CiberSegurança: saiba como pode fazer gestão de ativos
Uma organização deve inventariar os seus dispositivos físicos, redes e sistemas de informação existentes, por forma a garantir que existe um mapeamento estruturado dos mesmos. Todos os dispositivos e sistemas inventariados devem ser classificados de acordo com a sua relevância/criticidade para a organização. Saiba como fazer.
A gestão de ativos em cibersegurança é uma prática fundamental para garantir a segurança e integridade dos sistemas de informação e dos dados. Esta abordagem visa identificar e gerir todos os ativos digitais de uma organização, como dispositivos, servidores, softwares, redes e dados sensíveis.
De acordo com o Quadro Nacional de Referência para a CiberSegurança (QNRCS), os ativos são tudo o que tem valor e que requer proteção na ótica da organização. Ainda segundo o QNRCS, um ativo crítico suporta pelo menos um serviço essencial.
Os ativos poderão ser (mas não só) das seguintes categorias:
- Tecnológicos (hardware, software);
- Dispositivos de rede;
- Pessoas;
- Localizações, (etc.)
A organização deve ter um inventário dos seus ativos com, pelo menos:
- O número de inventário do ativo;
- Uma descrição das funções dos mesmos;
- A identificação do responsável;
- A sua localização;
- Categoria ou tipo.
Esta informação deverá ser acrescida de:
- Classificação do ativo de acordo com a sua criticidade para a organização;
- Identificação dos processos referentes à atividade da organização que os ativos suportam;
- Identificação de dependências com outros ativos.
Procedimento para fazer Gestão de Ativos
Passo 1) Identificação de Ativos
Passo 2) Identificação do Responsável pelo ativo
Passo 3) Definição da Classificação/Valorização do Ativo
- Na área da cibersegurança é comum classificar o ativo de acordo com a Integridade, Confidencialidade e Disponibilidade.
- Para isso, podemos criar uma tabela com um critério e o valor.
- De referir que, para este exemplo, a Valorização do ativo = Confidencialidade +Integridade + Disponibilidade) / 3
Passo 4) Classificação/Valorização Total do Ativo
Para cada ativo, devemos considerar pelo menos o seguinte:
O campo “valorização total” será o valor mais elevado indicado nos campos Disponibilidade, Integridade ou Confidencialidade.
Passo 5) Utilizar a escala de critérios para preencher o campo valor.
Por fim, utilizar a escala de critérios de valorização para preencher o campo Valor.
Este artigo teve como base o Quadro Nacional de Referência para a CiberSegurança (QNRCS), criado pelo Centro Nacional de CiberSegurança.