Teletrabalho com segurança - a visão da Câmara Municipal da Amadora

Trabalho remoto (teletrabalho)

Trabalho remoto (teletrabalho) significa que equipamentos de informação e comunicação, são utilizados para permitir que os utilizadores trabalhem fora das instalações físicas tradicionais da Câmara Municipal da Amadora. Uma vez que em teletrabalho o perímetro da organização aumenta diretamente ao número e postos que estão em teletrabalho urgiu tomar medidas que garantissem a segurança da organização que não dependessem dos utilizadores.

Assim, para aceder aos recursos da CMA o utilizador tem de ter instalado a VPN e o Antivírus da CMA, monitorizado centralmente pelo Serviço de Tecnologias de Informação e Comunicação da CM Amadora.

Mesmo na fase mais aguda da pandemia Covid19, o trabalho remoto é autorizado pelo superior hierárquico do utilizador e pelo Gestor de Segurança da Informação da CMA por meio de informação interna própria, como a plataforma de suporte informática, Helpdesk ou e-mail.

Sendo uma organização com certificação ISO27001:2013 no Serviço de Tecnologias de Informação e Comunicação (TIC), justificam-se as condições de teletrabalho que se seguem.

Os trabalhadores e/ou utilizadores são responsáveis por preparar planos e procedimentos de modo a garantir:

• A proteção de equipamentos de computação móvel, conforme especificado em informação remetida por e-mail ao utilizador.
• A utilização de VPN (Virtual Private Network), para interligar com a infraestrutura informática da Câmara Municipal da Amadora.
• A prevenção do acesso não autorizado, por pessoas que residam ou trabalhem no local onde a atividade de trabalho remota é realizada.
• A configuração adequada de rede local, usada para conexão à Internet.
• A proteção dos direitos de propriedade intelectual da organização, para aplicações ou outros materiais que podem ser protegidos por direitos de propriedade intelectual.
• O nível mínimo de configuração da instalação, onde as atividades de trabalho remoto serão realizadas.
• Os tipos de atividades permitidas e proibidas (respeitando o regulamento TIC em Vigor).

O Gestor de Segurança da Informação da CMA, é responsável por preparar planos e procedimentos de modo a garantir:

• A definição dos requisitos mínimos para uma correta configuração de rede local, usada para conexão à Internet.
• Autorizar a utilização e disponibilização de VPN (Virtual Private Network) no posto de trabalho do utilizador, a fim de este se interligar com segurança à infraestrutura informática da Câmara Municipal da Amadora.
• O processo de devolução de equipamentos e dados, no caso de encerramento da atividade de trabalho remoto do utilizador autorizado.
• A definição do nível mínimo de configuração da instalação, onde as atividades de trabalho remoto serão realizadas.
• A definição dos tipos de atividades permitidas e proibidas, em trabalho remoto.

Computação móvel

Os equipamentos de computação móvel, incluem todos os tipos de computadores portáteis, telemóveis, smartphones, e outros equipamentos móveis usados para armazenar, processar e transferir dados. Os utilizadores devem ter em conta as regras de classificação de informação, de acordo com o documento Política de Classificação da Informação, em vigor na organização.

Regras básicas

Deve-se ter especial cuidado, quando um equipamento de computação móvel estiver em veículos (incluindo carros), espaços públicos, quartos de hotel, locais de reuniões, centros de conferências e outras áreas, não protegidas fora das instalações da organização.

O colaborador da CMA que levar equipamentos de computação móvel, para fora das instalações, deve seguir as seguintes regras:

• Os equipamentos de computação móvel que contenham informações importantes, confidenciais ou críticas não devem ser deixados sem supervisão e, se possível, devem ser trancados fisicamente. É recomendada a utilização de cadeados especiais para garantir a segurança do equipamento.
• Ao usar equipamentos de computação móvel em locais públicos, o utilizador deve ter cuidado para que os dados não sejam lidos por pessoas não autorizadas.
• As atualizações automáticas ou manuais de aplicações ou sistemas operativos e outras configurações de sistema, só deverão ser realizadas após autorização expressa dos Trabalhadores do Serviço de Tecnologias de Informação e Comunicação da CM Amadora.
• A proteção contra códigos maliciosos deverá estar instalada e sempre atualizada.
• A pessoa que usa equipamentos de computação móvel fora das instalações, é responsável por efetuar cópias periódicas de segurança dos dados, para o servidor (shares) da CMA.
• A conexão com as redes de comunicação e a troca de dados, deve refletir a confidencialidade dos dados.
• Pelo menos uma das partições dos computadores portáteis, deve ser encriptada para conter informação confidencial.
• A proteção de dados confidenciais, deve ser implementada de acordo com a Política de Classificação da Informação em vigor.

Alteração da tipologia de PC

No processo de aquisição de equipamentos para os utilizadores, para posto de trabalho, este deixou de ser adquirido com a tipologia Desktop/Micro Tower/Tower, para passar a ser tipologia portátil, com Docking Station e Monitores.

Com a aprendizagem advinda dos confinamentos da Pandemia Covid 19 foi feita uma escolha que quadno entregue ao utilizador já permite trabalhar em regime de mobilidade e segurança dentro e fora da CMA.

Deve ser considerada a seguinte informação (para o caso de o utilizador leve o portátil, para trabalhar fora da CMA):

• É remetido via e-mail para o utilizador:
• O procedimento para instalar a VPN, (embora a VPN vá instalada e configurada) para o caso de a VPN deixar de funcionar e não seja possível contactar o serviço de informática.
• O Manual com o conjunto de questões, que os utilizadores mais se confrontam em teletrabalho.
• Igualmente em anexo, segue procedimento para acesso às redes WIFI, de uso exclusivo dos utilizadores da CMA (que inclui rede WIFI interna, por defeito escondida, para facilitar a produtividade e flexibilidade de trabalho em segurança na CMA). Neste momento está disponível em 7 Edifícios da CM Amadora.

Na intranet foi criada uma área, com a documentação necessária para ajudar o utilizador em teletrabalho, que se encontra também acessível por VPN.

Proteção por antivírus obrigatória

Uma aplicação de antivírus deve estar instalada em todos os computadores, com as atualizações automáticas ativadas.

Cabe ao utilizador, responsável pelo ativo indicado, a verificação do funcionamento correto desta aplicação, bem como da atualização do antivírus.

Caso algo esteja fora dos parâmetros, o equipamento é impedido de se ligar à rede da CM Amadora.

Responsabilidades da conta dos utilizadores

O utilizador não deve, direta ou indiretamente, permitir que outras pessoas utilizem os seus direitos de acesso, isto é, o seu nome de utilizador e a sua senha (password), e não deve usar o nome de utilizador e/ou a senha de outra pessoa.

O proprietário da conta é o seu utilizador, que é responsável pelo seu uso e por todas as transações realizadas por meio desta conta.

Responsabilidades de senha (password)

Os utilizadores devem aplicar as boas práticas de segurança ao selecionar e usar senhas:

• As senhas não devem ser divulgadas a outras pessoas, incluindo a elementos da DSTIC, por exemplo, aos administradores de sistemas;
• As senhas não devem ser escritas, exceto por força de procedimentos específicos para resiliência de acessos, estipulado pelo Serviço e Informática.
• As senhas geradas pelos utilizadores ou pelo sistema informático, não devem ser distribuídas em conjunto com o nome de utilizador;
• As senhas devem ser alteradas, se houver indicações de que as senhas ou o sistema possam ter sido comprometidos. Neste caso, um incidente de segurança deve ser registado;
• Senhas fortes devem ser selecionadas da seguinte forma:
  • Usar pelo menos nove caracteres;
  • Usar pelo menos um caracter numérico;
  • Usar pelo menos um caracter alfabético em maiúscula e um em letra minúscula;
  • Recomenda-se a utilização de, pelo menos, um caracter especial;
  • Uma senha não deve ser uma palavra de um dicionário, ou outra que faça parte de um dialeto ou gíria de qualquer idioma, nem qualquer uma dessas palavras escrita ao contrário;
  • As senhas não devem ser baseadas em dados pessoais (por exemplo, data de nascimento, endereço, nome de um membro da família, etc.);
  • As senhas não devem ser escritas, nem transmitidas por qualquer suporte que permita a visualização dor terceiros;
  • As últimas três senhas não devem ser reutilizadas
  • Promoção do Duplo factor de autenticação.
• As senhas devem ser alteradas a cada três meses;
• A senha deve ser alterada forçosamente no ato de primeira entrada no sistema ou aplicação;
• As senhas não devem ser armazenadas num sistema de registo automático (por exemplo, lembrar/guardar password no browser);
• As senhas usadas para fins particulares, não devem ser usadas para fins da Instituição.
• No caso de os equipamentos de computação móvel serem deixados sem supervisão, a regra para uso de equipamentos sem supervisão deve ser aplicada de acordo com a Política de Uso Aceitável em vigora na CMA.

O que temos verificado com a Experiência da Equipa TIC em Teletrabalho:

• Menos custos para a CMA;
• Melhor gestão de espaço e recursos da CMA;
• Maior disponibilidade e flexibilidade de competências;
• Aumento de produtividade;
• Maior e melhor utilização de ferramentas de organização e comunicação (e.g. Microsoft Teams);
• Otimização do tempo, maior flexibilidade de horário;
• Eliminação de tempo gasto no deslocamento dos colaboradores, logo maior disponibilidade e menor pegada ecológica;
• Melhoria na comunicação e processos organizacionais no serviço TIC;
• Otimização de tempo e atividades;
• Maior satisfação e motivação dos trabalhadores;
• Mais Eco-Friendly;
• Menor impacto das greves de Transportes.

O Gestor de Segurança da Informação da CMA é responsável pela promoção de formação e pela consciencialização das pessoas, que usam equipamentos de computação móveis fora das instalações da CMA.

Todas estas regras e recomendações têm origem, suporte ou a delegação de competências da Sr.ª Presidente da CMA, Dr.ª Carla Tavares e da Sr.ª Vereadora do Pelouro Modernização e Tecnologias, Dr.ª Ana Venâncio.