• vitormaleite

Fonte: Photo by ThisisEngineering RAEng on Unplash


Nas minhas recentes leituras diárias do Linkedin me deparei com a publicação do Aron Lange:

Ativos são o coração de todo sistema de gestão de segurança da informação. Organizações devem protegê-los porque eles estão expostos a riscos por meio das ameaças que exploram vulnerabilidades. Cada ativo necessita que controles específicos sejam implementados para tratar os riscos identificados [...] (Tradução nossa)

Aproveitando esse belo insumo que o Aron nos deu, vamos abrir um pouco mais sobre o tema?


Primeiro, precisamos relembrar que os ativos de informação é tudo aquilo que agrega valor ao negocio da organização, então, podem ser pessoas, processos, sistemas, ambientes físicos, logs, arquivos de configuração, a própria informação armazenada, máquinas, servidores, demais dispositivos de redes (switches, roteadores)....para melhor visualizarmos como eles podem ser categorizados resgato aqui, uma publicação recente do Gary em um dos grupos que participo:


Fonte: iso27001security@googlegroups.com

Fonte: iso27001security@googlegroups.com

Fonte: iso27001security@googlegroups.com


Como relembramos o que são os ativos, vamos começar a nossa análise pela ISO/IEC 27002:2022. Nesta norma temos no controle "5.9 Inventory of information and other associated assets" (Ativos de informação e outros ativos associados) que o inventário de ativos deve ser constantemente atualizado e mantido e deve considerar os responsáveis por cada ativo listado. A norma não é prescritiva, mas uma coisa que ela deixa claro, é que não necessariamente você precisa ter um único inventário. E o que isso significa? Você pode ter máquinas, servidores, notebooks e outros demais dispositivos de redes gerenciados por um sistema automatizado, uma lista de processos de negócio e das pessoas da organização com suas competências por um controle manual, por planilha por exemplo....


Vitor, mas ainda não entendi que tipo de informação eu devo ter nos meus inventários. Na dúvida, consultar as referências abaixo podem deixar os seus inventários mais completos:

  • CIS Control v8: os controles 01 "Inventário e controle de ativos corporativos" e 02 "Inventário e controle de ativos de software" são reservados para o tema;

  • NIST CSF: vá direto na categoria "Asset Management (ID.AM)";

  • NIST 800-53 rev.5: aqui o controle Configuration Management, especificamente o CM-8 System Component Inventory, CM-10 - Software Usage Restrictions e CM-11 - User-installed Software, bem como o SA-22 Unsupported System Components tem relação com o que estamos falando.

No final tendo inventário automatizado, usando, por exemplo, o Desktop Central da vida:

Fonte: manageengine.com

junto com os demais inventários manuais, por excel:

Fonte: cisecurity.org

você e sua empresa terão a visibilidade de todos os ativos de informação e desta forma conseguirá implementar diversos controles para protegê-los como bem disse o Aron. Afinal:

Você não pode proteger o que você não sabe (Autor Desconhecido)


  • vitormaleite

Diariamente, as ações que executamos no nosso dia a dia, podem expor informações e dados sensíveis da empresa onde trabalhamos.


Com a intenção de conscientizar sobre os cuidados que devemos tomar com as nossas atitudes e comportamentos, o jogo (em inglês) "The Weakest link: A user Security Game", nos traz uma série de situações que aconteceram durante 30 dias de trabalho e você deve responder como reagiria diante das situações.


Vai lá! Joga! Depois me diz como se saiu.

: )

  • vitormaleite

Ash Ketchum da cidade de Pallet, aos 10 anos de idade, no anime pokémon, já tinha o desejo de ser um mestre pokémon. Para conquistar esse título, ele passou por uma jornada na qual não imaginaria passar.

O foco deste artigo não é sobre o anime pokémon, mas só gostaria de relembrá-los de algumas partes para fazer uma pequena analogia.

Na primeira temporada, para que o Ash pudesse participar da Liga Pokémon Índigo, ele precisou conquistar oito insígnias, o que não foi nada fácil:

Eu também estou na minha jornada, obviamente, não é a mesma do Ash, claro! rsrs Mas, tenho um grande objetivo de ser um grande profissional de segurança e privacidade, fazendo analogia, seria o "Mestre Pokémon" que o Ash sempre desejou.


Assim como ele, estou passando e precisarei passar por diversas aventuras (*experiências) para chegar lá e pra isso, no meio do caminho, também preciso conquistar as minhas insígnias (*certificações).


Sempre que coloco como meta tirar uma certificação, me dedico bastante para realmente aprender aquele conteúdo e posteriormente utilizar em meu dia a dia, desta maneira, cada conquista vai me tornando um profissional ainda melhor.


A minha jornada das certificações começou em 2017. Essa é a minha linha do tempo:


2017 - Information Security Foundation based on ISO/IEC 27001 (ISFS)

2018 - Information Security Management Professional based on ISO/IEC 27001 (ISMP)

2019 - Privacy and Data Protection Foundation (PDPF)

2020 - Privacy and Data Protection Practitioner (PDPP)

ITIL 4 Foundation

2021 - ISO/IEC 27001 Lead Implementer

2022 - Em estudo para tirar a Auditor Líder da ISO/IEC 27001/27701


Essa jornada cheia de aprendizado, estudos e experiências, me dá muito prazer e sempre me traz o desejo de avançar mais, e por isso, ainda tenho várias como meta.


Sei que não é um certificado que vai indicar se somos ou não um ótimo profissional, mas se levarmos o que aprendemos nesses estudos para a prática, é uma combinação perfeita para ir cada vez mais longe.


E você, o que acha sobre as certificações?


Como está a sua jornada?


Elas estão te agregando também?


Fonte da foto: https://www.poke-blast-news.net