Política de gestão de activos

Brask Inc

Objectivo

O objetivo desta política é definir os requisitos para gerir e rastrear adequadamente os bens detidos, geridos e sob o controlo da Rask AI ao longo do seu ciclo de vida, desde a aquisição inicial até à eliminação final. 

Funções e responsabilidades 

O chefe de pessoal da Rask AI é responsável pela manutenção e atualização desta política. O CEO e o departamento jurídico são responsáveis pela aprovação desta política e aprovarão quaisquer alterações efectuadas. 

Política

Norma de inventário de activos

Deve ser implementado um processo de inventário de activos para apoiar a gestão de processos empresariais críticos e cumprir os requisitos legais e regulamentares. Este processo também facilitará a descoberta, gestão, substituição e eliminação de todos os activos, bem como a identificação e remoção de qualquer software, activos ou processos ilegais ou não autorizados. Todos os activos físicos e virtuais sob gestão ou controlo da Rask AI serão listados num inventário que inclui:

  • Identificador único ou nome do ativo
  • Descrição do ativo
  • Finalidade do ativo no apoio a processos empresariais críticos e no cumprimento de requisitos legais ou regulamentares, se aplicável
  • Entidade responsável pelo ativo
  • Classificação do ativo, se aplicável

Propriedade de activos

A cada ativo será atribuído um proprietário quando criado ou transferido para Rask AI. O proprietário do ativo pode ser um indivíduo ou uma entidade com responsabilidade de gestão aprovada; a propriedade não implica direitos de propriedade.

O proprietário do ativo é responsável por:

  • Assegurar a inventariação dos activos
  • Garantir que os activos são classificados e protegidos de forma adequada
  • Definir e rever periodicamente as restrições e classificações de acesso, tendo em conta as políticas de controlo de acesso aplicáveis
  • Garantir o tratamento adequado quando o ativo é eliminado ou destruído 

Normas de reforço do sistema

Melhores práticas e normas de proteção de dispositivos

  • Utilize o reforço fornecido pelo fabricante e os guias de boas práticas para proteger as instalações de dispositivos contra vulnerabilidades e acesso não autorizado.
    • Utilizar os parâmetros de referência do Centro de Segurança da Internet (CIS) para orientação de reforço do sistema, sempre que possível.
  • Altere as predefinições fornecidas pelo fornecedor, incluindo nomes de utilizador, palavras-passe e definições comuns, para evitar o acesso não autorizado.
  • Desativar protocolos de comunicação inseguros e desnecessários.
  • Gerar aleatoriamente e armazenar de forma segura as palavras-passe locais no sistema de gestão de palavras-passe aprovado.
  • Instalar os patches actuais.
  • Implementar proteção contra malware.
  • Ativar o registo.

‍Configuração e manutenção de infra-estruturas

Patching interno de estações de trabalho e servidores

  • Avaliar e instalar periodicamente correcções/actualizações do sistema operativo com base na sua importância.
  • Instalar correcções/actualizações fora das horas de ponta para minimizar a interrupção da atividade.

Correção da infraestrutura interna

  • Avaliar e instalar correcções/actualizações de infra-estruturas (routers, switches, anfitriões virtuais, etc.) com base na sua importância.
  • Rever e aprovar correcções/actualizações através de um ambiente de laboratório, sempre que possível.
  • Instalar os remendos/actualizações fora das horas de ponta para minimizar as perturbações.
  • Corrigir/atualizar sistemas redundantes, um dispositivo de cada vez, para garantir que não haja impacto nos serviços partilhados.
  • Seguir procedimentos regulares de gestão de alterações para actualizações de hardware/software de rede.

Documentação de apoio à infraestrutura

  • Manter um diagrama de rede atualizado acessível ao pessoal de serviço adequado.
  • Documentar as normas de configuração para a instalação de todos os dispositivos de infraestrutura.

Segurança dos pontos terminais/Deteção de ameaças

  • Restringir a utilização de suportes de dados amovíveis a pessoal autorizado.
  • Implementar ferramentas antivírus e anti-malware em dispositivos terminais (por exemplo, estações de trabalho, computadores portáteis, dispositivos móveis).
  • Configure as ferramentas antivírus e antimalware para receberem automaticamente actualizações, efectuarem análises e alertarem o pessoal adequado para as ameaças.

Gestão da capacidade

As necessidades de capacidade dos sistemas serão identificadas com base no carácter crítico do sistema para as empresas.

  • Afinação e monitorização de sistemas: Aplicado para garantir e melhorar a disponibilidade e a eficiência dos sistemas.
  • Controlos de deteção: Implementados para identificar problemas à medida que estes ocorrem.
  • Projecções de capacidade futura: Considerar os novos requisitos comerciais e de sistema, bem como as tendências actuais e previstas das capacidades de processamento de informação da empresa.
  • Atenuar os estrangulamentos e as dependências: Os gestores devem monitorizar os principais recursos do sistema, identificar tendências de utilização e ter em conta os recursos com longos prazos de aquisição ou custos elevados.

O aumento da capacidade ou a redução da procura permitirá assegurar uma capacidade suficiente. Isto inclui:

  • Eliminar dados obsoletos (espaço em disco)
  • Desativação de aplicações, sistemas, bases de dados ou ambientes
  • Otimização de processos em lote e horários
  • Otimizar a lógica da aplicação ou as consultas à base de dados
  • Negar ou restringir a largura de banda para serviços não críticos que consomem muitos recursos (por exemplo, streaming de vídeo)
  • Gestão da procura de capacidade
  • Provisionamento de novas instâncias de servidor quando os limites de capacidade são atingidos

Gestão dos meios de comunicação social

Suportes amovíveis

Atualmente, não autorizamos suportes amovíveis para fins comerciais.

Transferência de meios físicos

Atualmente, não autorizamos a transferência de suportes físicos para fins comerciais.

Devolução de activos em caso de rescisão

  • O processo de cessação inclui a devolução de todos os bens físicos e electrónicos anteriormente emitidos que sejam propriedade da Rask AI ou que lhe tenham sido confiados, tal como descrito nos Termos e Condições de Emprego e na Política de Gestão de Bens.
  • Se o equipamento da Rask AI tiver sido comprado por um funcionário ou utilizador terceiro, ou se tiver sido utilizado equipamento pessoal, todas as informações relevantes devem ser transferidas para a Rask AI e apagadas de forma segura do equipamento.
  • A cópia não autorizada de informações por funcionários e contratantes será monitorizada e controlada durante o período de rescisão.

Eliminação de suportes de dados

Os passos para a eliminação segura dos suportes que contêm informações confidenciais serão proporcionais à sensibilidade dessas informações. As seguintes directrizes serão aplicadas em conformidade:

  • Identificação dos objectos que devem ser eliminados.
  • Utilização de serviços adequados de recolha e eliminação por terceiros.
  • Eliminação segura por incineração ou trituração, ou apagamento de dados para reutilização na empresa.
  • Avaliação dos riscos dos suportes danificados para determinar a sua eliminação ou reparação.
  • Encriptação de todo o disco para reduzir o risco de divulgação de informações confidenciais, em conformidade com a Política de Encriptação da Rask AI.
  • Registo de cada eliminação para manter uma pista de auditoria.