Gestão de Ativos de TI: a qualidade e a eficiência da segurança ainda é um desafio

Roubo de senhas, sequestro de dados e bloqueio de operações, infelizmente, não são situações que existem apenas nos filmes. Para evitar falhas e proteger as informações da sua empresa é essencial fazer um controle eficiente dos seus recursos. Nesse contexto, a gestão de ativos permite que as empresas identifiquem e gerenciem proativamente as suas ameaças e vulnerabilidades.

O Brasil é um dos países que mais sofre com ataques cibernéticos. Em 2022, por exemplo, o país foi alvo de 103 bilhões de ataques. É considerado o segundo país mais visado da América Latina, ficando atrás apenas do México. Esses dados comprovam a necessidade de medidas proativas que forneçam a proteção aos ativos tangíveis e intangíveis de uma empresa.

A sua complexidade está em monitorar, controlar e otimizar os recursos físicos e digitais da organização. A gestão de ativos tem como objetivo maximizar o valor desses recursos, reduzindo custos, melhorando a eficiência operacional e aumentando a segurança da informação.

O que é a gestão de ativos de TI?

As empresas possuem dados valiosos e qualquer ameaça pode se tornar um prejuízo financeiro. Nesse contexto, a complexidade da gestão dos ativos de uma empresa está em conhecer detalhadamente a infraestrutura de tecnologia do seu negócio.

É um caminho bastante trabalhoso, mas necessário para que você tenha mapeado todas as possíveis ameaças e vulnerabilidades da sua empresa. Conhecendo o cenário de atuação é possível começar a traçar planos e criar ações para a proteção dos dados e infraestrutura do negócio.

A gestão dos ativos de TI envolve também uma política de treinamento e conscientização para evitar práticas que coloquem as operações em situação de risco ou vulnerabilidade.

As perspectivas de cidades inteligentes, o desenvolvimento de soluções que impulsionam a adesão da IoT, ou então aumentam a dependência de métodos tradicionais de autenticação tornam a gestão de ativos um processo ainda mais urgente.

Será a partir dela que os profissionais conseguirão compreender de onde podem vir as ameaças e, a partir delas, traçar um plano de ação. 

Principais benefícios da gestão de ativos de TI

Um dos principais benefícios da gestão de ativos para a segurança da informação é ter a gestão e o mapeamento de todos os recursos utilizados pela empresa. Dessa forma, é possível desenvolver um plano que favoreça a implementação de controles de acesso, criptografia e outras medidas de segurança que garantem que apenas as pessoas autorizadas possam acessar algumas informações.

Ao gerenciar proativamente seus ativos de informação, as empresas podem garantir que elas estejam adequadamente protegidas contra ameaças internas e externas. E, considerando que a segurança dos dados nem sempre terá 100% de eficácia, temos que estruturar um plano de continuidade do negócio que considere:

• Planejamento detalhado de todas as ações necessárias a recuperar a continuidade do negócio;
• Perfeita comunicação entre as partes envolvidas para atuarem de maneira sincronizada para minimizar tempo de parada e perdas de dados;
• Avaliação das causas das perdas para atuar ne melhoria contínua da segurança da informação, revisando os padrões de proteção e implementando na prática;
• Implementar uma rotina específica de atualizações de softwares;
• Ter backup e infraestrutura replicada;
• Contar com softwares de segurança;
• Colaboradores com cultura de segurança e capacitação do time profissional sobre o assunto;
• Contar com colaboradores que estejam plenamente inseridos no universo digital.

Por que a segurança da informação é tão importante?

Os conhecimentos e dados estão entre os bens mais valiosos de uma empresa. Por esse motivo, ter uma política de segurança da informação é essencial para a proteção contra ameaças cibernéticas. Os hackers estão cada vez mais sofisticados, e suas técnicas estão em constante evolução. Sem medidas adequadas de segurança, as informações confidenciais e sensíveis podem ser comprometidas, levando a roubo de identidade, fraudes financeiras, perda de propriedade intelectual e danos à reputação.

Um relatório de 2017, da Kapersky Lab, sobre ameaças de segurança virtual no setor financeiro, encontrou que o custo médio de um acidente envolvendo serviços de internet banking era de US$ 1.754.000, praticamente o dobro do preço da recuperação de um incidente com malware, cuja solução custava em média US$ 825.000.

Desde então, as ameaças e perdas só aumentaram, incentivando as empresas a buscarem soluções preventivas para atenuar eventuais crises ou prejuízos. O Gartner avalia que em 2023, 75% das organizações irão reestruturar seus riscos, segurança e investir em governança para lidar com novos sistemas CPS, TO, IoT, e a infraestrutura de TI como um todo.

Qual o papel da gestão de ativos de TI em projetos de segurança da informação?

Os ativos de TI referem-se a todos os recursos tecnológicos utilizados em uma organização, como hardware, software, dados e redes. Ao falar sobre a gestão desses recursos e a sua relação com projetos de segurança da informação, precisamos lembrar dos requisitos básicos da segurança, monitoramento, controle e proteção dos ativos ao longo de seu ciclo de vida.

Para garantir que esse processo seja feito da forma adequada, é essencial estabelecer um controle sobre os riscos, avaliar as vulnerabilidades, mitigar os problemas, responder aos incidentes e recuperar-se de maneira a minimizar qualquer impacto negativo.

A gestão de ativos de várias maneiras durante um projeto de segurança da informação:

1. Inventário e classificação de ativos:  É responsável pela identificação de todos os ativos de TI da organização, incluindo servidores, estações de trabalho, dispositivos móveis, bancos de dados e sistemas de armazenamento. Além disso, classifica os itens com base em sua importância para a segurança da informação, ajudando a priorizar esforços de proteção.
2. Avaliação de riscos: A gestão de ativos fornece informações essenciais para a avaliação de riscos de segurança da informação. Ao conhecer os ativos existentes e seus relacionamentos, é possível identificar as ameaças e vulnerabilidades associadas a cada ativo, bem como o impacto potencial de uma violação de segurança.
3. Proteção adequada: Com uma visão clara dos ativos de TI é possível criar as medidas de segurança apropriadas para protegê-los. Isso pode incluir controles de acesso, criptografia, monitoramento de rede, firewalls e outras soluções de segurança, adaptadas às necessidades específicas de cada ativo.
4. Manutenção e atualização: A gestão de ativos também envolve o acompanhamento contínuo dos ativos de TI, garantindo que eles sejam devidamente mantidos e atualizados. Isso inclui a aplicação regular de patches de segurança, atualizações de software e monitoramento de vulnerabilidades conhecidas. A manutenção adequada dos ativos reduz os riscos de segurança decorrentes de falhas ou vulnerabilidades não corrigidas.
5. Resposta a incidentes: Em caso de incidente de segurança, ter os ativos listados tem um papel de grande relevância na redução do tempo de resposta e recuperação. Ao ter um inventário atualizado de ativos, é possível identificar rapidamente quais arquivos foram afetados, avaliar o impacto do incidente e implementar medidas corretivas adequadas para mitigar os danos.

A gestão de ativos é um desafio contínuo

A gestão de ativos de TI fornece uma base sólida para a implementação de projetos de segurança da informação, garantindo que os ativos sejam protegidos adequadamente, os riscos sejam gerenciados e as ações corretivas sejam tomadas quando necessário.

A partir da identificação de todos os itens que compõe a área de tecnologia, pode ser aplicada a metodologia chamada NIST CiberSecurity Framework, que, como o próprio nome indica, é um conjunto de diretrizes que auxilia na garantia de uma gestão abrangente da cibersegurança.

A metodologia consiste em 5 fases e funciona de forma cíclica, garantindo assim uma melhoria contínua na gestão de riscos cibernéticos: 1- Identificar; 2- Proteger; 3- Detectar; 4- Responder; 5 – Recuperar.

Cada uma dessas etapas possui orientações específicas com referência a outras normas já consolidadas para segurança cibernética, tais como ISO 27001, COBIT, ISA-62443 e o CCS CSC, entre outros. Elas são atualizadas e evolui conforme as suas normas base e a tecnologia.