Tuesday, July 31, 2007

Ativo - Primeira Parte

A norma ISO 27001 deixa claro em seu texto, que a implementação do SGSI está focada em proteger os ativos importantes da organização. Mas afinal de contas, o que é um "ativo"?

Pra quem vem do mercado financeiro, ou pra quem opera no mercado de capitais, este termo é bem familiar. Ativo é tudo aquilo que tem valor ou gera valor para uma empresa.

Muitas vezes a turma de TI confunde ativo especificamente com componentes de tecnologia. É importante compreender que ativo é um termo muito mais abrangente.

Fiz uma análise das principais normas de segurança da informação: ISO 27001, ISO 13.335-1 e 2, ISO 17799 (ISO 27002) entre outras. O que percebi é que existe uma definição em comum entre estas normas, de que os ativos podem ser classificados em seis tipos. São eles:


  1. Informação
  2. Software e Sistemas
  3. Pessoas
  4. Serviços
  5. Áreas ou Instalações Físicas
  6. Intangíveis (imagem, credibilidade e etc)

Bom, então aqui vai a minha dica: quando forem analisar os riscos para determinado escopo, considerem agrupar tipos de risco para cada uma das categorias acima.

1 comment:

Carlinha Freitas said...

Oi Fábio,

parabens pelo seu blog! Ele realmente é muito bom!

Mas lendo esse seu post, fiquei com uma dúvida na relação dos tipos de ativos que você citou onde ficariam os ativos como computadores, equipamentos de rede, etc?

Abraços,