Bom, poderia chamar este post de "Ativos - Além da Teoria, vamos a Prática". Porque pretendo, apesar de objetivo, passar por um dos pontos que mais costuma confundir o Security Officer interessado em atender a ISo 27001.
A questão é: quão granular devo ser para tratar os "ativos"? Devo considerar a caixa de e-mail do meu computador um ativo, ou o ativo é a minha workstation? Ou ainda, cada um dos computadores dos 750 funcionários do call-center são ativos diferentes? Se essas são as suas dúvidas não se desespere, 99 em 100 implantadores de ISO 27001 já passaram por estes dilemas "intelectuais".
A norma deixa claro que a organização deve identificar seus principais ativos. Quando escreve "principais ativos" não significa uma lista exaustiva dos ativos da organização. A única função de separarmos do joio os ativos importantes é garantir que a análise de risco será sobre aquilo que mais importa para a minha organização.
Quão profunda deve ser essa seleção? Neste, como em todos os outros critérios da norma, deve sempre imperar o bom senso. Se eu tenho 300 estações de trabalho da equipe do desenvolvimento, e julgo que os riscos aos 300 são os mesmos, basta que eu indique o ativo "Workstations da Equipe de Desenvolvimento". E lá vou eu em busca de 10, 20, 50 ou 100 riscos relacionados a este ativo.
É claro que se eu identificar um risco alto relacionado por exemplo ao vazamento de código fonte através de um serviço de webmail gratuito, vou aplicar o controle bloqueio de web para todas as estações do setor (não sejam assim tão maus!).
A regra é: faça uma boa análise de risco. Se para isso você tiver que entrar na peculiaridade do hardware, então faça. Nos meus muitos anos de praça nunca precisei, e acho que se tivesse feito, teria decuplicado o meu trabalho, além de tornar inviavel a perpetuação deste processo nas empresas dos meus clientes :-)
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment