A cibersegurança e a proteção de dados são pilares fundamentais para a integridade, confidencialidade e disponibilidade das informações em um ambiente digital. Esta categoria abrange um conjunto robusto de práticas e tecnologias projetadas para defender os sistemas e dados da organização contra ameaças cibernéticas, como malwares, acessos não autorizados e ataques de engenharia social. Inclui desde a gestão de vulnerabilidades e controlo de acesso até a implementação de soluções antivírus e a rastreabilidade de eventos.

A gestão de vulnerabilidades é um processo contínuo de identificação e correção de falhas de segurança em redes, sistemas e aplicações. A realização de avaliações periódicas de risco e a priorização do tratamento de vulnerabilidades, de acordo com seu nível de criticidade, são essenciais para manter a postura de segurança. Isso garante que a organização esteja sempre um passo à frente de potenciais atacantes, mitigando riscos antes que se tornem incidentes.

O controlo de acesso e a autenticação são mecanismos cruciais para garantir que apenas indivíduos autorizados possam aceder a informações e sistemas. A implementação de uma matriz de segregação de funções, onde cada colaborador tem acesso apenas aos recursos estritamente necessários para suas atividades de negócio, e a verificação periódica dessas credenciais, são práticas essenciais. Além disso, a utilização de cofres seguros para gestão de senhas e a implementação de políticas de senhas robustas fortalecem ainda mais a segurança dos acessos.

A proteção contra software malicioso, como vírus e cavalos de troia, é garantida pela instalação obrigatória de programas antivírus em todos os equipamentos, geridos por plataformas UTM e atualizados automaticamente. A rastreabilidade, através da geração de logs de eventos críticos e ações dos utilizadores, permite auditorias e a reconstrução de eventos passados, sendo vital para investigar incidentes e restaurar sistemas ao seu estado original. Testes de intrusão regulares, tanto internos quanto externos, complementam essa estratégia, avaliando a robustez das defesas.

A manutenção do sigilo da informação é reforçada por programas de conscientização, que instruem os colaboradores sobre o tratamento adequado de dados confidenciais, proibindo sua divulgação não autorizada, cópia para dispositivos pessoais ou envio para e-mails externos. Mesmo após o desligamento do colaborador, a obrigação de sigilo permanece, com responsabilidades civis e criminais em caso de violação. A Esri Portugal adota todas estas medidas, desde a gestão de vulnerabilidades até a implementação de controlos criptográficos e a segurança de redes de comunicação, assegurando a proteção integral de suas informações.