Norma de cópia de segurança
Introdução
Com a finalidade de manter a integridade e disponibilidade da informação, devem ser realizadas cópias de segurança de base de dados, arquivos textos, planilhas eletrônicas e de quaisquer outros arquivos e pastas que contenham informações sensíveis. O objetivo das cópias de segurança é garantir a recuperação sob demanda da informação quando necessária. Programas e sistemas operacionais, também devem ter cópias de segurança, pois estes são responsáveis por permitir o processamento da informação.
Alguns dos agentes que podem acarretar perdas de informação são desastres naturais, acidentes, falhas de equipamentos e ações intencionais. Por isso, as cópias de segurança também devem ser efetuadas com periodicidade, bem como o teste de integridade das informações contidas e o armazenamento das cópias devem ser realizados em locais distintos do local principal. No caso de perda de informação as cópias de segurança ajudarão a restauração do conteúdo perdido permitindo a continuação do negócio. No caso de sistemas críticos devem ser realizadas cópias de segurança que abranjam todos os sistemas de informação, aplicações e dados.
O objetivo desta norma é estipular um conjunto de diretrizes e recomendações para os diferentes usuários do Grupo Diário da Região - GDR. A boa utilização destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios.
Abrangência da segurança
Esta norma abrange todos os usuários do GDR, sendo estes celetistas, estagiários ou terceiros que utilizam o parque de tecnologia da informação do GDR.
Requisição de Geração, Recuperação e ou Armazenamento de cópia de Segurança
Toda e qualquer cópia de segurança deve ser armazenada, gerada ou recuperada pelo departamento de TI. Para realizar a requisição é necessária a autorização prévia por solicitação de serviço (sistema eletrônico disponibilizado pelo GDR) do diretor ou responsável do setor envolvido. Esta deve contemplar os itens descritos abaixo:
I. Nome do solicitante (responsável pelo setor);
II. Pessoa para contato;
III. Nome do usuário;
IV. Informar: “geração/armazenamento ou recuperação”;
V. Descrição detalhada;
VI. Justificativa para a geração/armazenamento ou recuperação das cópias de segurança, bem como o intervalo de armazenamento, extensão, a frequência e a criticidade deste processo.
Regras do Usuário
O usuário é responsável direto pelo cumprimento da regra referentes a cópias de segurança, estando passível de punição em caso de não cumprimento. Esta regra está descrita abaixo:
I. O usuário deve sempre comunicar a necessidade da geração/armazenamento ou recuperação de uma cópia de segurança bem como seus parâmetros a serem aplicados e aguardar autorização do diretor ou responsável pelo setor;
II. O usuário deve definir a abrangência dos arquivos, pastas, programas e sistemas operacionais a serem copiados. A necessidade de cópias de segurança de programas e sistemas operacionais está sujeita a recusa do departamento de TI caso este não cumpra os termos legais e de licenciamento do produto;
III. O usuário deve definir qual a extensão, a frequência e a criticidade da geração das cópias de segurança. Entenda-se como extensão o armazenamento completo ou diferencial da informação contidas nas cópias de segurança. A extensão e a frequência das cópias de segurança podem ser discutidas e alteradas pelo departamento de TI;
IV. O usuário deve respeitar os requisitos de negócio do setor ao qual pertence;
V. O usuário pode requerer a encriptação dos dados para garantir, caso necessário, a confidencialidade da informação. Neste caso, a senha de recuperação, bem como a possibilidade de recuperação da informação atrelada a esta cópia de segurança, é de total responsabilidade do usuário;
VI. O usuário deve determinar qual o tempo de validade da cópia de segurança da informação. A validade da cópia está sujeita a alteração ou negociação pelo departamento de TI.
Regras administrativas
Os usuários que possuem contas com privilégios de administrador são responsáveis pelo cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pelo departamento de TI.
I.O usuário administrador deve realizar as cópias de segurança sempre no período solicitado pelo usuário, conforme descrito na solicitação de serviço;
II.O usuário administrador deve realizar testes periódicos sobre as cópias de segurança para verificar a integridade delas. O período em que deve ser realizado os testes é semestral, com possibilidade de redução ou ampliação deste intervalo e deve estar de acordo com requisitos de negócio do usuário requerente;
III.O usuário administrador é responsável pela integridade, completude e exatidão das cópias de segurança efetuadas;
IV.O usuário administrador deve armazenar as cópias de segurança em locais remotos ao local principal;
V.O usuário administrador deve garantir que o nível de proteção esteja em conformidade física e ambiental com as informações contidas nas cópias de segurança;
VI.O usuário administrador é responsável pela elaboração, implantação e documentação do processo de geração/armazenamento e restauração de cópias de segurança em conformidade com as necessidades do usuário e dos requisitos de negócio. Sempre que possível e aplicável o usuário administrativo deve automatizar estes processos;
VII.O usuário administrador é responsável por testes periódicos dos processos de geração/armazenamento e restauração de cópias de segurança. A periodicidade destes testes deve ser definida em conformidade com a frequência de falhas e a criticidade dos requisitos de negócio envolvidos;
VIII.O usuário administrador é responsável pela restauração em até 7 dias úteis das cópias de segurança quando requeridas. Este prazo somente será aplicado desde que os equipamentos utilizados pelos usuários estejam plenamente funcionais para a restauração das cópias de segurança;
IX.O usuário administrador é responsável pelo descarte das cópias de segurança quando o prazo de validade definida se esgotar;
X.O usuário administrador deve disponibilizar, quando solicitado, a encriptação dos dados para garantir, caso necessário, a confidencialidade da informação. Neste caso, a senha de recuperação, bem como a possibilidade de recuperação da informação atrelada a esta cópia de segurança, é de total responsabilidade do usuário requerente.