Identificação e Classificação de Ativos

Segue abaixo POST enviado para uma conhecida lista de discussão, onde tratei o assunto "Identificação e Classificação de Ativos".

O assunto "identificação e classificação de ativos" é de vital importância para qualquer empresa que deseja certificar na ISO 27001 ou mesmo estar de acordo com as melhores práticas internacionais em gestão da segurança da informação.

Para o pessoal que está entrando agora na área da Segurança da Informação, é importante definirmos o conceito de Ativo.

Ativo é tudo o que tem valor ou gera valor para minha empresa. Este é um termo que emprestamos do mundo financeiro/contabil, cujo antônimo é passivo.

Se "Ativo", neste contexto, é algo importante ou que gera valor para a minha organização, o que devemos considerar como ativo em Segurança da Informação?

Simples: tudo aquilo que por si só é importante (Informação) ou cujo seu papel pode afetar a segurança da informação (preservação da confidencialidade, integridade e disponibilidade).

Cerca de três anos atrás fiz um exaustivo estudo de identificação dos possíveis tipos de Ativos. Estudei o texto das principais normas de gestão de risco e segurança da informação com o objetivo de identificar classes de ativos (categorias) com o fim de estruturar melhor a organização dos ativos no contexto da gestão do risco. Esta para mim seria o primeiro passo rumo a configuração de uma ciência.

Seguem abaixo algumas das minhas conclusões:

1-) Sobre categorias de Ativos

As normas, em sua maioria, fazem referência a seis grandes grupos de ativos, que são:

a) Ativos de Informação: informação digital e em papel;
b) Ativos de Software: sistemas, aplicações, ferramentas e etc;
c) Ativos Físicos: dispositivos de processamento, armazenamento, ambientes e etc;
d) Serviços: serviços de computação, serviço de transporte de dados (aluguel de link), serviço de fornecimento de energia elétrica e etc;
e) Pessoas: funcionários, terceiros, estagiarios e etc;
f) Ativos Intangiveis: imagem da empresa, reputação, credibilidade, vantagem estratégica e etc.

Ufa! Chegar até aqui, acreditem, não foi fácil. Hoje estou satisfeito porque consigo classificar qualquer ativo em uma destas seis categorias. Esse pequeno primeiro passo foi importante para a estruturação do meu entendimento; entendimento de algo que até então parecia muito vago e sem método.

Subdividi estas seis categorias em outras 28 categorias, que subdividi por sua vez em 50 categorias. Com isso ganhei granularidade. A vantagem em classificar os ativos em subcategorias é o tempo que economizamos para atualizar nossa matriz de risco. Explico o porquê.

Imagine que você tenha um novo risco associado a "funcionários terceirizados", ao invés de correr sua matriz de risco em busca de ativos que façam referência a "funcionários terceirizados", basta categorizar o ativo nesta classe, e automaticamente inserir o novo risco para todo o ativo assim definido. Isso economiza algum tempo, e garantirá que o risco será replicado para toda a sua base de ativos onde houver "funcionário terceirizado".

2-) Não confunda Inventário de Ativo de Hardware e Software com Ativos de Negócio

Aqui vai uma outra questão muito importante. Muitas empresas com as quais tenho tido contato, confundem a necessidade de identificar e classificar Ativos relevantes para a organização, com o exercício de gerar imensas listas de ativos de hardware e software.

Como o colega Siera escreveu, a função do inventário de ativos é identificar aquilo que é importante para a empresa. É uma forma de colocar em foco o mais relevante, e investir tempo em análise e proteção daquilo que de fato faz diferença para o negócio. Não conheço ferramenta de inventário de software que catalogue pessoas, serviço de terceiros, imagem da empresa, ambientes físicos e etc. Ferramentas de inventário de hardware e software são muito boas para dar ao administrador uma visão do seu parque tecnológico, mas no meu ponto de vista, mais atrapalham do que ajudam no inventário de ativos do negócio.

3-) Agrupamento de Ativos

A regra de ouro da gestão da segurança é manter o processo o mais simples possível. Acreditem em mim, ja fiz análises quantitativas, qualitativas, mistas e tudo o mais que foi possivel, e o ensinameno que levo de tudo isso é que o processo de gestão da segurança só vai melhorar se acontecer repetidas vezes, e só vai acontecer repetidas vezes se for simples.

Algumas empresas (talvez ainda com essa visão de hardware e software) costumam listar exaustivamente os seus equipamentos de TI, para analisar seus riscos separadamente. Por exemplo: imagine uma empresa de desenvolvimentode software com 300 funcionários, todos utilizando estações de trabalho padrão. Faz sentido cadastrar 300 ativos e realizar uma análise de risco para cada ativo? Em minha opinião isso seria gastar tempo e intelecto em vão. Se isso já é estranho, imagina ainda empresas que analisam 600 roteadores :-)

Para esta caso o ideal é identificar e cadastrar apenas um ativo "Estações de Trabalho da Equipe de Desenvolvimento XPTO", e fazer UMA análise de risco, porque no final das contas, os controles aplicados a todas as estações serão os mesmos.

4-) Classificação de Relevância dos Ativos

Peça para o dono do Ativo indicar sua importancia em CID. Não esqueça do L, que é a Legalidade. Caso existam regulamentações que exijam a proteção do ativo, a aplicação do controle independe da análise de risco.

Gosto muito de classificar os ativos em 3 níveis de relevância: alto, médio ou baixo. Estou anexando um figura que mostra a valoração (valuaton) do ativo em cinco tipos.
Considerações finais:

Peço aos colegas e amigos que me perdoem se fui pouco didático ou se dei pouca atenção a esse ou aquele ponto. Espero sinceramente que este POST possa ajudar alguém que assim como eu, já passou ou está passando por um processo de certificação ISO 27001.

Ativo - Segunda Parte

Bom, poderia chamar este post de "Ativos - Além da Teoria, vamos a Prática". Porque pretendo, apesar de objetivo, passar por um dos pontos que mais costuma confundir o Security Officer interessado em atender a ISo 27001.

A questão é: quão granular devo ser para tratar os "ativos"? Devo considerar a caixa de e-mail do meu computador um ativo, ou o ativo é a minha workstation? Ou ainda, cada um dos computadores dos 750 funcionários do call-center são ativos diferentes? Se essas são as suas dúvidas não se desespere, 99 em 100 implantadores de ISO 27001 já passaram por estes dilemas "intelectuais".

A norma deixa claro que a organização deve identificar seus principais ativos. Quando escreve "principais ativos" não significa uma lista exaustiva dos ativos da organização. A única função de separarmos do joio os ativos importantes é garantir que a análise de risco será sobre aquilo que mais importa para a minha organização.

Quão profunda deve ser essa seleção? Neste, como em todos os outros critérios da norma, deve sempre imperar o bom senso. Se eu tenho 300 estações de trabalho da equipe do desenvolvimento, e julgo que os riscos aos 300 são os mesmos, basta que eu indique o ativo "Workstations da Equipe de Desenvolvimento". E lá vou eu em busca de 10, 20, 50 ou 100 riscos relacionados a este ativo.

É claro que se eu identificar um risco alto relacionado por exemplo ao vazamento de código fonte através de um serviço de webmail gratuito, vou aplicar o controle bloqueio de web para todas as estações do setor (não sejam assim tão maus!).

A regra é: faça uma boa análise de risco. Se para isso você tiver que entrar na peculiaridade do hardware, então faça. Nos meus muitos anos de praça nunca precisei, e acho que se tivesse feito, teria decuplicado o meu trabalho, além de tornar inviavel a perpetuação deste processo nas empresas dos meus clientes :-)

Ativo - Primeira Parte

A norma ISO 27001 deixa claro em seu texto, que a implementação do SGSI está focada em proteger os ativos importantes da organização. Mas afinal de contas, o que é um "ativo"?

Pra quem vem do mercado financeiro, ou pra quem opera no mercado de capitais, este termo é bem familiar. Ativo é tudo aquilo que tem valor ou gera valor para uma empresa.

Muitas vezes a turma de TI confunde ativo especificamente com componentes de tecnologia. É importante compreender que ativo é um termo muito mais abrangente.

Fiz uma análise das principais normas de segurança da informação: ISO 27001, ISO 13.335-1 e 2, ISO 17799 (ISO 27002) entre outras. O que percebi é que existe uma definição em comum entre estas normas, de que os ativos podem ser classificados em seis tipos. São eles:

1. Informação
2. Software e Sistemas
3. Pessoas
4. Serviços
5. Áreas ou Instalações Físicas
6. Intangíveis (imagem, credibilidade e etc)

Bom, então aqui vai a minha dica: quando forem analisar os riscos para determinado escopo, considerem agrupar tipos de risco para cada uma das categorias acima.

Classificação da Informação

Bom pessoal, este é um dos mais controversos controles do anexo A da ISO 27001. Literalmente você pode montar uma iniciativa complexa para classificar sua informação ou algo simples. Neste controle mais do que em qualquer outro é importante estar bem focado no negócio, para não criar um monstro capaz de devorar o próprio Security Officer.

Em primeiro lugar, creio que o termo correto, ao invés de CLASSIFICAÇÃO DA INFORMAÇÃO, deveria ser TRATAMENTO DA INFORMAÇÃO. Explico o porquê. Bom, em primeiro lugar entendo que a classificação da informação é apenas uma das facetas do tratamento da informação, que também deve considerar o "rótulo".

Vamos deixar isso mais simples. O que entendemos por Classificação da Informação é um processo que se divide em "Criação de Categorias de Informação" e "Definição de como rotular as informações". Isso tudo para tratar a informação considerada confidencial de maneira diferente da informação pública.

Exemplo: minha empresa pode ter três categorias de classificação, sendo (a) informação confidencial; (b) informação de uso interno; (c) informação pública. O bacana a partir da classificação é poder determinar como será tratada a informação confidencial quando for enviada por e-mail (na maioria dos casos só pode ser enviada se criptografada), ou até mesmo métodos de descarte de informações confidenciais em papel (que só será feito através de fragmentadora de papeis).

Mas para que serve a tal da classificação? Sabemos que proteção da informação é um recurso caro, classificar é uma forma racional de proteger melhor aquilo que é mais importante :-)

ISMS - Keep it simple!

Implementar um SGSI certificável pela ISO 27001 não é tarefa das mais fáceis. É um honroso emprego da inteligência na aplicação de melhores práticas que visam transformar a cultura de uma empresa e voltar a atenção do Board para a proteção da informação.

Proteção sistemática que deve se perpetuar.

Alguns "Indiana Jones" da segurança da infomração tem-se aventurado a inciar o processo de certificação nas empresas onde trabalham. O caminho é árduo quando se começa certo. O caminho é árduo e tortuoso quando logo de início calçamos o sapato apertado ou somos obrigados a andar rápido demais.

O mau planejamento de orçamento e a má definição do Escopo da certificação, tem sido os principais fatores de insucesso em projetos de ISO 27001. Explico.

1) Como estes projetos tendem a iniciar por TI, muitos gestores acreditam que a certificação é uma iniciativa que o ajudará a justificar a compra de 'n' softwares e appliances para proteção de dados. Em alguns casos sim, em outros casos não. Esquece o nosso gestor neófito que historicamente gastamos muito mais em educação e treinamento. Consulte a área de Qualidade de sua empresa para entender a abrangência do assunto.

2) Quando a definição de escopo, recomendo uma boa lida na norma ISO 27001, no item 4.2.1 item (a), que transcrevo abaixo:

a) Define the scope and boundaries of the ISMS in terms of the characteristics of the business, the organization, its location, assets and technology, and including details of and justification for any exclusions from the scope (see 1.2).

Recomendo veementemente que a consolidação do escopo seja feita com apoio de um especialista. Muitas empresas cometem erros venais quando definem como escopo uma área ligada a sistema ou infra-estrutura de TI. Para estes casos fica muito complicado identificar as interfaces com outras áreas de negócio, e se criarmos infinitas interfaces para isolar o escopo, corremos o risco de implementarmos o SGSI em um escopo de pouco valor para o negócio da organização. Não esqueça que a informação é dinâmica, e não estática.

Pense por vertical de negócio e não por horizontal ou backoffice.