Fonte: Photo by ThisisEngineering RAEng on Unplash
Nas minhas recentes leituras diárias do Linkedin me deparei com a publicação do Aron Lange:
Ativos são o coração de todo sistema de gestão de segurança da informação. Organizações devem protegê-los porque eles estão expostos a riscos por meio das ameaças que exploram vulnerabilidades. Cada ativo necessita que controles específicos sejam implementados para tratar os riscos identificados [...] (Tradução nossa)
Aproveitando esse belo insumo que o Aron nos deu, vamos abrir um pouco mais sobre o tema?
Primeiro, precisamos relembrar que os ativos é tudo aquilo que agrega valor ao negocio da organização, então, podem ser pessoas, processos, sistemas, ambientes físicos, logs, arquivos de configuração, a própria informação armazenada, máquinas, servidores, demais dispositivos de redes (switches, roteadores)....para melhor visualizarmos como eles podem ser categorizados resgato aqui, uma publicação recente do Gary em um dos grupos que participo:
Fonte: iso27001security@googlegroups.com
Fonte: iso27001security@googlegroups.com
Fonte: iso27001security@googlegroups.com
Como relembramos o que são os ativos, vamos começar a nossa análise pela ISO/IEC 27002:2022. Nesta norma temos no controle "5.9 Inventory of information and other associated assets" (Ativos de informação e outros ativos associados) que o inventário de ativos deve ser constantemente atualizado e mantido e deve considerar os responsáveis por cada ativo listado. A norma não é prescritiva, mas uma coisa que ela deixa claro, é que não necessariamente você precisa ter um único inventário. E o que isso significa? Você pode ter máquinas, servidores, notebooks e outros demais dispositivos de redes gerenciados por um sistema automatizado, uma lista de processos de negócio e das pessoas da organização com suas competências por um controle manual, por planilha por exemplo....
Vitor, mas ainda não entendi que tipo de informação eu devo ter nos meus inventários. Na dúvida, consultar as referências abaixo podem deixar os seus inventários mais completos:
CIS Control v8: os controles 01 "Inventário e controle de ativos corporativos" e 02 "Inventário e controle de ativos de software" são reservados para o tema;
NIST CSF: vá direto na categoria "Asset Management (ID.AM)";
NIST 800-53 rev.5: aqui o controle Configuration Management, especificamente o CM-8 System Component Inventory, CM-10 - Software Usage Restrictions e CM-11 - User-installed Software, bem como o SA-22 Unsupported System Components tem relação com o que estamos falando.
No final tendo inventário automatizado, usando, por exemplo, o Desktop Central da vida:
Fonte: manageengine.com
junto com os demais inventários manuais, por excel:
Fonte: cisecurity.org
você e sua empresa terão a visibilidade de todos os ativos de informação e desta forma conseguirá implementar diversos controles para protegê-los como bem disse o Aron. Afinal:
Você não pode proteger o que você não conhece (Autor Desconhecido)