Gestion des risques dans le cycle complet de l'informatique : de l'inventaire à l'élimination finale auditable

Introduction à la gestion des risques dans le cycle de l'informatique

La gestion des risques est essentielle pour assurer l'intégrité, la sécurité et la conformité des actifs de technologie de l'information (TI) du début à la fin du cycle de vie. Cela comprend un inventaire détaillé, une maintenance continue, une surveillance et une mise au rebut auditable des équipements, garantissant une protection contre les vulnérabilités et une atténuation des impacts environnementaux et légaux.

Inventaire détaillé et contrôle des actifs

La première étape consiste à maintenir un inventaire à jour, cataloguant tous les dispositifs informatiques, comme les ordinateurs, serveurs, appareils mobiles et supports de stockage. L'inventaire doit être géré avec rigueur afin d'assurer que tous les actifs soient enregistrés et traçables depuis l'acquisition jusqu'à la mise au rebut finale, conformément à la Loi n° 14.150/2021, qui traite de la responsabilité environnementale dans la gestion des déchets électroniques.

Surveillance et maintenance continue

Après l'inventaire, il est essentiel de mettre en place des processus de surveillance pour identifier les défaillances, les risques opérationnels ou les menaces de cybersécurité, comme la fuite de données personnelles ou d'entreprise. La norme du NIST SP 800-53 établit des contrôles de sécurité pour garantir la confidentialité, l'intégrité et la disponibilité des systèmes.

Classification et séparation des actifs

Il est vital de classer les actifs selon leur niveau de sensibilité et leur criticité, en adoptant une séparation physique et logique pour protéger les données confidentielles contre tout accès non autorisé, en corrélant cette pratique à la Portaria n° 127/2018 de la Controladoria-Geral da União, qui guide sur les contrôles internes et la gestion des risques.

Mise au rebut finale sécurisée et auditable des actifs

La mise au rebut des dispositifs électroniques doit respecter la législation en vigueur et garantir la destruction sécurisée des données, en particulier sur les supports de stockage. Pour cela, la désinfection des données sur les disques durs ou autres supports doit être réalisée selon les normes recommandées et auditée pour prouver la conformité. Des services spécialisés en assainissement de disques durs assurent l'élimination complète des informations.

Concernant le retrait et l'acheminement des déchets électroniques vers une destination appropriée, il est recommandé d'utiliser des systèmes de collecte autorisés, qui peuvent être planifiés via des plateformes telles que celle de la collecte de déchets électroniques. Un suivi rigoureux de la mise au rebut permet des audits efficaces, minimisant les risques environnementaux et légaux, conformément aux directives du Système National d'Informations sur la Gestion des Déchets Solides (SINIR).

Audit et conformité réglementaire

Les opérations de gestion des risques doivent être alignées à la législation en vigueur, telle que la Loi Générale sur la Protection des Données (LGPD, Loi n° 13.709/2018), qui établit des normes pour le traitement des données personnelles. L'audit dans le cycle complet des TI assure la conformité, l'intégrité des registres et l'efficacité des contrôles mis en place.

Conclusion

La gestion intégrée des risques dans le cycle complet des TI, de l'inventaire à la mise au rebut finale auditable, est indispensable pour atténuer les vulnérabilités, garantir la conformité réglementaire et protéger les actifs physiques et numériques. Une action basée sur des normes officielles et des lois spécifiques englobe tout le processus, favorisant l'excellence opérationnelle et la durabilité environnementale.