Segurança

Políticas e Boas Práticas

Autenticação

As passwords (palavras-passe) devem ser confidenciais.

Algumas dicas para manter as passwords protegidas:

  • Não as escreva em papéis ou locais visíveis;
  • Mude-as regularmente mesmo em sistemas que não obriguem a fazê-lo;
  • Não as grave de forma automática nos sistemas (por exemplo, browsers);
  • Use passwords diferentes para contas diferentes e sistemas diferentes;
  • Não use as mesmas passwords em contexto laboral e em contexto pessoal.

Uma password segura é constituída no mínimo por 10 caracteres e contém:

  • Caracteres alfabéticos maiúsculos e minúsculos (A, B, C, D, …, a, b, c, d, etc.);
  • Números (1, 2, 3, 4, etc.);
  • Caracteres especiais (~ ! @ # $ % ^ & * ( ) _ + | ` – = \ { } [ ] : ” ; ‘ < > ? , . /).

Para criar uma password segura pense primeiro numa frase fácil de memorizar e depois defina um método para transformar a frase numa password.

Frase: eu comprei o meu primeiro carro em 2017!
Método: primeira letra de cada palavra, alternar irregularmente entre letra maiúscula e minúscula, usar apenas os últimos dois algarismos de números e manter caracteres especiais.
Password: EcoMPcE17! (Não utilize este exemplo)

Configurações Seguras

  • Utilize software obtido apenas de fontes legítimas e mantenha-o sempre atualizado;
  • Altere passwords pré-definidas e, se for necessário, as configurações originais (default);
  • Não continue a usar software que já não seja suportado pelo fornecedor.

Dispositivos móveis externos

  • Duvide de dispositivos externos (memórias USB, etc.) com origem desconhecida;
  • Desative a funcionalidade de arranque automático (autorun);
  • Antes de aceder a qualquer ficheiro, analise-o com um antivírus.

Email

O CIIMAR assegura a cada utilizador registado no seu sistema interno, uma conta de correio eletrónico institucional para comunicação eficaz e desmaterializada. Este endereço é o meio privilegiado de contacto, sendo equiparado às formas tradicionais de comunicação oficial, pelo que não deve ser substituído por soluções externas.

A utilização do correio eletrónico está condicionada por uma Política de Utilização Aceitável, que inclui o respeito pelos direitos dos restantes utentes, assim como o cumprimento de obrigações legais.

O CIIMAR assegura o normal funcionamento deste serviço em termos de conetividade, monitorização e integridade da informação. Apesar de nas caixas de entrada ainda surgir um volume considerável de spam, 95% das mensagens deste tipo são eliminadas pelos filtros de entrada.

Boas práticas

  • Insira sempre uma descrição breve e objetiva do conteúdo da mensagem (para ser facilmente pesquisável) na linha do Assunto: (Subject:);
  • Evite o envio de mensagens para um número excessivo de destinatários, assim como a utilização abundante de texto em maiúsculas, para minimizar a probabilidade de a mensagem vir a ser classificada como spam;
  • Utilize um corretor sintático e ortográfico e releia toda a mensagem antes de proceder ao envio;
  • Verifique que não estão em falta quaisquer anexos e que estes, se existirem, são de tamanho moderado. Os ficheiros de maior dimensão podem ser comprimidos, devendo ser disponibilizados pelo Filesender da FCCN;
  • Limpe regularmente a caixa de correio e arquive os anexos de maior dimensão, de forma a otimizar o espaço atribuído;
  • Use o webmail quando os protocolos adotados no local onde se encontra impeçam o envio de mensagens através da aplicação cliente que usa habitualmente.

Segurança

  • As mensagens podem ser assinadas digitalmente (via Certificado Digital, como por exemplo o do Cartão de Cidadão), de forma a melhorar a confiança do recetor no remetente;
  • O envio de dados críticos/sensíveis por correio eletrónico só deve ser feito se tal for requerido pelas funções desempenhadas, sendo neste caso obrigatório encriptar a mensagem;
  • Os utilizadores devem proteger-se dos ataques de phishing rejeitando qualquer mensagem que não lhes seja diretamente remetida, que contenha assuntos não solicitados ou que levante dúvidas. Nunca se deve fornecer informação pessoal ou credenciais do serviço;
  • Faça pairar o rato sobre qualquer apontador embebido na mensagem recebida para confirmar se correspondem ao texto visível, antes de seguir as respetivas ligações;
  • Não abra anexos que terminem em .exe, .scr, .bat, .com, ou outros ficheiros executáveis que não sejam de confiança ou levantem dúvidas.

Cuidados adicionais

  • Não use o correio eletrónico para divulgar publicidade, especialmente para contactos que não o solicitaram.
  • Partilhe uma mensagem com terceiros, em Cc (carbon copy, conhecimento de terceiros com endereços visíveis) ou Bcc (blind carbon copy, conhecimento de terceiros com endereços ocultos), apenas quando essas pessoas efetivamente necessitarem da informação;
  • Utilize o Reply All com parcimónia, pois ninguém gosta de encher a caixa de entrada com mensagens e agradecimentos que não lhe sejam dirigidos.
  • Utilize o Forward para partilhar uma mensagem com outrem se quiser continuar a acompanhar o assunto, e o Redirect se o assunto não lhe disser respeito.

Impressões

Deve recolher as impressões o mais rápido possível da impressora. Se imprimir documentos com dados sensíveis, faça o acompanhamento presencial da saída das folhas.

Se quiser destruir documentação com informação importante (por exemplo, dados pessoais), recorra a procedimentos fidedignos como a trituração.

Incidentes de Segurança da Informação

Se ocorrer uma situação anormal que pode pôr em causa os seus recursos (perda de um dispositivo, infeção com vírus, suspeita de violação das suas credenciais, destruição acidental de dados pessoais, etc.), reporte de imediato o incidente de segurança (Serviço prestado pela UP Digital).

Prevenção de Malware

Instale e mantenha atualizado o antivírus (defesa contra código malicioso).

Redes Wi-Fi

Evite conetar-se a redes Wi-Fi sem autenticação ou de entidades desconhecidas. Se não puder evitar, adote medidas de autoproteção:

  • Utilize uma VPN;
  • Não aceda a serviços críticos;
  • Certifique-se de que os sites a que acede são seguros fazendo duplo clique sobre o cadeado que aparece no seu browser junto à área do endereço Web do site (que deve começar por “https://” e não por “http://“).

Utilização

  • Não abra ficheiros cuja origem não lhe garanta confiança;
  • Não aceda a links de origem desconhecida – pare e analise-os antes de se conetar;
  • Não utilize o seu equipamento de trabalho para fins pessoais;

O “phishing” é um dos métodos mais usados para aceder a dados confidenciais e/ou infetar sistemas com malware (software mal intencionado). Por exemplo, um atacante, através de um email fraudulento, finge pertencer aos serviços da universidade e solicita as suas credenciais de acesso.

(Baseado nas políticas da UP) Nenhum serviço do CIIMAR ou em parceria com a U.Porto, em circunstância alguma, pede para revelar as suas credenciais de acesso.