Política de Backup e Restauro - PME

A Política de Backup e Restauro (P15S) fornece uma abordagem abrangente para garantir que todos os dados essenciais do negócio estão protegidos contra perda e podem ser recuperados rapidamente em caso de interrupção. Desenvolvida especificamente para pequenas e médias empresas (PMEs), esta política reconhece as realidades estruturais de organizações sem departamentos de TI complexos, como a ausência de equipas SOC dedicadas ou de um Diretor de Segurança da Informação (CISO). Consequentemente, atribui responsabilidades principais de supervisão e tomada de decisão ao Gestor Geral (GG), tornando-a prática e em conformidade com a ISO/IEC 27001:2022. No seu núcleo, a política estabelece regras aplicáveis que exigem backup regular de todos os dados críticos, incluindo informação financeira, de clientes, de Recursos Humanos e de sistemas de negócio em desktops, servidores e aplicações alojadas na nuvem. A política é precisa quanto ao âmbito, exigindo a inclusão de suportes de backup, como unidades USB ou soluções baseadas na nuvem. Orienta todos os trabalhadores com responsabilidade no tratamento de dados, juntamente com prestadores de suporte externo de TI, a seguirem rigorosamente os protocolos prescritos para backup e armazenamento seguro. A P15S define objetivos claros: assegurar que todos os dados críticos são objeto de backup seguro em intervalos alinhados com a avaliação de riscos, garantir o restauro atempado e completo dos dados e prevenir acesso não autorizado ou adulteração através de cifragem robusta e controlo de armazenamento. Os papéis e responsabilidades estão claramente delineados, com o GG responsável pela aplicação da política, alocação de recursos, revisões anuais e supervisão de incidentes, enquanto os prestadores de TI tratam da implementação técnica e do reporte. Os trabalhadores devem guardar o trabalho apenas em sistemas aprovados, reduzindo ainda mais o risco. A política exige um Plano de Backup documentado que detalhe o que é objeto de backup, a frequência, as regras de retenção e as orientações de eliminação segura baseadas em políticas relacionadas. Os backups devem ser realizados em calendários definidos, por exemplo, diariamente ou semanalmente para registos financeiros, mensalmente para configurações de sistemas e de forma incremental para ficheiros partilhados, sempre que possível. Controlos críticos exigem que os dados sejam armazenados em pelo menos duas localizações (como local e nuvem), cifrados quando fora das instalações e acessíveis estritamente a pessoal autorizado. Registos, relatórios e testes periódicos dos procedimentos de restauro são obrigatórios, suportando tanto a fiabilidade operacional como os requisitos de auditoria para normas como a ISO/IEC 27001 e o RGPD. A gestão de riscos e de exceções está incorporada: qualquer desvio, falha ou falha técnica deve ser documentado, justificado e aprovado pelo GG. Ações proibidas, como armazenar dados críticos em dispositivos não aprovados ou ignorar testes de restauro, são explicitamente indicadas. Revisões anuais e desencadeadas por incidentes asseguram o alinhamento contínuo com desenvolvimentos legais, regulamentares e técnicos. Para questões que afetem backup ou recuperação, o escalonamento e a documentação seguem a Política de Resposta a Incidentes (P30S), consolidando uma governação integrada em toda a paisagem de gestão da informação da PME. Esta política permite, assim, que as PMEs cumpram requisitos internacionais de conformidade com uma estrutura adaptada às suas realidades operacionais.