Classificação e Controle de ativos.

Por: Max Gorissen

Hoje em dia, é alta a preocupação com a segurança dos bens de informação utilizados pelas empresas.

Por este motivo, diretrizes são desenvolvidas e constantemente atualizadas com o objetivo de garantir esta segurança. Estas diretrizes levam o nome de PSI – Política de Segurança da Informação.

Como a função da PSI é proteger a informação de diversos tipos de ameaças, garantindo assim a continuidade dos negócios, minimizando os danos e maximizando o retorno dos investimentos e as oportunidades de negócio, muito se tem focado na importância das informações de uma empresa e da sua classificação como o ativo mais importante da mesma.

Contudo, na prática, todos os ativos de uma empresa são importantes já que existe uma interdependência entre eles e, se alguns falharem por terem sido menosprezados, os efeitos desta falha podem causar problemas ao ativo de informação.

Por esse motivo, dois passos são fundamentais no gerenciamento de ativos:

  1. O mapeamento do fluxo e do relacionamento entre ativos e informação;
  2. A classificação e o controle dos ativos e das informações

No primeiro, é importante mapear o relacionamento entre os diversos ativos da organização para entender seu relacionamento, dependência e efeito. Contudo, não vou discutir neste artigo o mapeamento e sim a classificação e o controle dos ativos.

Para efeito de uma PSI os ativos devem ser agrupados da seguinte maneira:

  1. Os ativos de informação são os dados contidos em Bancos de Dados, os dados contidos em arquivos convencionais, a documentação de sistema, a documentação de softwares básicos e de apoio e os planos de continuidade;
  2. Os ativos de software são os programas fonte, os jobs, as ferramentas de apoio ao desenvolvimento, os softwares básicos e de apoio e os utilitários;
  3. Os ativos físicos são os equipamentos computacionais (microcomputadores, notebooks, etc.), equipamentos de comunicação (controladoras, roteadores, modens, switchs, etc.), dispositivos de entrada e saída (discos, fitas, impressoras, etc.);
  4. Os ativos de infra-estrutura são os no-breaks, os geradores de eletricidade alternativa, os quadros elétricos, os equipamentos de refrigeração, etc.

Para cada grupo de ativo, é feito um inventário contendo pelo menos as seguintes informações:

  1. Ativos de informação: nome do ativo, proprietário, custodiante, usuário, localização, mídia;
  2. Ativos de software: nome do ativo, fornecedor ou quem desenvolveu, proprietário, custodiante, localização, mídia;
  3. Ativos físicos: nome do ativo, fornecedor, proprietário, custodiante, localização e capacidade;
  4. Ativos de infra-estrutura: nome do ativo, fornecedor, proprietário, custodiante, localização e capacidade.

Para todos os grupos de ativos, também é feita uma classificação quanto à sua criticidade e, especialmente para o ativo de informação, deverá ser feita uma classificação adicional, quanto ao seu sigilo.

A classificação quanto a criticidade obedecerá aos seguintes critérios:

  1. Muito alta, quando a perda do ativo provocar parada total das atividades de TI;
  2. Alta, quando provocar perda parcial, de mais de 70% das atividades de TI;
  3. Média, quando provocar perda parcial, entre 30 e 70% das atividades de TI;
  4. Baixa, quando provocar perda parcial, abaixo de 30% das atividades de TI;
  5. Muito baixa, quando não provocar paradas na atividade de TI.

A classificação quanto ao sigilo obedecerá aos seguintes critérios:

  1. Confidenciais – informações para conhecimento de um grupo reduzido de usuários. Geralmente são informações de caráter pessoal;
  2. Restritas – informações de caráter setorial e para conhecimento de grupo reduzido de pessoas;
  3. Internas – informações pertencentes à empresa. Uma informação pode ser interna e restrita ou confidencial ao mesmo tempo;
  4. Públicas – informações que podem ser acessadas por qualquer usuário.

Isto é apenas uma das primeiras classificações e controles que devemos estabelecer na PSI com o objetivo de garantir a segurança da informação.


Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s