Domine a Gestão de Ativos: Guia Orientativo

Introdução

A segurança da informação, a cada dia que passa, torna-se uma preocupação para todas as empresas de todos os setores, uma vez que a dependência da tecnologia continua crescendo. Neste contexto, a gestão de ativos desempenha um papel fundamental na proteção dos recursos e informações valiosas nas empresas. Sendo assim, desenvolvemos este artigo, onde exploraremos o conceito de gestão de ativos, sua relação com a norma ISO 27001, a importância de sua implementação, e como ela se relaciona com a análise de riscos do ponto de vista da normativa (ISO).

O que é um ativo?

A definição de ativo surgiu em decorrência da norma ISO 55000 (primeira edição – 2014), que identificou um elemento arbitrário que efetiva a atividade de uma empresa que faz gestão da infraestrutura.

Podemos definir ativos como tudo que compõe uma empresa, e que auxilia no seu crescimento, ou seja, são bens materiais, que possuem um valor agregado para a empresa. 

Os ativos podem ser classificados como ativos tangíveis, que é o caso de mobílias, equipamentos, veículos, computadores, ou intangíveis, categorizando-se neste caso, por exemplo, patentes, direitos de uso/propriedade, entre outros.

Equipe de negócios usando laptop na reunião

Gestão de Ativos

Quando nos referimos a gestão de ativos, nos deparamos com uma abordagem onde todos os ativos de uma empresa são acompanhados desde a sua compra, até o seu descarte. Essa gestão permite maior controle sobre entradas, reposições e saídas, focando em manter preservados todos os ativos que fazem parte da infraestrutura da organização. 

Ainda, a gestão adequada dos ativos contribui para identificação de oportunidades, e riscos. No contexto da segurança da informação, refere-se ao processo de identificação, classificação, valoração e proteção dos ativos de informação de uma organização. 

Os ativos de informação podem ser tanto físicos quanto digitais, podendo incluir hardware, software, dados, instalações e recursos humanos (ex: colaboradores). O objetivo da gestão de ativos do ponto de vista da segurança da informação, é garantir que os ativos de informação sejam devidamente protegidos contra ameaças, minimizando os riscos e garantindo a continuidade dos negócios.

Relação com a norma ISO

A ISO 27001, norma internacionalmente reconhecida para sistemas de gestão de segurança da informação, destaca a importância da gestão de ativos como um dos seus requisitos fundamentais. 

A norma dispõe, no requisito 5.9, que a organização realize e mantenha um inventário de informações e outros ativos associados. Esse requisito possui como proposta a identificação das informações e ativos, para determinar a sua importância com relação à segurança da informação.

Além disso, o requisito destaca a importância de designar responsáveis pelo monitoramento do ciclo de vida desses ativos, que possuem como um dos escopos de suas atividades, a realização de avaliações periódicas desses ativos, garantindo que eles estejam envolvidos na identificação e gestão dos riscos associados a eles.

Leia Também

Relação com a análise de riscos

É notável que o procedimento desempenha um papel crucial na avaliação de riscos, pois através da identificação dos ativos, a organização pode determinar o impacto e a probabilidade da ocorrência desses riscos. 

Essa avaliação de riscos, com relação aos ativos, está localizada no requisito 6.1.2 da ISO 27001, que estabelece que as organizações devem implementar uma avaliação de riscos que abranja aspectos como:

Esse requisito destaca a importância da avaliação de riscos de segurança da informação no contexto da gestão de ativos, pois essa análise permite identificar e priorizar os riscos que podem afetar a confidencialidade, integridade e disponibilidade dos ativos de informação da organização. 

Com base nessa avaliação de risco, medidas de proteção adequadas podem ser implementadas para mitigar ou eliminar as vulnerabilidades identificadas. Portanto, é uma parte essencial do processo de gerenciamento de riscos, ajudando as organizações a tomarem decisões sobre como proteger seus ativos de informação.

Valendo ser ressaltado que toda a norma exige que a organização mantenha informações documentadas sobre o processo de avaliação de riscos da segurança da informação.

Como realizar a gestão de ativos?

Para implementação do procedimento de forma efetiva, as organizações, primeiramente, devem identificar todos os ativos relevantes, valor, localização, documentando suas características e definindo quem são seus proprietários. Para exemplificação, no caso de segurança da informação, podemos citar como exemplo, hardware, software, dados, informações, pessoas, equipamentos e infraestrutura física. 

Após ter todos os ativos mapeados, deve ser feita sua classificação com base na sua confidencialidade, disponibilidade e integridade. Ou seja, confidencialidade é a verificação do nível de proteção desse ativo contra acesso não autorizado; disponibilidade é a garantia de que os ativos vão estar acessíveis quando necessário por pessoas autorizadas, e por fim, a integridade é definida como a garantia de que os ativos não vão ser alterados sem autorização, preservando a sua precisão.

termometro de analise de riscos apondado para o vermelho

Após a classificação devemos realizar a avaliação de riscos para determinar as ameaças e vulnerabilidades que podem afetar essa confidencialidade, integridade e disponibilidade dos ativos. Considere, por exemplo, fatores como acesso não autorizado, falhas técnicas, erros humanos, entre outros.

O próximo passo é estabelecer controles adequados para mitigar esses riscos que devem ser tratados. Podendo esses controles ser alterações físicas, políticas, e procedimentos para orientar o uso adequado dos ativos e garantia da sua segurança, incluindo nesse escopo as políticas de senhas, backup, de uso aceitável de ativos, dentre outras.

Não menos importante, a educação é essencial nesse processo, e a realização de treinamentos e conscientização de todos os colaboradores sobre a importância da gestão de ativos ajudará a promover uma cultura de segurança da informação, garantindo que todos entendam suas responsabilidades.

Por fim, não podemos deixar de citar o estabelecimento do processo contínuo para revisão dos controles, e dos ativos, podendo incluir auditorias, testes como os de penetração, análise de vulnerabilidades, etc. Isso é fundamental para identificação de novos riscos e a necessidade de alteração dos controles já existentes e implementados.

Conclusão

A gestão de ativos desempenha um papel fundamental na proteção dos recursos de informação das organizações. Ela fornece uma abordagem estruturada para identificar, avaliar e proteger ativos de informação, minimizando os riscos associados. 

Ao implementar medidas de proteção apropriadas, as organizações podem garantir a continuidade dos negócios e a confidencialidade, integridade e disponibilidade de seus ativos de informação. Portanto, a gestão de ativos é uma prática crucial para qualquer organização que busca proteger seus recursos.

Pensando em também ajudar na efetividade e aplicabilidade dessa importante gestão, a Be desenvolveu a plataforma de Compliance Regulatório – Be Standards.

Na plataforma é possível:

Ficou interessado em conhecer a Plataforma? Agende uma demonstração com nossos especialistas, e saiba mais sobre a plataforma que vem revolucionando as empresas no Compliance Regulatório.

Matéria escrita por: 

Matéria escrita por:

Agende uma demonstração e conheça as nossas soluções!

Agende uma demonstração e conheça as nossas soluções!

Quer ler mais matérias sobre:

Agende uma demonstração Grátis

Informe seus dados e aguarde um retorno de nosso especialista.

Agende uma demonstração Grátis

Informe seus dados e aguarde um retorno de nosso especialista.