TI descomissionada: como impedir que ativos obsoletos se tornem evidências contra a empresa

Entendendo o risco dos ativos de TI descomissionados

Ativos de tecnologia da informação (TI) descomissionados, quando não gerenciados corretamente, podem se tornar elementos críticos de risco, gerando evidências que comprometam a integridade organizacional. Informações confidenciais guardadas em dispositivos obsoletos podem ser recuperadas por agentes externos, expondo dados estratégicos, contratuais ou pessoais.

Legislação aplicável e obrigações legais

Segundo a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.853/2019), é mandatório adotar medidas eficazes para proteção e destruição segura dos dados armazenados em ativos de TI que não serão mais utilizados. A inobservância pode resultar em sanções administrativas e judiciais.

Procedimentos para mitigação de riscos

O processo de sanitização segura de mídias eletrônicas deve ser parte integrante do descomissionamento, garantindo que informações residuais não possam ser recuperadas. Este procedimento inclui técnicas homologadas como a desmagnetização, a sobrescrita múltipla de dados e o destruição física controlada. Uma referência confiável para este processo é a orientação do NIST Special Publication 800-88, que estabelece padrões para sanitização e descarte de mídias.

Para procedimentos envolvendo descarte seguro de HDs e mídias eletrônicas, recomenda-se a utilização de serviços especializados registrados, conforme detalhado no seguinte endereço: sanitização de HD - agendamento.

Implementação de políticas internas e controles de TI

Deve-se formalizar políticas internas para controle do ciclo de vida dos ativos tecnológicos, incluindo classificações de segurança, inventário rigoroso, e destinação definitiva. Documentar cada etapa do processo auxilia em auditorias e demonstra a conformidade com requisitos regulatórios.

Responsabilidade e capacitação técnica

É imprescindível que equipes de TI e governança recebam capacitação contínua sobre melhores práticas em gestão de ativos e segurança da informação, focando em garantir a completa neutralização de dados antes de qualquer descarte ou reutilização.

Destinação ambiental correta dos equipamentos

Além da segurança da informação, deve-se assegurar o descarte ambientalmente adequado dos equipamentos eletrônicos, mitigando passivos ambientais e atendendo as obrigações da Política Nacional de Resíduos Sólidos (Lei nº 12.305/2010). Para a gestão de resíduos eletrônicos, recomenda-se a contratação de serviços especializados por meio do seguinte link: coleta de lixo eletrônico - agendamento.