O que so ativos de acordo com a ISO 27001?

Primeiro, vamos esclarecer o que ativos significam no contexto da ISO 27001

o engraado que nem a nova verso 2013 da ISO/IEC 27001, ou a verso
2014 da ISO/IEC 27000 d uma definio de ativos, mas a verso 2005 da
ISO/IEC 27001 define um ativo como qualquer coisa que tenha valor para a
organizao.

Uma vez que a ISO 27001 foca na preservao da confidencialidade,

integridade e disponibilidade da informao, isto significa que ativos podem ser:

Hardware e.g. laptops, servidores, impressoras, mas tambm telefones

mveis ou cartes de memria USB.
Software no apenas os comprados, mas tambm os gratuitos.
Informao no apenas em mdia eletrnica (bases de dados, arquivos em
PDF, Word, Excel, e outros formatos), mas tambm em papel e outras formas.
Infraestrutura e.g. escritrios, eletricidade, ar condicionado porque estes
ativos podem causar perda de disponibilidade da informao.
Pessoas tambm so consideradas ativos porque elas tambm possuem
muitas informaes em suas mentes, que muitas vezes no esto disponveis
de outras formas.
Servios terceirizados e.g. Servios legais ou de limpeza, mas tambm
servios online como Dropbox ou Gmail verdade que estes no so ativos
no sentido puro das palavras, mas tais servios precisam ser controlados de
maneira similar aos ativos, ento eles muitas vezes so includos na gesto de
ativos.

Por que ativos so importantes para a gesto da segurana da

informao?

Existem duas razes sobre porque gerenciar ativos importante:

1) Ativos so geralmente utilizados para se realizar anlise/avaliao de riscos

embora no seja mandatrio pela ISO 27001:2013, ativos so geralmente o
elemento chave para a identificao de riscos, juntamente com ameaas e
vulnerabilidades.

2) Se a organizao no sabe quem o responsvel por cada ativo, o caos

reinaria a definio de proprietrios de ativos e a designao de
responsabilidades para eles quanto a proteo da confidencialidade,
integridade e disponibilidade da informao um dos principais conceitos da
ISO 27001.

por isso que a ISO 27001:2013 requer o seguinte: um inventrio de ativos

precisa ser desenvolvido (A.8.1.1), proprietrios de ativos precisam ser
nominados (A.8.1.2), e o uso aceitvel de ativos deve ser definido (A.8.1.3).
Como construir um inventrio de ativos?

Se voc no desenvolveu seu inventrio de ativos previamente, a forma mais

fcil de constru-lo durante o processo inicial de anlise/avaliao de riscos
(se voc escolheu a metodologia de anlise/avaliao baseada em ativos),
porque este o momento quando todos os ativos precisam ser identificados,
juntamente com seus proprietrios.

A melhor forma de construir um inventrio de ativos entrevistando o

responsvel por cada departamento, e fazendo uma lista de todos os ativos
que o departamento usa. A tcnica mais fcil a descreva o que voc v
basicamente, pea a esta pessoa para fazer uma lista de todos os softwares
que ela v que esto instalados no computador, todos os documentos que
esto em suas pastas e armrios, todas as pessoas trabalhando no
departamento, todos os equipamentos vistos em seus escritrios, etc.

Claro que, se voc j possui algum tipo de inventrio (e.g. Registro de ativos
fixos, lista de empregados, lista de softwares licenciados, etc.), ento voc no
tem que duplicar estas listas o melhor seria referenciar estas listas em seu
registro de ativos de segurana da informao.

A ISO 27001 no prescreve quais detalhes devem fazer parte da lista de um

inventrio de ativos voc pode listar apenas o nome do ativo e de seu
proprietrio, mas voc tambm pode adicionar outras informaes teis, tais
como categoria do ativo, sua localizao, algumas notas, etc.

Construir o registro de ativos geralmente feito pela pessoa que coordena a o

projeto de implementao da ISO 27001 em muitos casos, o Gestor de
Segurana da Informao (Chief Information Security Officer), e esta pessoa
coleta toda a informao e assegura que o inventrio est atualizado.

Quem deveria ser o proprietrio do ativo?

O proprietrio normalmente a pessoa que opera o ativo e quem assegura que

a informao relacionada a este ativo est protegida. Por exemplo, um
proprietrio de servidor pode ser o administrador do sistema, e o proprietrio de
um arquivo pode ser a pessoa que criou este ativo; pelos empregados, o
proprietrio geralmente a pessoa que seu supervisor direto.

Para ativos similares utilizados por muitas pessoas (tais como laptops ou
telefones mveis), voc pode definir que o proprietrio a pessoa que utiliza o
ativo, e se voc tem um nico ativo utilizado por muitas pessoas (e.g. Software
de ERP), ento o proprietrio pode ser um membro da diretoria que tem a
responsabilidade por toda a organizao no caso do ERP, este poderia ser o
gestor de informaes (Chief Information Officer).

Desta forma, o ponto construir um registro de ativos pode parecer um

trabalho muito burocrtico sem muito uso prtico, mas a verdade que listar
estes ativos ajuda a esclarecer o que valioso em sua organizao e quem
responsvel por eles. E, sem saber o que voc tem e quem est no comando,
nem mesmo pense que voc ser capaz de proteger sua informao.

Padronizao da informao

A padronizao da informao pode ser considerada um projeto que tem incio,

meio e finalidade, ou seja, no termina jamais. As organizaes, assim como
tudo mais, so dinmicas, latentes, nelas pulsa a vida e a vida um processo
de amadurecimento e melhorias.

Assim, como no Sistema de Gesto em Segurana da Informao (SGSI),

tambm aplicamos o ciclo de desenvolvimento de melhoria contnua, conhecido
como modelo Plan-Do-Check-Act (PDCA), para se obter padronizao e
indicadores de controle na elaborao da poltica de segurana.

O ciclo PDCA uma ferramenta da Gesto da Qualidade Total que tambm

aplicado pela ISO 27001 para estruturar todos os processos que envolvem a
rea de segurana da informao, possibilitando a transmisso do
conhecimento e facilitando as atividades de treinamento de pessoal,
assegurando uniformidade e previsibilidade de resultados dos processos que
envolvem o Sistema de Gesto em Segurana da Informao, a fim de se
identificar os ativos a serem protegidos, os riscos a que a organizao est
exposta, os objetivos e controles necessrios para proteger as informaes da
organizao e garantir a continuidade do negcio.

O esquema considera as entradas de requisitos de segurana de informao e

as expectativas das partes interessadas, e como as aes necessrias e
processos de segurana da informao produzidos resultam no atendimento a
estes requisitos e expectativas.

Com base no Ciclo PDCA, de acordo com a ISO 27001, as atividades do

Sistema de Gesto em Segurana da Informao podem ser organizadas do
seguinte modo:

Planejar (Plan): estabelecer a poltica, objetivos, processos e procedimentos

relevantes para a gesto de riscos e a melhoria da segurana da informao;

Fazer (Do): implementar e operar a poltica, controles, processos e

procedimentos;

Verificar (Check): avaliar e, quando aplicvel, medir o desempenho de um

processo frente poltica, objetivos e experincia prtica do SGSI; e apresentar
os resultados para a anlise crtica pela direo;

Agir (Act): executar as aes corretivas e preventivas com base nos

resultados da auditoria interna do SGSI e nos resultados da anlise crtica
efetuada pela direo, ou outra informao pertinente. O objetivo alcanar a
melhoria contnua do SGSI.
Diante do exposto, para a elaborao do documento de inventrio e
classificao dos ativos de informao, propomos a aplicao do ciclo PDCA
para padronizao da informao como forma de avaliao dos requisitos e
processos e, posteriormente, a elaborao do documento da poltica de
segurana da informao. O quadro a seguir descreve as fases do ciclo PDCA
a serem aplicadas nesse processo.

Sendo assim, o processo de padronizao da informao para elaborao dos

documentos de inventrio e classificao da informao com aplicao do ciclo
PDCA realizado em doze passos, os quais podem ser aplicados em qualquer
processo organizacional que tenha necessidade de padro e registro,
especialmente na elaborao e implementao no prprio documento da
poltica de segurana, quais sejam:

1 passo: definio do objetivo

Identificada a necessidade de se estabelecer um padro interno para
determinado processo ou atividade, por exemplo, para cadastro de
colaboradores ou lanamentos a pagar na folha de pagamento, deve-se definir,
de forma clara, os limites, o objetivo e a abrangncia de sua aplicao e
certificar-se de que no haja duplicao de registros, com mais de uma origem
para os mesmos dados.

2 passo: definio dos responsveis pelo desenvolvimento do padro

Os documentos que estabelecem padres devem ser elaborados por pessoal
representante e conhecedor das atividades relacionadas. conveniente que os
proprietrios dos ativos tambm integrem o grupo que analisa os padres dos
ativos de informao a serem estabelecidos.

3 passo: identificao dos usurios

Quando estamos padronizando um processo ou uma atividade, devemos ter
em mente o quanto s pessoas que iro utilizar-se deste padro sabem sobre o
assunto e a razo pela qual necessitam dele. Por exemplo: padronizar o
processo de lanamento em Contas a Pagar e a Receber para um processo
conduzido por tcnicos em Contabilidade parece que seria necessrio?

4 passo: coleta de informaes

Devem ser reunidas todas as informaes documentadas j existentes e
demais informaes transmitidas informalmente e consideradas relevantes
para o desempenho da atividade. Tais informaes devem ser obtidas
diretamente com o pessoal que realiza as atividades ou est envolvido com
elas.

5 passo: seleo do formato do documento

O formato dos documentos deve ser adaptado realidade de cada empresa.
importante que cada organizao defina-o conforme sua necessidade. Mas
deve-se manter um padro grfico que apresente a data de emisso e
numerao de pginas correspondentes.

6 passo: redao da minuta/poltica

Inicialmente, o documento que estabelece os padres dos ativos de
informao, bem como o nvel de classificao das informaes deve
formalizar os objetivos e a abrangncia do processo. Depois, apresentar textos
explicativos para cada atividade prevista, de forma que fique claro o que feito,
quem faz (funo), como, quando, onde e por que feito. Nem sempre ser
necessrio que o texto responda a todas estas perguntas. Mas o documento
deve deixar claro ao usurio como se iniciam, executam e finalizam as diversas
atividades descritas nele. No caso da segurana da informao: a natureza do
ativo, o responsvel e o nvel de classificao.

7 passo: anlise crtica e redao final

A minuta do documento deve circular entre os responsveis pela sua
aprovao, a fim de submeter sua redao inicial anlise crtica. As correes
e alteraes podem ser anotadas na prpria minuta. Aps as crticas e
alteraes, o documento poder receber a redao final.
8 passo: aprovao do documento
Aps analisados criticamente pelo pessoal responsvel pelo processo, o qual o
documento padroniza, deve ser registrada a aprovao, por assinatura ou por
outro meio, conforme o tipo de documento e abrangncia. importante que a
direo da empresa tambm assine este e outros documentos, ou tenha
conhecimento deles.
Importante: A anlise crtica e a aprovao das alteraes dos documentos
devem ser realizadas pelas mesmas funes que examinam e aprovam os
documentos originais.

9 passo: emisso e reviso dos documentos

O controle das emisses e revises dos documentos que padronizam a
informao deve evidenciar todos os documentos que a compem e a situao
atual dos documentos. O procedimento de controle de documentos deve conter
um cdigo de identificao, o n de reviso e a descrio dos documentos que
compem o sistema de padronizao da organizao, de modo a evidenciar a
situao da reviso atual, tanto para novos documentos emitidos como para as
alteraes dos remanescentes.

10 passo: distribuio de cpias

Os documentos devem ser distribudos a todas as funes ou departamentos
que necessitam daquele padro. A distribuio deve ser controlada para
facilitar a coleta dos documentos obsoletos, quando das revises e alteraes.

11 passo: treinamento
Para a padronizao atingir seus objetivos, necessrio o treinamento do
pessoal envolvido no processo. Pode ser realizado na seguinte sequncia:

1. a pessoa a ser treinada l o documento padro;

2. o documento explicado pelo instrutor do treinamento;
3. o treinando observa o processo ou a atividade sendo executada;
4. o treinando executa o processo ou atividade, destacando os principais
pontos daquilo a que assistiu o seu instrutor fazer, at o entendimento
completo do procedimento ou atividade.

12 passo: revises e cancelamentos

Quando for necessria alterao no documento relacionado ao Sistema de
Gesto da Segurana da Informao, deve-se avaliar o impacto dessas
alteraes nos demais documentos do sistema. Caso as alteraes, excluso
ou reedio afetem outros documentos, as pessoas devem ser informadas para
as providncias cabveis. A natureza das alteraes deve ser mantida no
prprio documento revisado.

Os documentos cancelados devem ser identificados para evitar seu uso

inadvertidamente.