Quando o assunto é Segurança da Informação, especialmente, na introdução ao tema, é muito comum surgirem dúvidas sobre como e por onde começar a construir uma cultura sólida de segurança, o que proteger, entre outras. Neste artigo, será abordado um tópico muito importante nessa construção, mas, infelizmente, ignorado ou percebido, de forma básica, por uma grande parcela das organizações: o inventário de ativos. O inventário de ativos é de extrema importância para conhecimento de dispositivos que se conectam (ou tentam se conectar) à rede local da organização e os respectivos softwares utilizados por cada um desses ativos, para auxiliar os responsáveis na mitigação de possíveis vulnerabilidades de segurança e/ou ativos não autorizados. Usaremos como base o CIS Controls, que, em sua versão 7.1, possui 18 itens específicos, com informações relevantes sobre as melhores práticas para a construção de um inventário de TI. Antes de tudo, é importante entender os pilares que compõem a segurança da informação. Para isso, basta visitar nossos diversos artigos sobre os mais diversos tópicos sobre o tema.
Afinal o que é um inventário de ativos?
Um inventário de ativos de tecnologia da informação é a listagem de todos os ativos ou dispositivos com capacidade de processar ou armazenar dados da organização como, por exemplo, estações de trabalho, servidores de arquivos e dispositivos de rede. Um inventário detalhado e atualizado auxilia na administração dos recursos oferecidos pela organização, evitando uso inadequado desses recursos e mitigando possíveis ameaças à segurança das informações organizacionais, além de possibilitar valiosas informações para planejamento de mudanças e outras decisões que envolvam esses recursos. É importante ressaltar que esse inventário deve incluir todos aqueles recursos em que as informações transitem ou sejam armazenadas, independente se estão sob posse da própria organização ou de parceiros de negócio, como provedores de serviço por exemplo.
É recomendável considerar esse inventário imediatamente após a implantação dos ativos da organização, seja em matriz ou filiais, uma vez que a dificuldade para realizar essa listagem aumenta proporcionalmente, em relação ao número de ativos, à medida que novos são adquiridos, contribuindo para o crescimento de possíveis lacunas de segurança. Esse inventário é composto pelos mais diversos tipos de ativos entre hardware e software, além das informações relevantes que devem ser consideradas. Abaixo será possível compreender, entre outros assuntos, a importância desse inventário para os responsáveis pela segurança da informação na organização e, consequentemente, a contribuição deles para estabelecimento e expansão do seu negócio.
Quais informações esse inventário deve possuir?
Uma grande parte das organizações tem dúvida do primeiro passo de um inventário de ativos efetivo, principalmente, sobre quais informações ele deve possuir. Inicialmente, o processo pode ser um pouco mais árduo, especialmente, quando a cultura de segurança da informação está em construção. É necessário um planejamento que estabeleça e considere as necessidades do negócio em relação à segurança como, por exemplo, a classificação de criticidade dos ativos, que consiste em diferenciar aqueles que são mais relevantes para as operações da organização e, por isso, requerem uma atenção especial em relação aos demais. A etapa seguinte consiste no levantamento desses ativos, com todas as informações consideradas relevantes para os administradores de acordo com os respectivos tipos de ativo.
Para ativos de hardware, é importante considerar a utilização de soluções capazes de realizar uma descoberta ativa (sem interação manual) e passiva (baseada em agentes), logs de outras soluções (como DHCP), certificados e controles de autenticação com algumas informações relevantes desses ativos, que podem incluir o nome, proprietário, departamento, usuário autenticado e endereço de rede e é importante que estejam atualizadas para garantir que sejam confiáveis e mitigar os acessos indevidos de dispositivos desconhecidos e/ou não autorizados à rede corporativa.
Para ativos de software (sistemas operacionais e demais sistemas como ERP’s e leitores de PDF), é fundamental que esse inventário esteja alinhado com a política de segurança da informação da organização, para que haja definição de quais são os softwares e suas respectivas bibliotecas e/ou scripts necessários para o bom funcionamento da rotina de trabalho e garantir que somente o que estiver devidamente autorizado terá o uso permitido. É importante que o inventário de softwares possa ser construído a partir dessa definição e que seja considerada uma solução para tal, além de garantir o uso autorizado conforme citado acima. O ideal é automatizar a descoberta de todos os softwares utilizados, centralizar as informações e ter integrado ao inventário de ativos de hardware, para vincular as informações e melhorar a análise de um possível evento de segurança em caso de necessidade. Como informações relevantes, pode ser incluído o campo de fornecedor do software, licenciamento, data de aquisição/instalação, aprovação do uso de acordo com as devidas necessidades identificadas e se o software é suportado pelo fornecedor, ou seja, receber atualizações para correções de falhas sistêmicas especialmente relacionadas à segurança.
É importante frisar que, dentro dessas categorias, podem existir subdivisões realizadas para facilitar ainda mais a gestão. Os ativos de hardware, por exemplo, podem ser separados em estações de trabalho, dispositivos de rede e servidores. Esse conceito pode ser aplicado também às demais seções principais, de forma que facilite a rápida identificação dos ativos e suas respectivas funções e localidades.
Por fim, mas não menos importante, os gestores da TI devem considerar o conhecimento sobre as vulnerabilidades nesses ativos. Vulnerabilidade é o termo usado para toda condição que expõe o recurso à uma ameaça – um evento ou ação (intencional ou não) que pode, potencialmente, causar danos a um ativo, ou seja, possibilita que a segurança seja comprometida. O inventário auxilia na identificação de possíveis vulnerabilidades dos recursos, uma vez que os responsáveis terão amplo conhecimento sobre os ativos e, em um cenário considerado ideal, a centralização e correlação dessas informações tornará o inventário um forte aliado na redução das lacunas de segurança dos ativos.
Todas essas informações em conjunto possibilitam aos gestores da TI um conhecimento dos recursos tecnológicos envolvidos nas operações da organização, aumentando a capacidade de proteção em cada um dos possíveis pontos, visto que é impossível proteger um recurso de cuja existência não há pleno conhecimento nem de como ele opera.
Conclusão
Apesar de ser recorrente, nota-se que o tema Segurança da Informação gera muitas dúvidas, especialmente, em épocas de leis como a LGPD (Lei Geral de Proteção de Dados Pessoais). O inventário de ativos é um passo considerado inicial, mas, como dito anteriormente, é negligenciado ou utilizado de forma superficial e, por isso, os reflexos dessa negligência ou subutilização podem ser evidenciados, nos momentos onde é necessário realizar alguma intervenção nesses ativos, seja para correção de vulnerabilidades, definição dos ativos críticos, avaliação de ativos não autorizados dentro da rede ou tratamento de um incidente de segurança da informação. É importante reforçar que a construção de uma segurança efetiva é gradual, requer planejamento adequado e pilares (processos, pessoas e tecnologias) sólidos para administração e proteção dos recursos, considerando sempre as necessidades do negócio.