Objetivo

Estabelecer os procedimentos e protocolos que permitam uma gestão eficaz de ativos da Instituição, especificamente no tocante aos dispositivos que tratam dados ou informações da Instituição.

Visão Geral

A gestão de ativos abarca o processo de recebimento, marcação, documentação e eventual eliminação de equipamentos de informática. É extremamente importante manter o inventário atualizado e o controle dos ativos para garantir que as localizações e a disposição dos equipamentos de informática sejam amplamente conhecidas.

Equipamentos perdidos, roubados ou extraviados geralmente contêm informações confidenciais. Logo, faz-se necessária a existência dos procedimentos e protocolos adequados de gestão patrimonial documentados nesta Política, os quais auxiliam nas atividades de recuperação e substituição de ativos, bem como nas investigações policiais e de empresas de seguros.

1. Classificação dos Ativos Informáticos

Para fins de rastreamento e marcação de ativos, serão utilizadas as seguintes classes de dispositivos informáticos:

• Desktop – Estações de trabalho;
• Laptop – Computadores portáteis;
• Dispositivos móveis – Tablets e celulares corporativos;
• Impressoras e dispositivos de impressão multifuncionais;
• Dispositivos portáteis – Mídias removíveis, CD’s, pendrives;
• Scanners;
• Servidores;
• Equipamentos de rede – Firewalls, roteadores e switches;
• Sistemas de Telefonia (PBX) e Voice Over Internet Protocol (VOIP);
• Dispositivos de memória.
• Ativos que custam menos de R$250,00 (duzentos e cinquenta reais) não devem ser rastreados, incluindo componentes de computador, como dispositivos periféricos de baixo valor (teclados ou mouses).

No entanto, os seguintes ativos que armazenam dados devem ser rastreados, independentemente do custo:

• Equipamentos de armazenamento integrados à rede interna, tais como DAS (Direct Attached Storage), NAS (Network Attached Storage) e SAN (Storage Area Network);
• Discos rígidos dos computadores;
• Unidades de armazenamento temporárias;
• Mídia em fita ou mídia óptica com dados armazenados, incluindo dados de backups dos sistemas utilizados pela Instituição.

2. Diretrizes de Identificação de Ativos

Os seguintes procedimentos e protocolos se aplicam às atividades de gestão de ativos:

• Todos os ativos devem possuir identificação numérica interna, com correspondência ao número de série do dispositivo;
• Um banco de dados de rastreamento de ativos deve ser criado para fins de controle e rastreio, devendo conter todas as informações de compra do dispositivo, incluindo as seguintes informações: (i) data da compra; (ii) modelo e descrição; (iii) número de série; (iv) localização; (v) tipo de ativo; (vi) proprietário; (vii) departamento; (viii) número do pedido de compra; e (ix) disponibilidade do ativo.

3. Diretrizes de Eliminação e Descarte de Ativos

Serão estabelecidos procedimentos que regem o descarte ou a reposição segura de equipamentos e recursos, a serem realizados antes de qualquer cessão, transferência ou transporte de ativos informáticos.

Ao descartar qualquer ativo, os dados confidenciais devem ser devidamente removidos antes da eliminação. O Responsável pela Segurança da Informação, observando os ditames da Política de Segurança da Informação, determinará qual tipo de protocolo de destruição de dados deve ser utilizado para a eliminação e descarte do ativo.

Os dados devem ser removidos utilizando técnicas de formatação e limpeza de baixo nível. No que diz respeito aos ativos que contêm informações confidenciais e que não estão sendo reaproveitados, deve-se destruir fisicamente os discos de armazenamento antes da realização do descarte.