Política de Sincronização de Tempo

A Política de Sincronização de Tempo define os requisitos obrigatórios para assegurar tempo consistente e preciso em todos os sistemas de TI da organização, aplicações e dispositivos, incluindo servidores, endpoints, dispositivos de rede e infraestrutura de TI, incluindo sistemas alojados na nuvem. O objetivo central desta política é manter precisão na medição do tempo, que é fundamental para registo de auditoria fiável, comunicações seguras, rastreabilidade do rasto de auditoria, conformidade regulamentar e capacidades de evidência forense. Tempo inconsistente pode levar a registos não correlacionados, autenticação falhada, resposta a incidentes impedida e reporte de conformidade incompleto, tornando a gestão robusta do tempo um controlo de segurança crítico. Esta política aplica-se a todos os componentes de infraestrutura (servidores, estações de trabalho, dispositivos de rede e dispositivos de firewall, sistemas da Internet das Coisas (IoT)), ambientes virtuais e ambientes híbridos (AWS, Azure, Google Cloud) e qualquer plataforma que participe em registo de auditoria, autenticação ou correlação de eventos de segurança. Todo o pessoal, incluindo trabalhadores, prestadores de serviços e prestadores de serviços terceiros, que gerem tais sistemas deve cumprir estes requisitos. Sistemas que geram ou utilizam registos com marcação temporal (registos, alertas, atividades de utilizador, forense) são considerados dentro do âmbito, e as exceções exigem revisão e aprovação formais. Os principais objetivos incluem estabelecer uma arquitetura centralizada de sincronização de tempo usando servidores NTP designados e seguros, assegurar que todos os sistemas sincronizam relógios em intervalos regulares e manter tolerâncias rigorosas de desvio do relógio. As definições de configuração do sistema devem suportar deteção e correção automatizadas de discrepâncias de tempo, com limiares explícitos para sistemas padrão, de segurança e criptográficos, variando de margens de cinco segundos a zero desvio. Todas as anomalias de desvio do relógio devem ser registadas, escalonadas através de canais de escalonamento definidos e, se necessário, isoladas para integridade forense. Papéis e responsabilidades são detalhadamente articulados: o Diretor de Segurança da Informação (CISO) detém a supervisão da política e assegura o alinhamento regulamentar, a engenharia de rede mantém ambientes NTP e monitorização, e o proprietário do sistema impõe a conformidade ao nível da plataforma. O Centro de Operações de Segurança (SOC) desempenha um papel de monitorização contínua e escalonamento para incidentes relacionados com tempo. Fornecedores e prestadores de serviços terceiros são explicitamente obrigados a demonstrar adesão contínua às normas de sincronização e a suportar pedidos de auditoria relativos a definições de tempo. A aplicação é rigorosa: sistemas não conformes podem ser isolados ou alvo de ações de remediação, e adulteração não autorizada de agentes de sincronização é tratada como violação de política sujeita a medidas disciplinares ou penalizações contratuais. Auditorias periódicas validam a precisão do tempo, a utilização de fontes NTP e os procedimentos de tratamento de incidentes. A revisão contínua da política assegura adaptação a ameaças emergentes, alterações de infraestrutura ou constatações de incidentes relacionadas com desalinhamento temporal. Esta política é mapeada diretamente para um conjunto de normas internacionais, incluindo controlos e artigos específicos de ISO/IEC 27001:2022, 27002:2022, NIST SP 800-53, GDPR, NIS2, DORA e COBIT 2019. A sua interdependência com políticas de registo de auditoria e monitorização, resposta a incidentes, proteção de endpoint e gestão de riscos destaca ainda mais o seu papel fundamental num Sistema de Gestão de Segurança da Informação (SGSI) robusto.