Política de gestão de alterações

A Política de gestão de alterações estabelece um quadro formal e estruturado para controlar e monitorizar todas as alterações aos sistemas de informação, infraestrutura, aplicações e processos relacionados de uma organização. O seu objetivo principal é garantir que quaisquer modificações são planeadas, documentadas e aprovadas através de uma governação adequada, do Conselho Consultivo de Alterações e de papéis designados, de modo a que o risco seja sempre minimizado e a estabilidade do sistema preservada. A política é abrangente no seu alcance, aplicando-se a todas as alterações que afetem sistemas, dados e ambientes no âmbito do SGSI (Sistema de Gestão de Segurança da Informação). Isto inclui ajustes técnicos à infraestrutura de TI (nas instalações, nuvem ou híbrido), ambientes de produção ou ambiente de recuperação em caso de desastre, e estende-se a lançamentos de software, alterações de configuração, correções de emergência e atividades de migração. Garante a inclusão ao obrigar não apenas o pessoal interno de TI, mas também desenvolvedores, equipas de projeto e fornecedores terceiros, prestadores de serviços geridos (MSPs) e contratados, a seguir os mesmos protocolos robustos de gestão de alterações. Um benefício-chave da política é a classificação rigorosa e a documentação exigida para cada alteração. Cada pedido de alteração deve detalhar o seu âmbito, objetivos, impacto, dependências, planos de teste e planos de reversão, e está sujeito a fluxos de aprovação padrão, normal ou de emergência. O Conselho Consultivo de Alterações, composto por partes interessadas de segurança, operações de TI, líderes de negócio e conformidade, revê alterações principais e padrão, garantindo que as decisões são sempre baseadas no risco e rastreáveis. Isto mantém a disponibilidade do sistema e a integridade dos dados, ao mesmo tempo que apoia a prontidão para auditoria através de registos documentados e revisões pós-implementação (PIRs). Importa salientar que também aplica a segregação de funções, exigindo avaliação pelos pares e evitando conflitos de interesses para reduzir a probabilidade de alterações não autorizadas ou não programadas. Os procedimentos de teste e validação são centrais, exigindo que as alterações sejam submetidas a testes e validação e avaliações de riscos em ambiente de pré-produção antes da implementação em produção, exceto quando classificadas como emergências. O planeamento de reversão é obrigatório para cada alteração, garantindo que existem passos de recuperação caso algo corra mal. O sistema também se integra com pipelines de CI/CD e sistemas de controlo de versões para automatização, mas inclui sempre supervisão manual para aprovação e documentação. A política sublinha a gestão de riscos, estipulando que cada alteração é avaliada não apenas pelo impacto técnico, mas também pela confidencialidade, integridade e disponibilidade (CID), bem como por obrigações regulamentares como RGPD, NIS2, DORA e normas ISO/IEC. Os riscos residuais só podem ser aceites após documentação adequada e aprovação da Alta Direção. As exceções ao processo padrão são rigorosamente controladas e exigem dupla aprovação, com justificações claras e controlos compensatórios. Quaisquer violações, quer por equipas internas quer por prestadores de serviços terceiros, são tratadas com medidas disciplinares e devem ser documentadas no Registo de Violação de Políticas. Em resumo, esta política fornece uma estrutura transparente, auditável e defensável para gerir alterações, crucial para qualquer organização que priorize a conformidade e a resiliência operacional.