Política de Backup e Restauro

A Política de Backup e Restauro (P15) estabelece os requisitos obrigatórios da organização para o backup e o restauro de dados, sistemas e aplicações. O seu objetivo principal é salvaguardar a resiliência operacional e a integridade dos dados da organização, suportando a continuidade do negócio mesmo durante grandes perturbações, como falhas de sistema, ciberataques ou eliminações acidentais. No seu núcleo, a política articula uma abordagem padronizada às operações de backup e assegura parâmetros claros de recuperação, nomeadamente ao definir expectativas de RTO (Recovery Time Objective) e RPO (Recovery Point Objective). Estes requisitos estão estreitamente alinhados com a implementação do quadro do SGSI e com os Planos de Continuidade de Negócio, assegurando conformidade legal, regulamentar e operacional. O âmbito da política é abrangente: impacta todos os sistemas críticos para o negócio e sistemas operacionais abrangidos pelo SGSI, incluindo dados estruturados e dados não estruturados, tais como bases de dados, ficheiros, e-mails e definições de configuração do sistema. Estende-se a todos os tipos de ambientes operacionais (nas instalações, híbrido, nuvem), suportes de backup (físico, virtual, fora das instalações) e pessoal que supervisiona ou executa processos de backup. De forma relevante, os sistemas a excluir das operações de backup devem ser sujeitos a avaliação de riscos, documentados e formalmente aprovados, reforçando a ênfase da política na gestão de riscos e na responsabilização. Nos seus objetivos, a política especifica que todos os ativos críticos devem ter backup com frequência adequada, redundância e cifragem, documentando todos os procedimentos, calendários de retenção e papéis designados. Os mecanismos de restauro devem cumprir limiares predefinidos de RTO e RPO com base nas avaliações de impacto nos negócios. A integridade e a eficácia do ambiente de backup são validadas através de testes regulares de restauro e da manutenção de rasto de auditoria. Para alinhamento regulamentar, a política aplica diretamente controlos da ISO/IEC 27001:2022 (incluindo continuidade operacional e eliminação segura), ISO/IEC 27002:2022 (como integridade e planeamento de restauro), bem como requisitos derivados de NIST SP 800-53, GDPR, EU NIS2 e DORA. Os contratos com prestadores de serviços terceiros de backup devem refletir as expectativas da organização relativamente a cifragem, eliminação, notificação de incidentes e evidência de auditoria de testes. Os papéis e responsabilidades são explicitamente detalhados, atribuindo supervisão estratégica à Alta direção e ao Diretor de Segurança da Informação (CISO), execução operacional às Equipas de TI e de Segurança da Informação e às Operações, e governação especializada ao DPO, Proprietários de aplicações de negócio e fornecedores relevantes. A política exige um calendário-mestre de backups, ciclos regulares de revisão, cifragem forte, ambientes de backup separados e controlos rigorosos de gestão de alterações. Uma governação estrita assegura que os registos de auditoria são mantidos, que as exceções são cuidadosamente controladas e sujeitas a avaliação de riscos, e que as capacidades de restauro são testadas em intervalos definidos. Adicionalmente, o incumprimento desencadeia medidas disciplinares para pessoal interno e penalizações ou escalonamento para fornecedores, sendo a revisão regular de registos, calendários e documentação relacionada parte dos processos de auditoria e garantia. Por fim, a política é revista pelo menos anualmente, assegurando que as atualizações refletem alterações estratégicas, legais ou tecnológicas, com comunicação a todas as partes impactadas. Interligando-se com um conjunto de documentos de governação (Gestão de riscos, Gestão de ativos, Classificação de dados, Política de Retenção de Dados, mascaramento de dados e Resposta a incidentes), esta política está incorporada na abordagem abrangente da organização à segurança de dados, continuidade e conformidade regulamentar.