SEGURANA E AUDITORIA

DE SISTEMAS

Introduo

Ativos de informao

1
Objetivos
Entender que informaes so relevantes para o funcionamento
da organizao.
Explicar ativo de informao e descrever os seus tipos.
Compreender que a identificao de ativos importante, pois
serve de base para o desenvolvimento dos controles de segurana.

2
 Tpicos
Ativo

Ativos de informao

Tipos de ativo

Benefcios da identificao de ativos

3
 Ativo
As organizaes denominam seus bens patrimoniais como ativos em funo
de seu valor.

Termo utilizado no texto da norma ISO 27001.

Ativo tudo aquilo que tem valor para a empresa.

A ISO 27001 pede que todos os ativos relevantes sejam identificados e

inventariados.

Em segurana da informao, entende-se inventrio de ativos como um

conjunto mais abrangente de ativos, que contempla sistemas, pessoas,
ambientes fsicos entre outros.
4
 Ativo de informao
Entende-se por ativo de informao, a prpria informao e tudo a quilo
que a suporta ou utiliza. Desta forma:

informao

tecnologias

pessoas

processos

ambientes

Ativos de informao e TI: dados digitalizados, informaes e conhecimentos sobre

clientes, desempenho de processos, finanas, sistemas de informao e assim por diante.

5
 Ativo de informao - Tipos
A informao (conceitualmente): mensagens, textos, dados de um sistema,
informaes de funcionrios, programas de rdio e TV, idias, videos, etc.
As tecnologias que suportam a informao: papel, correio eletrnico, editor
de texto, sistemas de informao, rdio, TV, a mente humana arquivos de ao,
computadores, etc.
As pessoas que geram e utilizam as informaes: vendedores, gerentes,
fornecedores, clientes, etc.
Os processos que suportam o uso da informao: processos de utilizao da
internet, procedimentos de uso do correio eletrnico, normas para contratao de
pessoal,etc.
Os ambientes: h ambientes que encerram informaes a serem protegidas,
como por exemplo: CPDs, salas de arquivos, depsitos de mdias e
equipamentos, etc.

6
 Ativo de informao - Tipos
Excetuando a informao em si, que um elemento conceitual, os ativos
podem ser classificados em:

Tecnologias

Pessoas

Processos

Ambientes

7
 Ativo de informao - Tipos
Processos
Entender os processos organizacionais importante para entender o fluxo da
informao entre esses processos, o que possibilitar compreender a informao que
precisa ser protegida.

Compreender a diviso do trabalho por processo de negcio na organizao um

passo fundamental para anlise de risco.

A relevncia do processo uma varivel importante para a definio do impacto de

um eventual incidente de segurana da informao em determinada rea.

Concentrar na informaes importantes para os processos de negcio da organizao

para que as aes de segurana da informao contribuam com os objetivos
estratgicos.
8
 Ativo de informao - Tipos
Processos: Produo e Compras de organizao

O processo de produo gera a informao lista de materiais a comprar e

deve passar de forma estruturada, talvez por telefone ou por correio eletrnico,
ao processo de compras que consome esta informao.

Uma vulnerabiidade possvel seria, por exemplo, passar essa lista de compras
de forma no estruturada, proporcionando que ameaas no intencionais, como o
esquecimento ou a excluso da mensagem de correio eletrnico por engano,
gerassem incidentes de segurana da informao, como a indisponibilidade da
informao ou falta de integridade das mesmas, comprometendo todo o processo
de produo pela compra matrias-primas incorretas ou insuficientes.

9
 Ativo de informao - Tipos
Processos:

Assim como a informao em si abstrata e no existe sem as tecnologias,

pessoas, ambientes e, da mesma maneira os processos so estruturas
conceituais que regulam o comportamento das pessoas em relao a essas
tecnologias e ambientes.

Ao analisar os processos, ativos de informao, pois produzem e

consomem informao, pode-se perceber as vulnerabilidades que estes
possuem, avaliar as ameaas que podem explorar essas vulnerabilidades, as
chances ou probabilidades de ocorrncia do incidente e, finalmente, os
impactos que isto causaria a organizao
10
 Ativo de informao - Tipos
Pessoas:

Tambm so ativos de informao

Os mais importantes

Podem oferecer os maiores riscos

Que vulnerabilidades podem ter as pessoas

Que ameaas poderiam explorar suas vulnerabilidades

Que riscos relacionados a este tipo de ativo precisam ser analisados

11
 Ativo de informao - Tipos
Pessoas:

Desconhecimento das diretrizes, normas e procedimentos de segurana da

informao uma vulnerabilidade comum dos colaboradores.

A possibilidade de extravio de informaes atravs dos prprios colaboradores, a

ausncia de comprometimento com a gerao das informaes essenciais e a
disputa por certo grau de poder atravs da indisponibilidade de informaes que
deveriam estar fluindo nos processos so apenas algumas das possveis ameaas
capazes de provocar incidentes de segurana da informao.

12
 Ativo de informao - Tipos
Pessoas:

As pessoas executam os processos. Elas tambm, no fim das contas,

geram e consomem as informaes nesses processos. So as pessoas
que utilizam as tecnologias e os ambientes.

13
 Ativo de informao - Tipos
Tecnologias:

Todo ativo desta categoria tem alguma relevncia para os processos de negcio e
precisam ser considerados.

A anlise de riscos envolvendo tecnologias talvez seja a mais difundida e aplicada

entre os quatro tipos de ativos de informao, especialmente em se tratando de
tecnologias de informtica, como computadores e softwares.

Importante lembrar que h outras tecnologias: aparelhos de rdio, sistemas de

telefonia, equipamentos de mdia, como projetores, televisores, aparelhos de DVD,
etc. e mesmo os recursos mais antigos como os arquivos em papel no podem ser
esquecidos.

14
 Ativo de informao - Tipos
Tecnologias:

As vulnerabilidades deste ativo so diversas e podem ser sistemas desprotegidos

contra vrus e invases, sistemas sem senhas, arquivos de ao sem proteo de tranca e
chave, celulares suscetveis a contaminao por vrus, rdios suscetveis a
interceptao, equipamentos de mdia sem manuteno, etc.

15
 Ativo de informao - Tipos
Ambiente:

Espaos fsicos onde acontece os processos, onde trabalha as pessoas e

onde so instalados os equipamentos.

Contm os demais ativos de informao,o que o transforma tambm em

ativo.

Pode representar risco para o negcio da organizao.

Desconhecimento ou a no demarcao das reas fsicas que guardam

informaes relevantes e, a inao no que se refere a proteger esses
ambientes so vulnerabilidades comuns deste ativo.
16
 Identificao de Ativos -
Benefcio
Maior conhecimento as informaes da organizao;

Definio de responsabilidades;

Clareza para os colaboradores sobre as suas responsabilidades;

Conhecimento sobre a segurana necessria para cada informao

da organizao

17
 Ativos de Informao
Percebemos que:

Controlar e monitorar estes ativos no tarefa fcil, e necessita

de uma forte receptividade da direo da empresa. Dentro de
todos estes se destaca os Ativos de informao e TI, uma vez
que as informaes disponibilizadas pela tecnologia da
informao sustentaro a sua empresa, pois os controles,
processos, procedimentos e mtricas partiro de TI.

18
 Ativos de Informao
Conclui-se que:

A governana destes ativos deve ocorrer por meio de um grande

nmero de mecanismos organizacionais (por exemplo,
estruturas, processos, procedimentos, auditorias).

A maturidade na governana desses ativos varia

significativamente na maioria das empresas, com os ativos
financeiros e fsicos sendo tipicamente os mais bem governados,
e os ativos de informao figurando entre os piores.

19
 Referncias
CAMPOS, Andr. Sistema de Segurana da Informao: Controlando os riscos.
Florianpolis. Visual Books. 2007
BEAL, Adriana. Segurana da Informao: princpios e melhores prticas para a
proteo dos ativos de informao nas organizaes. 1 ed. So Paulo: Atlas, 2008.
BEAL, Adriana. Gesto Estratgica da informao: como transformar a informao e
a tecnologia da informao em fatores de crescimento e de alto desempenho nas
organizaes. So Paulo: Atlas, 2004

20