What is an asset according to ISO 27001?

In ISO 27001, an asset is defined as anything of value to the organization where information is stored and processed.

What should be included in an ISO 27001 asset inventory?

The 2013 version of the standard introduced a significant change to the requirements, which now considers all information assets, and not just physical ones. So, this definition contemplates all the tangible and intangible resources that an organization relies on to conduct its business: Hardware. Software and data. Employees. Temporary staff, contractors and volunteers. Brand and reputation. Intellectual property.

Who is the asset owner according to ISO 27001?

The asset owner is responsible for the proper management of assets. This task includes both inventorying them, and ensuring that they are properly classified and protected. The owner does not necessarily have to be the legal or physical owner of the asset, but it is their responsibility to ensure the protection requirements, such as access restrictions, are being met and are aligned with the organization's policies and standards.

What are the ISO 27001 asset owner responsibilities?

The owner should periodically review the state of their assets, and also ensure that they are being handled properly, for example, when disposing of or destroying them. Although the day-to-day Asset Management responsibilities (such as updating inventories and conducting audits) can be delegated, the ultimate responsibility for the whole process remains with the asset owner.

How to develop an asset inventory for ISO 27001?

The first step to kick off the process is to create a detailed and unified inventory. Once this has been done, there is a list of preset CIs that you can choose from to categorize them: trackable and non-trackable assets, software, business applications, users, location, and contracts. The next step is to build relationships between those assets. After establishing the foundations, it's time to make sure that everything is safe and in compliance with ISO 27001 by using automation.

Como desenvolver um inventário de ativos para a ISO 27001

A ISO 27001 estabelece as condições necessárias que devem ser seguidas para garantir uma gestão de segurança eficaz em sua organização. Como a estrutura inclui requisitos específicos relativos a ativos de TI, saber como desenvolver um inventário de ativos para a ISO 27001 ajudará a garantir que seus ativos de informação - físicos e não físicos - estejam adequadamente protegidos. Como resultado, sua organização também estará mais segura.

No Anexo A.8.1 desse regulamento, você pode encontrar as regras listadas para a gestão de ativos, onde a criação de um inventário de ativos é a primeira etapa para iniciar o processo. Ter um inventário completo e detalhado permitirá que você filtre, priorize e categorize corretamente seus ativos de acordo com o status ou risco deles.

Embora a maioria das pessoas tenda a pensar em ativos em termos de hardware (como computadores e servidores), há muitos outros elementos que devem ser considerados. De acordo com a norma de segurança, ela também deve incluir pessoas, propriedade intelectual ou até mesmo ativos intangíveis (ou seja, a marca da organização).

Neste artigo, abordaremos a importância de desenvolver um inventário de ativos para a ISO 20001 e ofereceremos algumas dicas para fazê-lo.

Vamos nos aprofundar!

Política de gestão de ativos da ISO 27001, em poucas palavras

A ISO 27001 é uma norma mundialmente reconhecida para a gestão da segurança da informação que estabelece os requisitos necessários para criar um sistema de gestão da segurança da informação (ISMS). As organizações usam a norma para gerenciar e proteger todas as suas informações confidenciais, bem como para comprovar esse conhecimento e conformidade.

Como mencionamos, a gestão de ativos de TI (ITAM) é essencial para a conformidade com a ISO 27001. Essa operação envolverá a identificação, a classificação e a proteção dos ativos da organização, especialmente aqueles que são relevantes para a segurança da informação.

Ao criar e manter um inventário preciso de seus ativos de TI, as organizações podem avaliar os riscos associados e implementar medidas de segurança adequadas. É essencial criar um inventário exaustivo e preciso desde o início para proteger corretamente todos esses ativos e, assim, obter a certificação ISO 27001.

O que deve ser incluído em um inventário de ativos da ISO 27001?

Na ISO 27001, um ativo é definido como qualquer coisa de valor para a organização onde as informações são armazenadas e processadas.

A versão 2013 da norma introduziu uma mudança significativa nos requisitos, que agora consideram todos os ativos de informação, e não apenas os físicos. Portanto, essa definição contempla todos os recursos tangíveis e intangíveis dos quais uma organização depende para conduzir seus negócios:

Hardware.
Software e dados.
Funcionários.
Equipe temporária, prestadores de serviços e voluntários.
Marca e reputação.
Propriedade intelectual.

Todo o processo de Asset Management envolverá a identificação e a classificação de todos os ativos, a avaliação de sua importância e a implementação de controles de segurança para protegê-los. Cada tipo de ativo pode ser agrupado de acordo com sua classificação, tipo de informação e valor financeiro ou não financeiro.

Além disso, cada ativo específico deve ter um proprietário e uma classificação atribuídos. Um auditor espera ver um inventário ou vários inventários que abranjam todos os ativos relevantes, dentro do escopo do Sistema de Gestão de Segurança da Informação.

Quem deve ser o proprietário do ativo e quais são suas responsabilidades de acordo com a norma ISO 27001?

O proprietário do ativo é responsável pelo gerenciamento adequado dos ativos. Essa tarefa inclui inventariá-los e garantir que eles sejam classificados e protegidos adequadamente.

O proprietário não precisa necessariamente ser o proprietário legal ou físico do ativo, mas é sua responsabilidade garantir que os requisitos de proteção, como restrições de acesso, sejam atendidos e estejam alinhados com as políticas e os padrões da organização.

O proprietário deve analisar periodicamente o estado de seus ativos e também garantir que eles estejam sendo tratados adequadamente, por exemplo, ao descartá-los ou destruí-los. Embora as responsabilidades cotidianas do gerenciamento de ativos (como a atualização de inventários e a realização de auditorias) possam ser delegadas, a responsabilidade final por todo o processo permanece com o proprietário do ativo.

Como desenvolver um inventário de ativos para a ISO 27001

Ao criar um inventário de ativos para a ISO 27001, você pode ficar tentado a considerar uma planilha do Excel. Porém, como se trata de um documento estático, mais cedo ou mais tarde será muito difícil mantê-lo atualizado com precisão e isso poderá prejudicar seus esforços para aumentar a segurança na organização.

O software ITAM ajuda a evitar tudo isso, fornecendo uma visão centralizada, atualizada e automatizada do seu inventário, que será a espinha dorsal do seu processo de gerenciamento de ativos e segurança de TI.

A primeira etapa para dar início ao processo é criar um inventário detalhado e unificado.

Em seguida, você precisa estabelecer relações entre esses ativos. Quem é o usuário proprietário desse laptop? Qual software corresponde a esse contrato? Lembre-se de que, se estiver trabalhando com ambientes mais complexos, um CMDB pode ser extremamente útil.

Depois de estabelecer as bases, é hora de garantir que tudo esteja seguro e em conformidade com a ISO 27001. É claro que é impossível - ou, no mínimo, demorado e altamente propenso a erros - verificar ativo por ativo; portanto, a automação se torna realmente útil.

Você pode usar regras de integridade ou alertas de monitoramento para atribuir parâmetros de status a cada tipo de ativo e personalizá-los de acordo com suas necessidades. Dessa forma, você pode receber notificações se algo der errado.

Outra opção é a etiquetagem de ativos: você pode definir determinadas regras e cores para diferentes etiquetas e atribuí-las automaticamente aos ativos que se encaixam nelas. Isso é especialmente útil quando se trata de relatórios ITAM.

Considerações finais

A implementação da ISO 27001 garante uma sólida gestão de segurança da informação para sua organização. Além disso, a certificação permitirá que você demonstre esse conhecimento.

Entretanto, é importante observar que esse processo tem alguns componentes-chave a serem considerados. Entre outros elementos, ele exige a implementação de práticas eficazes de gerenciamento de ativos, seguindo os requisitos específicos estabelecidos pela estrutura.

Comece a criar seu inventário de TI hoje mesmo e mantenha-se em conformidade com a ISO 27001!

Como desenvolver um inventário de ativos para a ISO 27001

Política de gestão de ativos da ISO 27001, em poucas palavras

O que deve ser incluído em um inventário de ativos da ISO 27001?

Quem deve ser o proprietário do ativo e quais são suas responsabilidades de acordo com a norma ISO 27001?

Como desenvolver um inventário de ativos para a ISO 27001

Considerações finais

Avalie o InvGate como sua solução ITSM

30 dias de teste gratuito - Não é necessário cartão de crédito

Como desenvolver um inventário de ativos para a ISO 27001

Política de gestão de ativos da ISO 27001, em poucas palavras

O que deve ser incluído em um inventário de ativos da ISO 27001?

Quem deve ser o proprietário do ativo e quais são suas responsabilidades de acordo com a norma ISO 27001?

Como desenvolver um inventário de ativos para a ISO 27001

Considerações finais

Ler outros artigos como este:

Avalie o InvGate como sua solução ITSM

30 dias de teste gratuito - Não é necessário cartão de crédito