Política de gestão de alterações - PME

A P05S Política de gestão de alterações é cuidadosamente adaptada para pequenas e médias empresas (PMEs), com foco na necessidade de gerir alterações a sistemas de TI e sistemas de negócio de forma simplificada, mas em conformidade. O objetivo declarado da política é assegurar que todas as modificações, quer em sistemas de TI, definições de configuração, aplicações de negócio ou serviços de computação em nuvem não autorizados, sejam planeadas, sujeitas a avaliação de riscos, testadas e formalmente aprovadas antes de entrarem em vigor. Isto ajuda a minimizar interrupções operacionais, reduzir a probabilidade de incidentes de segurança e evitar indisponibilidades de serviço indesejadas. Concebida a pensar nas PMEs, a política simplifica explicitamente papéis e responsabilidades, tornando a gestão de alterações acessível a empresas sem departamentos de TI a tempo inteiro ou um Centro de Operações de Segurança (SOC) dedicado. Por exemplo, o Diretor Executivo é definido como o responsável final por alterações significativas ou sensíveis, incorporando um modelo de governação que funciona em ambientes com recursos limitados. As alterações de TI podem ser propostas por trabalhadores ou Gestores de Departamento, mas todas as ações significativas passam pela aprovação de um prestador de serviços terceiros de TI ou, no caso de alterações maiores, pela aprovação do Diretor Executivo. Isto alinha o processo de alteração com estruturas de gestão reais de PMEs. De forma abrangente, a política cobre alterações planeadas e mudança de emergência em software, hardware, definições de configuração de rede, serviços na nuvem e processos de produção críticos que envolvam sistemas de informação. Prescreve procedimentos diretos para submissão, documentação, avaliação de risco e impacto, aprovação, testes e validação e planos de reversão. Em particular, deve ser mantido um Sistema de Gestão de Alterações, por folha de cálculo, sistema de helpdesk ou qualquer sistema de rastreio digital com histórico de versões, para garantir que todas as alterações são rastreáveis, suportam auditorias e fornecem evidência de auditoria de adesão ao processo. A política foi construída para cumprir requisitos de certificação ISO/IEC 27001:2022, formalizando especificamente o planeamento e o tratamento operacional de alterações. A tomada de decisão baseada no risco é integral: cada Pedido de Alteração é avaliado quanto a impactos potenciais na disponibilidade do sistema, confidencialidade dos dados e continuidade do negócio, e é atribuído um nível de risco. A mudança de emergência, embora permitida para ameaças urgentes ou indisponibilidades, deve ser revista retrospetivamente e registada para assegurar transparência e permitir aprendizagem com incidentes. As secções de Aplicação e Conformidade deixam claras as consequências de alterações não autorizadas, não programadas ou não documentadas, enfatizando ações corretivas e melhoria futura do processo. A documentação e a comunicação são obrigatórias ao longo do ciclo de vida da política. São exigidas revisões anuais e revisões após incidentes de segurança ou introduções de sistemas, e as atualizações devem ser formalmente aprovadas e comunicadas em toda a organização. A eficácia organizacional é ainda suportada pela ligação a outras políticas PME relacionadas, incluindo as de Controlo de Acesso, Política de Admissão e Cessação, Resposta a Incidentes e sistemas de cópia de segurança, assegurando coerência em todo o quadro de conformidade. Esta política é, portanto, não só prática e acionável para PMEs, como também diretamente alinhada com normas e regulamentos internacionais, como a ISO/IEC 27001:2022, NIS2 e DORA da UE.