Segurança da informação

Segurança da Informação

Correio Eletrónico

O correio eletrónico é o serviço de comunicação mais usado nas organizações, nesse sentido é também uma fonte de riscos e um dos meios mais usados para a difusão de programas maliciosos. Cada utilizador é responsável pela utilização e atividades associadas à sua conta de correio eletrónico. O seu uso deve ser efetuado de maneira apropriada, não atentando contra a imagem ou funcionamento do Politécnico de Leiria. É, por isso, proibida a utilização do serviço de correio eletrónico para o envio de informação ou conteúdos ofensivos ou inadequados. Na mesma linha, é também proibido o uso do correio eletrónico do Politécnico de Leiria para o tratamento de assuntos de cariz pessoal.

Reencaminhamento de conta de correio eletrónico

Não é aconselhável o reencaminhamento de correio eletrónico de contas internas para contas externas. O reencaminhamento de mensagens entre caixas de correio internas também é desaconselhado, e só deve acontecer com autorização dos donos das contas de correio eletrónico ou em casos especiais (por exemplo, doença).

Anexos a mensagens

O correio eletrónico é um meio popular de propagação de software malicioso (malware) (e.g. vírus, cavalos-de-troia). É importante que esteja ciente deste facto quando receber mensagens de correio que contenham anexos ou hiperligações para efetuar downloads de sites externos. Como os antivírus não são infalíveis, a melhor defesa é a prudência, sendo aconselháveis as seguintes ações:

  • Não abrir anexos de origem desconhecida;
  • Não abrir anexos de endereços conhecidos que não esperava receber;
  • Nunca abrir anexos que tenham extensões executáveis (e.g. .exe, .bat, .com, .dll);
  • Não abrir anexos que tenham mais de uma extensão;
  • Em caso de dúvida consultar os serviços informáticos para pedir esclarecimentos.

Verificar destinatários

Quando enviar mensagens, é indispensável garantir que os destinatários que incluiu estão corretos, i.e., são os destinatários que devem receber e ter acesso à informação que está a enviar. Se for necessário, utilize convenientemente as opções “Cópia oculta” e “Responder a todos”.

Informações críticas e pessoais

Informações criticas, confidenciais ou outro tipo de informações relativas a dados pessoais/privados, só devem ser enviados via correio eletrónico em formatos encriptados. As chaves/palavras-passe usadas nestes processos devem ser enviadas através de outro meio de comunicação.

Aviso

Quando envia informação sensível, i.e., possuindo dados pessoais, privados, com classificação secreta ou confidencial, a mensagem de correio eletrónico deverá ser acompanhada de um aviso informando que a informação enviada se destina exclusivamente ao(s) destinatário(s), pelo que a sua distribuição é proibida. Exemplo: Esta mensagem contém informação classificada de confidencial ou privilegiada. Em caso de a ter recebido inadvertidamente, por favor contacte o remetente por correio eletrónico e apague a mensagem assim como todos os seus dados.


SEGURANÇA DA INFORMAÇÃO

Política de Mesa Limpa e Utilização de Equipamento

Todos os membros da Comunidade do Politécnico de Leiria deverão ter em conta a política de mesa limpa, de modo a garantir que informação privada, secreta ou confidencial não é divulgada.

Espaço de trabalho

A mesa de trabalho deverá ser limpa de qualquer documento ou suporte de informação, que contenha dados pessoais ou informações secretas e/ou confidenciais, quando deixado sem supervisão por um longo período de tempo, assim como no final do dia de trabalho.

Toda a informação com dados pessoais, privados, secretos e confidenciais deverá ser retirada da mesa depois de utilizada e armazenada num local seguro e com controlo de acessos.

Fora do espaço de trabalho

Nenhuma informação de acesso reservado pode ser retirada das instalações sem autorização.

Fora das instalações do Politécnico de Leiria, qualquer elemento da comunidade académica é responsável pela salvaguarda do equipamento e da informação a ele confiadas.

Suportes

Todos os documentos e suportes físicos de informação devem ser guardados em gavetas adequadas com fechaduras e/ou outra forma segura de mobiliário, quando não estiverem a ser utilizados, especialmente fora dos horários de trabalho.

Os computadores e dispositivos móveis deverão ser bloqueados sempre que o utilizador se ausentar, e desligados no final do dia de trabalho.

Todas as impressões com informação pessoal, privada, secreta ou confidencial, utilizada ou processada por equipamentos de suporte (e.g. impressoras, fotocopiadoras, digitalizadores) devem ser retiradas dos mesmos imediatamente após o seu processamento terminar.


SEGURANÇA DA INFORMAÇÃO

Privacidade e Proteção de Dados Pessoais

O novo Regulamento Geral sobre a Proteção de Dados foi publicado no Jornal Oficial da União Europeia e é aplicável a partir do dia 25 de maio de 2018. Relativamente ao novo regulamento, é importante saber que:

Dados Pessoais

Dados pessoais são todas as informações relativas a uma pessoa identificada ou identificável (nome, morada, património, vencimento, datas, números de cartões, nº de telefone, IP, vídeos, imagem, raça, dados biométricos, folhas de presença, avaliações, curriculum vitae, etc);

Gabinete de Proteção de Dados

O Gabinete de Proteção de Dados (DPO) do Politécnico de Leiria é responsável pela proteção de dados pessoais dentro da instituição. Poderá ser contactado através de dpo@ipleiria.pt. Não deve reunir dados pessoais seja em papel ou em formato eletrónico sem que o DPO do IPLeiria seja informado.

Violação das políticas de privacidade

Quando existir violação de dados pessoais e considere-se por violação de dados pessoais uma violação de segurança que provoque, seja de modo acidental ou ilícito, a destruição, a perda, a alteração, a divulgação ou acesso não autorizado, a dados pessoais deverá reportar de imediato o incidente de segurança de através de privacidade@ipleiria.pt;

O DPO tem a responsabilidade e obrigação de comunicar as autoridades todas as fugas ou perdas de dados pessoais ocorridos na organização, a menos que a violação dos dados pessoais não seja suscetível de resultar num risco para os direitos e liberdades das pessoas singulares.

Transmissão de dados

Ao enviar dados pessoais para outros, estes deverão ser encriptados ou protegidos com palavra-passe (a palavra-passe não deverá ser enviada via correio eletrónico);

Deverá existir cuidado redobrado no tratamento de documentos com informações criticas como é o caso de dados médicos ou de menores;

Antes de remeter informação via correio eletrónico com caráter de divulgação, tal como informação sobre ações de formação, oferta formativa ou outra de natureza afim, certifique-se que o destinatário da mensagem deu o seu consentimento escrito para o envio desse tipo de informação. Caso não possua seu consentimento, procure obtê-lo, por correio eletrónico, antes do envio da informação.

Eliminação de dados pessoais

Ao destruir ou eliminar dados pessoais, estes devem ser apagados/destruídos de forma definitiva, garantindo assim que não serão recuperados por terceiros;