim como a recomendação para assegurar a formação dos colaboradores dedicados à proteção dos ativos de informação, na identificação de eventuais ameaças ou comportamentos anormais na rede.

A recomendação foi assinada em 01 de abril pelos membros do CPC, entre os quais, o presidente do Tribunal de Contas (TC) e presidente do CPC, José F. F. Tavares, o diretor-geral do TC e secretário-geral do CPC, Fernando Oliveira Silva, o inspetor-geral de finanças António Ferreira dos Santos e o secretário-geral do Ministério da Economia e Transição Digital, João Rolo.