saiba como pode fazer gestão de ativos


Uma organização deve inventariar os seus dispositivos físicos, redes e sistemas de informação existentes, por forma a garantir que existe um mapeamento estruturado dos mesmos. Todos os dispositivos e sistemas inventariados devem ser classificados de acordo com a sua relevância/criticidade para a organização. Saiba como fazer.

A gestão de ativos em cibersegurança é uma prática fundamental para garantir a segurança e integridade dos sistemas de informação e dos dados. Esta abordagem visa identificar e gerir todos os ativos digitais de uma organização, como dispositivos, servidores, softwares, redes e dados sensíveis.

De acordo com o Quadro Nacional de Referência para a CiberSegurança (QNRCS), os ativos são tudo o que tem valor e que requer proteção na ótica da organização. Ainda segundo o QNRCS, um ativo crítico suporta pelo menos um serviço essencial.

Os ativos poderão ser (mas não só) das seguintes categorias:

  • Tecnológicos (hardware, software);
  • Dispositivos de rede;
  • Pessoas;
  • Localizações, (etc.)

A organização deve ter um inventário dos seus ativos com, pelo menos:

  • O número de inventário do ativo;
  • Uma descrição das funções dos mesmos;
  • A identificação do responsável;
  • A sua localização;
  • Categoria ou tipo.

Esta informação deverá ser acrescida de:

  • Classificação do ativo de acordo com a sua criticidade para a organização;
  • Identificação dos processos referentes à atividade da organização que os ativos suportam;
  • Identificação de dependências com outros ativos.

Procedimento para fazer Gestão de Ativos

Passo 1) Identificação de Ativos

Passo 2) Identificação do Responsável pelo ativo

Passo 3) Definição da Classificação/Valorização do Ativo 

  • Na área da cibersegurança é comum classificar o ativo de acordo com a Integridade, Confidencialidade e Disponibilidade.
  • Para isso, podemos criar uma tabela com um critério e o valor.
  • De referir que, para este exemplo, a Valorização do ativo = Confidencialidade +Integridade + Disponibilidade) / 3

Passo 4) Classificação/Valorização Total do Ativo 

Para cada ativo, devemos considerar pelo menos o seguinte:

O campo “valorização total” será o valor mais elevado indicado nos campos Disponibilidade, Integridade ou Confidencialidade.

Passo 5) Utilizar a escala de critérios para preencher o campo valor.

Por fim, utilizar a escala de critérios de valorização para preencher o campo Valor.

Este artigo teve como base o Quadro Nacional de Referência para a CiberSegurança (QNRCS), criado pelo Centro Nacional de CiberSegurança.





Source link