Política de Gestão de Ativos - PME

A Política de Gestão de Ativos P12S foi concebida especificamente para pequenas e médias empresas (PME), reconhecendo os desafios únicos que estas organizações enfrentam na gestão de ativos de informação com recursos técnicos e de pessoal limitados. Refletindo a ISO/IEC 27001:2022 e outras normas internacionais, esta política estabelece um quadro claro e prático para identificar, acompanhar, proteger e desativar tanto ativos empresariais físicos como digitais ao longo do seu ciclo de vida. A política aplica-se a toda a empresa, incluindo hardware (portáteis, telemóveis, USBs), software (aplicações, soluções SaaS), repositórios de dados, dispositivos de acesso (smartcards, fobs) e credenciais e serviços digitais críticos que sustentam as operações diárias. Estão abrangidas todas as partes interessadas — trabalhadores e prestadores de serviços, terceiros — que manuseiem os ativos da organização. A política é sensível a todas as formas de trabalho moderno: em escritório, acesso remoto, híbrido, móvel e nuvem. Este âmbito alargado garante que os ativos não são apenas acompanhados, mas também considerados nos vários ambientes onde o negócio é realizado. Um objetivo central é estabelecer e manter um inventário continuamente atualizado e preciso destes ativos. Cada ativo deve ter um Proprietário do ativo claramente atribuído, responsável pela sua custódia e manuseamento seguro. A classificação de ativos é enfatizada: dispositivos que armazenem dados de clientes ou dados empresariais sensíveis recebem controlos de segurança adicionais e acompanhamento. Importante para PME, todos os procedimentos utilizam responsabilidades geríveis e baseadas em funções. O Diretor Executivo (GM) tem a responsabilização global. Um Líder de TI (ou outro custodiante designado) é responsável pelo registo diário, enquanto superiores hierárquicos diretos e colaboradores apoiam a atribuição de ativos, a salvaguarda e os processos de recuperação de ativos. Esta simplificação de funções assegura eficácia mesmo quando as organizações não têm gestores dedicados de segurança ou de TI. A política detalha rigorosamente requisitos para emissão, devolução, manutenção, rotulagem e eliminação segura de ativos. Ativos em nuvem e virtuais estão totalmente incluídos na abordagem, tal como circunstâncias de Traga o Seu Próprio Dispositivo (BYOD) quando tecnicamente aprovadas. Exceções (como partilha informal de equipamento) também são abordadas, exigindo aprovação do GM e controlos compensatórios temporários para quaisquer desvios. Os processos de governação são práticos: inventários estruturados devem incluir campos para ID do ativo, tipo, estado, propriedade e mais. O acesso ao próprio inventário é rigidamente controlado e sujeito a auditorias regulares, tanto físicas como digitais. As verificações pontuais ocorrem pelo menos a cada seis meses, e a própria política é revista anualmente ou aquando da introdução de novas tecnologias, requisitos regulamentares, ou após um incidente de segurança da informação ou constatações de auditoria. O incumprimento pode levar a medidas disciplinares, enfatizando a importância de uma gestão segura e responsável dos ativos da organização. Esta é uma política PME da ClarySec, cumprindo a conformidade com a ISO/IEC 27001:2022, mas especificamente adaptada para organizações sem elevada capacidade de TI ou segurança. As linhas de responsabilidade são simplificadas, mas ainda mantêm total rastreabilidade, auditabilidade e alinhamento regulamentar ao abrigo de normas como GDPR, DORA e NIS2.