Norma de remoção, reutilização e descarte de documentos e dispositivos de armazenamento
Introdução
Quando um equipamento e ou mídia tornam-se obsoletos, seja por danos materiais, depreciação da tecnologia ou da informação, torna-se necessário a alienação, remoção, reutilização ou descarte das unidades de mídia e equipamentos. Porém, dados e informações contidos podem ser sigilosos e restritos ao Grupo Diário da Região – GDR ou seus clientes e parceiros. Um exemplo onde poderia ocorrer este problema é no envio de equipamentos para terceiros, seja para doação ou manutenção, que caso não tivessem os devidos cuidados poderiam revelar informações sensíveis, tais informações restritas e privadas de um parceiro, cliente ou colaborador. Isto também se aplica no descarte inadequado de mídias, sendo elas impressas, magnéticas ou de qualquer outra natureza, pois tornaria acessível à unidade e seu conteúdo a agentes externos. Em ambos os casos é necessário a eliminação segura desta informação sensível por meio de sua destruição ou eliminação completa dos dados contidos na unidade de armazenamento, a fim de torná-las irrecuperáveis (caso exista a necessidade de cópia de segurança, ver “NSI008 - Norma de cópias de segurança”). O objetivo desta norma é estipular um conjunto de diretrizes e recomendações aos diferentes usuários do GDR. A boa utilização destes serviços é de responsabilidade de cada usuário com seus respectivos privilégios.
Abrangência da segurança
Esta norma abrange todos os usuários do GDR, sendo estes celetistas, estagiários ou terceiros que utilizam o parque de tecnologia da informação do GDR.
Remoção de propriedade
Toda e qualquer remoção de equipamentos, informações ou mídias requerem autorização prévia por solicitação de serviço (sistema eletrônico disponibilizado pelo GDR) do diretor ou responsável do setor envolvido. Caso a remoção da máquina seja realizada por terceiros, no campo de detalhe da solicitação de serviço deve-se conter informações municipais (São José do Rio Preto), estaduais (São Paulo) e ou federais (Brasil) que identifiquem em plenitude os terceiros envolvidos no processo de remoção do equipamento. Algumas destas identificações são informações contidas em RGs, CPFs e ou CNPJs. Também deve ser informado o intervalo de tempo dedicado para a retirada do equipamento do local.
Quando devolvidos, os diretores ou responsáveis devem se utilizar dos termos de remoção e devolução disponibilizados pelo departamento de TI. Todos os registros de remoção e devolução de equipamentos e mídias são devidamente registrados pelo departamento de TI.
As solicitações para alienação, remoção, reutilização e ou descarte de mídias e equipamentos deverão ser realizadas através de solicitação de serviço, contemplando os itens descritos abaixo:
a) Nome do solicitante (responsável pelo setor);
b) Pessoa para contato;
c) Nome do usuário;
d) Informar: “alienação, remoção, reutilização e ou descarte de mídias e equipamentos relacionados”;
e) Descrição detalhada;
f) Justificativa para a alienação, remoção, reutilização e ou descarte de mídias e equipamentos relacionados.
O departamento de TI é responsável somente pelo processamento destas solicitações. Quando aplicado o processo de reutilização e ou remoção dos equipamentos e mídias realizados pelo departamento de TI, os itens processados serão devolvidos ao setor solicitante.
Inspeções aleatórias
Todos os departamentos e empresas do GDR estão passíveis de inspeções realizadas pelo departamento de TI para a detecção de retirada não autorizada de bens relacionados à informática, bem como a instalação não autorizada de dispositivos de gravação. O departamento de TI deve comunicar a realização destas inspeções com, no mínimo, 24 horas de antecedência. Estas inspeções requerem a autorização do diretor presidente ou diretor do setor envolvido.
Regra do Usuário
O usuário é responsável direto pelo cumprimento da regra referentes a remoção, alienação, reutilização e ou descarte de um equipamento e ou mídia, estando passível de punição em caso de não cumprimento. Esta regra está descrita abaixo:
I. O usuário deve, sempre comunicar ao diretor ou responsável a necessidade da remoção, alienação, reutilização e ou descarte de um equipamento e ou mídia e aguardar autorização.
Regras de usuários nomeados
Os diretores devem nomear um responsável (referenciado como usuário nomeado). O usuário nomeado deve zelar pelo cumprimento destas regras, sendo estas listadas abaixo:
I. O usuário nomeado deve examinar todas as mídias de armazenamento, tanto contidas no equipamento quanto removíveis, antes do descarte, para classificar e rotular a sensibilidade da informação contida, este processo é usado para determinar a necessidade do descarte seguro;
II. O usuário nomeado é responsável pela análise e avaliação de riscos sobre as informações contidas. Logo o responsável ou diretor é responsável pela escolha de destruição física ou formatação dos dados contidos no equipamento ou na mídia. No caso de conserto de equipamentos e mídias, estes riscos devem ser avaliados para evitar a divulgação da informação sensível;
III. O usuário nomeado deve recolher os equipamentos e mídias do setor a qual é responsável, e solicitar o recolhimento deste material pelo departamento de TI;
IV. O responsável deve recolher todos os papéis impressos destinados ao descarte e que contenham informações sensíveis;
V. O usuário nomeado é responsável pelo registro dos controles sobre os materiais alienados, reutilizados, removidos e ou descartados do seu setor;
VI. O usuário nomeado é unicamente responsável pela autorização para alienação, reutilização, remoção e ou descarte de mídias e equipamentos;
VII. O usuário nomeado, diretor e ou responsável pelo setor são responsáveis pelo devido armazenamento das mídias em ambiente seguro e de acordo com as especificações do fabricante.
Regras administrativas
Os usuários que possuem contas com privilégios de administrador são responsáveis pelo cumprimento destas regras, sendo estes responsáveis (funcionários ou terceiros) gerenciados pelo departamento de TI.
I. O usuário administrador deve examinar todas as mídias de armazenamento antes do descarte, para garantir a eliminação ou sobrescrita completa dos dados sensíveis e ou softwares instalados nela;
II. O usuário administrador deve garantir a irrecuperabilidade completa e total de todas as informações contidas nas mídias de armazenamento, sendo aplicável a destruição física e ou técnica de formatação apropriada;
III. O usuário administrador deve recolher os equipamentos e mídias dos setores e encaminhá-los ao departamento de TI;
IV. O usuário administrador é responsável pelo devido armazenamento e posterior destruição para as mídias de descarte. Este processo pode ser realizado através de trituração, incineração e ou remoção dos dados;
V. O usuário administrador deve recolher todos os papéis impressos solicitados para descarte, que contenham informações sensíveis, para armazenamento e posterior destruição;
VI. O usuário administrador é responsável pelo registro dos controles sobre os materiais alienados, reutilizados, removidos e ou descartados;
VII. O usuário administrador é responsável por evitar grande acúmulo de materiais, sendo o procedimento de alienação e descarte realizados mensalmente;
VIII. O usuário administrador é responsável pelo devido armazenamento das mídias em ambiente seguro e de acordo com as especificações do fabricante. Entende-se como ambiente seguro a proteção física contra incêndios, enchentes, terremotos, explosões, perturbações da ordem pública e outras formas de desastres naturais ou causados pelo homem.