Dejan Kosutic Infelizmente, se você já desenvolveu um registro de ativos fixos, ele não será o suficiente para estar em conformidade com a ISO 27001 – o conceito de inventário de ativos (as vezes chamado de registro de ativos) em segurança da informação é bem diferente do conceito de registro de ativos fixos em contabilidade.
O que são ativos de acordo com a ISO 27001?
Primeiro, vamos esclarecer o que ativos significam no contexto da ISO 27001 – o engraçado é que nem a nova versão 2013 da ISO/IEC 27001, ou a versão 2014 da ISO/IEC 27000 dá uma definição de ativos, mas a versão 2005 da ISO/IEC 27001 define um ativo como “qualquer coisa que tenha valor para a organização.”
Uma vez que a ISO 27001 foca na preservação da confidencialidade, integridade e disponibilidade da informação, isto significa que ativos podem ser:
- Hardware – e.g. laptops, servidores, impressoras, mas também telefones móveis ou cartões de memória USB.
- Software – não apenas os comprados, mas também os gratuitos.
- Informação – não apenas em mídia eletrônica (bases de dados, arquivos em PDF, Word, Excel, e outros formatos), mas também em papel e outras formas.
- Infraestrutura – e.g. escritórios, eletricidade, ar condicionado – porque estes ativos podem causar perda de disponibilidade da informação.
- Pessoas também são consideradas ativos porque elas também possuem muitas informações em suas mentes, que muitas vezes não estão disponíveis de outras formas.
- Serviços terceirizados – e.g. Serviços legais ou de limpeza, mas também serviços online como Dropbox ou Gmail – é verdade que estes não são ativos no sentido puro da palavras, mas tais serviços precisam ser controlados de maneira similar aos ativos, então eles muitas vezes são incluídos na gestão de ativos.
Por que ativos são importantes para a gestão da segurança da informação?
Existem duas razões sobre porque gerenciar ativos é importante:
1) Ativos são geralmente utilizados para se realizar análise/avaliação de riscos – embora não seja mandatório pela ISO 27001:2013, ativos são geralmente o elemento chave para a identificação de riscos, juntamente com ameaças e vulnerabilidades. Veja também Avaliação e tratamento de riscos segundo a ISO 27001 – 6 etapas básicas.
2) Se a organização não sabe quem é o responsável por cada ativo, o caos reinaria – a definição de proprietários de ativos e a designação de responsabilidades para eles quanto a proteção da confidencialidade, integridade e disponibilidade da informação é um dos principais conceitos da ISO 27001.
É por isso que a ISO 27001:2013 requer o seguinte: um inventário de ativos precisa ser desenvolvido (A.8.1.1), proprietários de ativos precisam ser nominados (A.8.1.2), e o uso aceitável de ativos deve ser definido (A.8.1.3).
Como construir um inventários de ativos?
Se você não desenvolveu seu inventário de ativos previamente, a forma mais fácil de construí-lo é durante o processo inicial de análise/avaliação de riscos (se você escolheu a metodologia de análise/avaliação baseada em ativos), porque este é o momento quando todos os ativos precisam ser identificados, juntamente com seus proprietários.
A melhor forma de construir um inventário de ativos é entrevistando o responsável por cada departamento, e fazendo uma lista de todos os ativos que o departamento usa. A técnica mais fácil é a “descreva o que você vê” – basicamente, peça a esta pessoa para fazer uma lista de todos os softwares que ela vê que estão instalados no computador, todos os documentos que estão em suas pastas e armários, todas as pessoas trabalhando no departamento, todos os equipamentos vistos em seus escritórios, etc.
Claro que, se você já possui algum tipo de inventário (e.g. Registro de ativos fixos, lista de empregados, lista de softwares licenciados, etc.), então você não tem que duplicar estas listas – o melhor seria referenciar estas listas em seu registro de ativos de segurança da informação.
A ISO 27001 não prescreve quais detalhes devem fazer parte da lista de um inventário de ativos – você pode listar apenas o nome do ativo e de seu proprietário, mas você também pode adicionar outras informações úteis, tais como categoria do ativo, sua localização, algumas notas, etc.
Construir o registro de ativos é geralmente feito pela pessoa que coordena a o projeto de implementação da ISO 27001 – em muitos casos, o Gestor de Segurança da Informação (Chief Information Security Officer), e esta pessoa coleta toda a informação e assegura que o inventário está atualizado.
Quem deveria ser o proprietário do ativo?
O proprietário é normalmente a pessoa que opera o ativo e quem assegura que a informação relacionada a este ativo está protegida. Por exemplo, um proprietário de servidor pode ser o administrador do sistema, e o proprietário de um arquivo pode ser a pessoa que criou este ativo; pelos empregados, o proprietário geralmente é a pessoa que é seu supervisor direto.
Para ativos similares utilizados por muitas pessoas (tais como laptops ou telefones móveis), você pode definir que o proprietário é a pessoa que utiliza o ativo, e se você tem um único ativo utilizado por muitas pessoas (e.g. Software de ERP), então o proprietário pode ser um membro da diretoria que tem a responsabilidade por toda a organização – no caso do ERP, este poderia ser o gestor de informações (Chief Information Officer).
Leia também Proprietários de risco vs. Proprietários de ativos na ISO 27001:2013.
Desta forma, o ponto é – construir um registro de ativos pode parecer um trabalho muito burocrático sem muito uso prático, mas a verdade é que listar estes ativos ajuda a esclarecer o que é valioso em sua organização e quem é responsável por eles. E, sem saber o que você tem e quem está no comando, nem mesmo pense que você será capaz de proteger sua informação.
Clique aqui para se registar para um webinar gratuito The basics of risk assessment and treatment according to ISO 27001.
Nós agradecemos a Rhand Leal pela tradução para o português.
