A ISO 27001 estabelece as condições necessárias que devem ser seguidas para garantir uma gestão de segurança eficaz em sua organização. Como a estrutura inclui requisitos específicos relativos a ativos de TI, saber como desenvolver um inventário de ativos para a ISO 27001 ajudará a garantir que seus ativos de informação - físicos e não físicos - estejam adequadamente protegidos. Como resultado, sua organização também estará mais segura.
No Anexo A.8.1 desse regulamento, você pode encontrar as regras listadas para a gestão de ativos, onde a criação de um inventário de ativos é a primeira etapa para iniciar o processo. Ter um inventário completo e detalhado permitirá que você filtre, priorize e categorize corretamente seus ativos de acordo com o status ou risco deles.
Embora a maioria das pessoas tenda a pensar em ativos em termos de hardware (como computadores e servidores), há muitos outros elementos que devem ser considerados. De acordo com a norma de segurança, ela também deve incluir pessoas, propriedade intelectual ou até mesmo ativos intangíveis (ou seja, a marca da organização).
Neste artigo, abordaremos a importância de desenvolver um inventário de ativos para a ISO 20001 e ofereceremos algumas dicas para fazê-lo.
Vamos nos aprofundar!
Política de gestão de ativos da ISO 27001, em poucas palavras
A ISO 27001 é uma norma mundialmente reconhecida para a gestão da segurança da informação que estabelece os requisitos necessários para criar um sistema de gestão da segurança da informação (ISMS). As organizações usam a norma para gerenciar e proteger todas as suas informações confidenciais, bem como para comprovar esse conhecimento e conformidade.
Como mencionamos, a gestão de ativos de TI (ITAM) é essencial para a conformidade com a ISO 27001. Essa operação envolverá a identificação, a classificação e a proteção dos ativos da organização, especialmente aqueles que são relevantes para a segurança da informação.
Ao criar e manter um inventário preciso de seus ativos de TI, as organizações podem avaliar os riscos associados e implementar medidas de segurança adequadas. É essencial criar um inventário exaustivo e preciso desde o início para proteger corretamente todos esses ativos e, assim, obter a certificação ISO 27001.
O que deve ser incluído em um inventário de ativos da ISO 27001?
Na ISO 27001, um ativo é definido como qualquer coisa de valor para a organização onde as informações são armazenadas e processadas.
A versão 2013 da norma introduziu uma mudança significativa nos requisitos, que agora consideram todos os ativos de informação, e não apenas os físicos. Portanto, essa definição contempla todos os recursos tangíveis e intangíveis dos quais uma organização depende para conduzir seus negócios:
- Hardware.
- Software e dados.
- Funcionários.
- Equipe temporária, prestadores de serviços e voluntários.
- Marca e reputação.
- Propriedade intelectual.
Todo o processo de Asset Management envolverá a identificação e a classificação de todos os ativos, a avaliação de sua importância e a implementação de controles de segurança para protegê-los. Cada tipo de ativo pode ser agrupado de acordo com sua classificação, tipo de informação e valor financeiro ou não financeiro.
Além disso, cada ativo específico deve ter um proprietário e uma classificação atribuídos. Um auditor espera ver um inventário ou vários inventários que abranjam todos os ativos relevantes, dentro do escopo do Sistema de Gestão de Segurança da Informação.
Quem deve ser o proprietário do ativo e quais são suas responsabilidades de acordo com a norma ISO 27001?
O proprietário do ativo é responsável pelo gerenciamento adequado dos ativos. Essa tarefa inclui inventariá-los e garantir que eles sejam classificados e protegidos adequadamente.
O proprietário não precisa necessariamente ser o proprietário legal ou físico do ativo, mas é sua responsabilidade garantir que os requisitos de proteção, como restrições de acesso, sejam atendidos e estejam alinhados com as políticas e os padrões da organização.
O proprietário deve analisar periodicamente o estado de seus ativos e também garantir que eles estejam sendo tratados adequadamente, por exemplo, ao descartá-los ou destruí-los. Embora as responsabilidades cotidianas do gerenciamento de ativos (como a atualização de inventários e a realização de auditorias) possam ser delegadas, a responsabilidade final por todo o processo permanece com o proprietário do ativo.
Como desenvolver um inventário de ativos para a ISO 27001
Ao criar um inventário de ativos para a ISO 27001, você pode ficar tentado a considerar uma planilha do Excel. Porém, como se trata de um documento estático, mais cedo ou mais tarde será muito difícil mantê-lo atualizado com precisão e isso poderá prejudicar seus esforços para aumentar a segurança na organização.
O software ITAM ajuda a evitar tudo isso, fornecendo uma visão centralizada, atualizada e automatizada do seu inventário, que será a espinha dorsal do seu processo de gerenciamento de ativos e segurança de TI.
A primeira etapa para dar início ao processo é criar um inventário detalhado e unificado.
Em seguida, você precisa estabelecer relações entre esses ativos. Quem é o usuário proprietário desse laptop? Qual software corresponde a esse contrato? Lembre-se de que, se estiver trabalhando com ambientes mais complexos, um CMDB pode ser extremamente útil.
Depois de estabelecer as bases, é hora de garantir que tudo esteja seguro e em conformidade com a ISO 27001. É claro que é impossível - ou, no mínimo, demorado e altamente propenso a erros - verificar ativo por ativo; portanto, a automação se torna realmente útil.
Você pode usar regras de integridade ou alertas de monitoramento para atribuir parâmetros de status a cada tipo de ativo e personalizá-los de acordo com suas necessidades. Dessa forma, você pode receber notificações se algo der errado.
Outra opção é a etiquetagem de ativos: você pode definir determinadas regras e cores para diferentes etiquetas e atribuí-las automaticamente aos ativos que se encaixam nelas. Isso é especialmente útil quando se trata de relatórios ITAM.
Considerações finais
A implementação da ISO 27001 garante uma sólida gestão de segurança da informação para sua organização. Além disso, a certificação permitirá que você demonstre esse conhecimento.
Entretanto, é importante observar que esse processo tem alguns componentes-chave a serem considerados. Entre outros elementos, ele exige a implementação de práticas eficazes de gerenciamento de ativos, seguindo os requisitos específicos estabelecidos pela estrutura.
Comece a criar seu inventário de TI hoje mesmo e mantenha-se em conformidade com a ISO 27001!