• vitormaleite


Há um tempo atrás me deparei no Linkedin com a publicação de um profissional chamado Felipe Ramos, a qual não conheço, mas que me chamou muita atenção, pois toca em um ponto que muitas vezes é desconsiderado nas empresas. Como vocês podem ver abaixo, fala sobre a importância da documentação técnica:

Aproveitando o gancho do Felipe, podemos afirmar com toda a certeza que documentar Políticas, Normas, Procedimentos e Processos sendo técnico ou não deveria virar rotina nas empresas. Ter a prática de documentar é tão importante, que não a toa, toda norma de sistema de gestão tem o requisito de "Informação Documentada. No caso da ISO/IEC 27001:2013 esse requisito é o 7.5.


Ter a prática de documentar pode até parecer burocrático, mas ela gera benefícios fundamentais, como:

  1. Centralizar informações em um único local: quando se tem a prática de documentar, a tendência é disponibilizá-la em um lugar centralizado, para que facilite a todos a encontrem facilmente a informação que desejam. Seja em um pasta, repositório compartilhado ou uma intranet da vida;

  2. Evitar trabalho duplicado: se algo já está documentado, você não precisará fazer do zero, na verdade terá a oportunidade de analisar aquilo que está registrado e de repente, buscar e sugerir melhorias;

  3. Base de conhecimento: esse o Felipe até já destacou "incentiva uma cultura permanente de compartilhamento de conhecimento", consultando a documentação todos passam a entender como um processo, tarefa ou projeto funcionam;

  4. Evita retenção de informação: imagine que em uma equipe existe um profissional que somente ele domina tal tema. Se ele sair no dia seguinte e determinado procedimento que só ele sabia fazer não foi documentado, a equipe vai sofrer um bucado. Ninguém é insubstituível, mas com certeza isso aconteceria.

E ai? Vamos então documentar o que fazemos vendo o lado bom da coisa agora?


=]


  • vitormaleite

Fonte: Photo by ThisisEngineering RAEng on Unplash


Nas minhas recentes leituras diárias do Linkedin me deparei com a publicação do Aron Lange:

Ativos são o coração de todo sistema de gestão de segurança da informação. Organizações devem protegê-los porque eles estão expostos a riscos por meio das ameaças que exploram vulnerabilidades. Cada ativo necessita que controles específicos sejam implementados para tratar os riscos identificados [...] (Tradução nossa)

Aproveitando esse belo insumo que o Aron nos deu, vamos abrir um pouco mais sobre o tema?


Primeiro, precisamos relembrar que os ativos de informação é tudo aquilo que agrega valor ao negocio da organização, então, podem ser pessoas, processos, sistemas, ambientes físicos, logs, arquivos de configuração, a própria informação armazenada, máquinas, servidores, demais dispositivos de redes (switches, roteadores)....para melhor visualizarmos como eles podem ser categorizados resgato aqui, uma publicação recente do Gary em um dos grupos que participo:


Fonte: iso27001security@googlegroups.com

Fonte: iso27001security@googlegroups.com

Fonte: iso27001security@googlegroups.com


Como relembramos o que são os ativos, vamos começar a nossa análise pela ISO/IEC 27002:2022. Nesta norma temos no controle "5.9 Inventory of information and other associated assets" (Ativos de informação e outros ativos associados) que o inventário de ativos deve ser constantemente atualizado e mantido e deve considerar os responsáveis por cada ativo listado. A norma não é prescritiva, mas uma coisa que ela deixa claro, é que não necessariamente você precisa ter um único inventário. E o que isso significa? Você pode ter máquinas, servidores, notebooks e outros demais dispositivos de redes gerenciados por um sistema automatizado, uma lista de processos de negócio e das pessoas da organização com suas competências por um controle manual, por planilha por exemplo....


Vitor, mas ainda não entendi que tipo de informação eu devo ter nos meus inventários. Na dúvida, consultar as referências abaixo podem deixar os seus inventários mais completos:

  • CIS Control v8: os controles 01 "Inventário e controle de ativos corporativos" e 02 "Inventário e controle de ativos de software" são reservados para o tema;

  • NIST CSF: vá direto na categoria "Asset Management (ID.AM)";

  • NIST 800-53 rev.5: aqui o controle Configuration Management, especificamente o CM-8 System Component Inventory, CM-10 - Software Usage Restrictions e CM-11 - User-installed Software, bem como o SA-22 Unsupported System Components tem relação com o que estamos falando.

No final tendo inventário automatizado, usando, por exemplo, o Desktop Central da vida:

Fonte: manageengine.com

junto com os demais inventários manuais, por excel:

Fonte: cisecurity.org

você e sua empresa terão a visibilidade de todos os ativos de informação e desta forma conseguirá implementar diversos controles para protegê-los como bem disse o Aron. Afinal:

Você não pode proteger o que você não sabe (Autor Desconhecido)


  • vitormaleite

Diariamente, as ações que executamos no nosso dia a dia, podem expor informações e dados sensíveis da empresa onde trabalhamos.


Com a intenção de conscientizar sobre os cuidados que devemos tomar com as nossas atitudes e comportamentos, o jogo (em inglês) "The Weakest link: A user Security Game", nos traz uma série de situações que aconteceram durante 30 dias de trabalho e você deve responder como reagiria diante das situações.


Vai lá! Joga! Depois me diz como se saiu.

: )