Avançar para conteúdo principal

Políticas e Boas Práticas

Autenticação

Utilizando como referência legal a Resolução de Conselho de Ministros n.º 41/2018, as palavras-passe (passwords) devem ser "constituídas no mínimo por 9 caracteres" e a sua composição deverá exigir a inclusão de 3 dos 4 seguintes conjuntos de caracteres:

  1. Letras minúsculas (a, b, c, ... z);
  2. Letras maiúsculas (A, B, C, ... Z);
  3. Números (0, 1, 2, ... 9);
  4. Caracteres especiais (~ ! @ # $ % ^ & * ( ) _ + | ` - = \ { } [ ] : " ; ' < > ? , . /).

O Centro Nacional de Cibersegurança, de forma a garantir a segurança dos dados confidenciais sugere:

  • Manter as palavras-passe confidenciais;
  • Memorizar as palavras-passe e não escrever em papeis ou locais visíveis;
  • Mudar regularmente as palavras-passe, mesmo que o sistema não o obrigue a fazer;
  • Utilizar cifras para guardar as palavras-passe;
  • Não utilizar as mesmas palavras-passe para os sistemas laborais e sistemas pessoais;
  • Utilizar palavras-passe fáceis de memorizar;

Para criar uma palavra-passe segura, pense primeiro numa frase fácil de memorizar e depois defina um método para transformar a frase numa palavra-passe.

  • Frase: eu comprei o meu primeiro carro em 2017!
  • Método: primeira letra de cada palavra, alternar irregularmente entre letra maiúscula e minúscula, usar apenas os últimos dois algarismos de números e manter caracteres especiais.
  • Palavra-passe: EcoMPcE17! (Não utilize este exemplo)

Configurações Seguras

  • Utilize software obtido apenas de fontes legítimas e mantenha-o sempre atualizado;
  • Altere passwords pré-definidas e, se for necessário, as configurações originais (default);
  • Não continue a usar software que já não seja suportado pelo fornecedor.

Dispositivos móveis externos

  • Duvide de dispositivos externos (memórias USB, etc.) com origem desconhecida;
  • Desative a funcionalidade de arranque automático (autorun);
  • Antes de aceder a qualquer ficheiro, analise-o com um antivírus.

Email

A Universidade do Porto assegura a cada utilizador registado no SIGARRA uma conta de correio eletrónico institucional para comunicação eficaz e desmaterializada. Este endereço é o meio privilegiado de contacto, sendo equiparado às formas tradicionais de comunicação oficial, pelo que não deve ser substituído por soluções externas.

A utilização do correio eletrónico está condicionada por uma Política de Utilização Aceitável, que inclui o respeito pelos direitos dos restantes utentes, assim como o cumprimento de obrigações legais.

A UPdigital assegura o normal funcionamento deste serviço em termos de conetividade, monitorização e integridade da informação. Apesar de nas caixas de entrada ainda surgir um volume considerável de spam, 95% das mensagens deste tipo são eliminadas pelos filtros de entrada.

Boas práticas

  • Insira sempre uma descrição breve e objetiva do conteúdo da mensagem (para ser facilmente pesquisável) na linha do Assunto: (Subject:);
  • Evite o envio de mensagens para um número excessivo de destinatários, assim como a utilização abundante de texto em maiúsculas, para minimizar a probabilidade de a mensagem vir a ser classificada como spam;
  • Utilize um corretor sintático e ortográfico e releia toda a mensagem antes de proceder ao envio;
  • Verifique que não estão em falta quaisquer anexos e que estes, se existirem, são de tamanho moderado. Os ficheiros de maior dimensão podem ser comprimidos, devendo ser disponibilizados pelo Filesender da U.Porto;
  • Limpe regularmente a caixa de correio e arquive os anexos de maior dimensão, de forma a otimizar o espaço atribuído;
  • Use o webmail quando os protocolos adotados no local onde se encontra impeçam o envio de mensagens através da aplicação cliente que usa habitualmente.

Segurança

  • As mensagens podem ser assinadas digitalmente (via Certificado Digital, como por exemplo o do Cartão de Cidadão), de forma a melhorar a confiança do recetor no remetente;
  • O envio de dados críticos/sensíveis por correio eletrónico só deve ser feito se tal for requerido pelas funções desempenhadas, sendo neste caso obrigatório encriptar a mensagem;
  • Os utilizadores devem proteger-se dos ataques de phishing rejeitando qualquer mensagem que não lhes seja diretamente remetida, que contenha assuntos não solicitados ou que levante dúvidas. Nunca se deve fornecer informação pessoal ou credenciais do serviço;
  • Faça pairar o rato sobre qualquer apontador embebido na mensagem recebida para confirmar se correspondem ao texto visível, antes de seguir as respetivas ligações;
  • Não abra anexos que terminem em .exe, .scr, .bat, .com, ou outros ficheiros executáveis que não sejam de confiança ou levantem dúvidas.

Cuidados adicionais

  • Não use o correio eletrónico para divulgar publicidade, especialmente para contactos que não o solicitaram.
  • Partilhe uma mensagem com terceiros, em Cc (carbon copy, conhecimento de terceiros com endereços visíveis) ou Bcc (blind carbon copy, conhecimento de terceiros com endereços ocultos), apenas quando essas pessoas efetivamente necessitarem da informação;
  • Utilize o Reply All com parcimónia, pois ninguém gosta de encher a caixa de entrada com mensagens e agradecimentos que não lhe sejam dirigidos.
  • Utilize o Forward para partilhar uma mensagem com outrem se quiser continuar a acompanhar o assunto, e o Redirect se o assunto não lhe disser respeito.

Impressões

Deve recolher as impressões o mais rápido possível da impressora. Se imprimir documentos com dados sensíveis, faça o acompanhamento presencial da saída das folhas.

Se quiser destruir documentação com informação importante (por exemplo, dados pessoais), recorra a procedimentos fidedignos como a trituração.

Incidentes de Segurança da Informação

Se ocorrer uma situação anormal que pode pôr em causa os seus recursos (perda de um dispositivo, infeção com vírus, suspeita de violação das suas credenciais, destruição acidental de dados pessoais, etc.), reporte de imediato o incidente de segurança.

Prevenção de Malware

Instale e mantenha atualizado o antivírus (defesa contra código malicioso).

Redes Wi-Fi

Evite conetar-se a redes Wi-Fi sem autenticação ou de entidades desconhecidas. Se não puder evitar, adote medidas de autoproteção:

  • Utilize uma VPN;
  • Não aceda a serviços críticos;
  • Certifique-se de que os sites a que acede são seguros fazendo duplo clique sobre o cadeado que aparece no seu browser junto à área do endereço Web do site (que deve começar por "https://" e não por "http://“).

Utilização

  • Não abra ficheiros cuja origem não lhe garanta confiança;
  • Não aceda a links de origem desconhecida - pare e analise-os antes de se conetar;
  • Não utilize o seu equipamento de trabalho para fins pessoais;

O Phishing trata-se de um crime informático baseado no envio de um email fraudulento com o objetivo de obter dados pessoais ou de negócio. É um email falso, normalmente emitido em nome de uma entidade credível tal como um Banco, Facebook, Twitter, Microsoft, Vodafone, etc. mas que na realidade só pretende recolher dados ou infetar os sistemas.

Nenhum serviço da U.Porto, em circunstância alguma, pede para revelar as suas credenciais de acesso.

Outras Recomendações

Consulte o site do Centro Nacional de Cibersegurança.

Para mais informações:

Unidade de Segurança de Informação
E-mail: [email protected]