Linkedin Facebook-square Instagram
Contactos
Ilustração de inventário de ativos de informação para ISO 27001 e NIS2 com tabela de ativos, classificação, owners e critérios de confidencialidade, integridade e disponibilidade

Inventário de Ativos de Informação: O Primeiro Passo para 27001 e NIS2

Inventário de Ativos de Informação, porque é vital?

Quando uma organização decide avançar com um projeto de ISO/IEC 27001 ou de preparação para NIS2, há uma tendência natural para começar logo por políticas, ferramentas, controlos técnicos, ou até por avaliações de vulnerabilidades. No entanto, quase sempre existe uma pergunta anterior a todas as outras: que informação temos, onde está, quem é responsável por ela e quão crítica é para o negócio? É precisamente aqui que entra o inventário de ativos de informação.

A lógica é simples. Não se protege adequadamente aquilo que não se conhece.

E também não se consegue priorizar, classificar, monitorizar, recuperar ou justificar investimento em segurança sem uma base mínima de visibilidade.

A ISO/IEC 27001:2022 define os requisitos para um sistema de gestão da segurança da informação, baseado numa abordagem de gestão de risco e orientado para preservar a confidencialidade, integridade e disponibilidade da informação.

A família ISO/IEC 27000 apresenta ainda esta perspetiva de forma abrangente, ligando a segurança da informação, a cibersegurança e a proteção da privacidade à gestão de ativos como informação financeira, propriedade intelectual, dados de colaboradores e informação confiada por terceiros.

Do lado da NIS2, o racional é igualmente claro.

A diretiva europeia procura assegurar um elevado nível comum de cibersegurança na União, e a orientação técnica mais recente da ENISA detalha que as entidades relevantes devem classificar ativos, definir regras de tratamento adequado e manter um inventário de ativos completo, exato, atualizado e consistente, com histórico de alterações.

A mesma orientação refere que os inventários devem cobrir operações, serviços, sistemas de rede e informação e outros ativos associados, com um nível de granularidade apropriado às necessidades da organização.

Por isso, o inventário não é um documento “administrativo” criado apenas para agradar ao auditor ou ao regulador. É, na prática, a fundação operacional de todo o programa de segurança da informação.

O que é, afinal, um ativo de informação?

Muitas organizações reduzem o conceito de ativo a portáteis, servidores, firewalls ou licenças de software. Isso é insuficiente. Um inventário maduro deve olhar para o que realmente suporta o negócio: dados, sistemas, aplicações, serviços, equipamentos, processos, repositórios documentais, integrações, fornecedores críticos, suportes físicos, ambientes cloud e, em muitos casos, até pessoas com funções-chave.

O NIST, no CSF 2.0, enquadra a gestão de ativos de forma abrangente, incluindo dados, hardware, software, sistemas, instalações, serviços e pessoas, sempre em função da sua importância para os objetivos da organização e para a estratégia de risco.

Em termos práticos, um ativo de informação é qualquer recurso que cria, armazena, processa, transmite, protege ou suporta informação relevante para a organização. Isso inclui, por exemplo:

  • bases de dados de clientes;
  • ERP, CRM ou software de RH;
  • pastas partilhadas e bibliotecas documentais;
  • contratos críticos;
  • emails de equipas sensíveis;
  • aplicações SaaS;
  • backups;
  • laptops atribuídos a colaboradores;
  • smartphones corporativos;
  • websites e portais de cliente;
  • APIs e integrações com terceiros;
  • infraestruturas cloud;
  • equipamentos OT, quando suportam serviços essenciais.

Ou seja: o ativo não é apenas “o ficheiro” ou “o servidor”. É o ecossistema que suporta a informação e os serviços.

Porque é que o inventário vem antes da ISO 27001?

A ISO/IEC 27001 não deve ser vista apenas como uma coleção de controlos. Trata-se de um sistema de gestão orientado ao risco. Para avaliar risco, é necessário identificar o que tem valor, quem depende disso, quais são as ameaças, quais as vulnerabilidades, qual o impacto de uma falha e qual o nível de proteção necessário. Sem inventário, esta análise fica incompleta, arbitrária ou excessivamente teórica.

É precisamente o inventário que permite transformar uma iniciativa genérica de segurança num programa governado e mensurável. Com ele, a organização consegue:

  • perceber quais os ativos realmente relevantes para o negócio;
  • associar um owner a cada ativo;
  • distinguir o que é crítico do que é acessório;
  • relacionar ativos com processos e serviços;
  • suportar a avaliação de risco com dados reais;
  • definir prioridades para controlos, monitorização e recuperação;
  • criar evidência útil para auditoria e melhoria contínua.

Na prática, quem tenta implementar ISO 27001 sem um bom inventário acaba por tropeçar sempre nos mesmos problemas: âmbito mal definido, risco mal avaliado, owners pouco claros, controlos genéricos demais e dificuldade em justificar prioridades à gestão.

Porque é que o inventário também é um primeiro passo para NIS2?

No contexto da NIS2, a importância do inventário torna-se ainda mais operacional. A orientação técnica da ENISA, alinhada com os requisitos de gestão de risco de cibersegurança, refere que as entidades devem estabelecer níveis de classificação dos ativos, incluindo informação, definir políticas para o seu correto tratamento e manter inventários atualizados com histórico de mudanças. Refere igualmente que os owners dos ativos devem ser responsabilizados pela classificação, e que as revisões devem considerar alterações regulatórias, mudanças no valor, sensibilidade e criticidade dos ativos ao longo do seu ciclo de vida.

Isto tem consequências práticas muito concretas. Se a sua organização não souber:

  • que sistemas suportam os serviços essenciais;
  • onde residem os dados críticos;
  • que aplicações dependem de fornecedores externos;
  • quais os ativos mais sensíveis a indisponibilidade;
  • que informação exige maior proteção de confidencialidade;
  • quem decide sobre mudanças, acessos e tratamento;

então estará a operar com uma lacuna de governação séria. E essa lacuna compromete não só a conformidade, mas também a capacidade de resposta a incidentes, continuidade de negócio, gestão de fornecedores e priorização de investimentos.

O que deve constar num inventário de ativos de informação?

Para um primeiro arranque, especialmente em PME ou organizações que estão a estruturar o tema pela primeira vez, o mais importante é começar com um modelo simples, consistente e utilizável. O teu resumo editorial já aponta para os campos certos, e concordo totalmente com essa base.

Um inventário inicial deve incluir, no mínimo:

1. Identificação do ativo
Um nome claro e inequívoco. Evita designações vagas como “servidor antigo” ou “pasta partilhada”. O ideal é ter também um ID único.

2. Descrição do ativo
O que é, para que serve, e que processo ou serviço suporta.

3. Owner / responsável
Cada ativo deve ter um dono claro do ponto de vista do negócio. A ENISA recomenda precisamente que a classificação dos ativos seja responsabilidade dos respetivos owners.

4. Classificação
Um modelo simples pode começar com níveis como Público, Interno, Confidencial e Restrito. O importante é que exista coerência e critérios documentados.

5. Confidencialidade
Qual o impacto se a informação for divulgada sem autorização?

6. Integridade
Qual o impacto se a informação ou o sistema for alterado indevidamente?

7. Disponibilidade
Qual o impacto se o ativo ficar indisponível?

A própria ISO/IEC 27001 enquadra a segurança da informação em torno da preservação da confidencialidade, integridade e disponibilidade.

8. Criticidade
Quão importante é o ativo para o negócio, para o cumprimento legal, para o serviço ao cliente ou para a operação diária?

9. Localização
Onde está o ativo? On-premises? Cloud? SaaS? Equipamento móvel? Arquivo físico? Fornecedor externo?

10. Estado / ciclo de vida
Ativo, legado, em descontinuação, desativado, em migração.

Campos adicionais que vale a pena incluir

A ENISA sugere ainda, a título indicativo, elementos como identificador único, tipo de ativo, software e versões, hardware e firmware, localização, referências a fornecedores externos e até requisitos de logging. Já o NIST reforça a utilidade de inventários que deem visibilidade ao que existe, onde está e como está a ser utilizado.

Por isso, se quiseres tornar o template Excel mais robusto, eu acrescentaria também:

  • processo / serviço suportado;
  • unidade organizacional;
  • categoria do ativo;
  • fornecedor / prestador;
  • referência contratual ou SLA;
  • backup existente;
  • requisito de retenção;
  • dependências principais;
  • data da última revisão;
  • observações.

Como construir o inventário sem transformar o projeto num bloqueio

Um dos erros mais frequentes é tentar fazer tudo em excesso logo na primeira semana. O objetivo inicial não é produzir um inventário “perfeito”; é criar um inventário suficientemente bom para permitir governação, risco e priorização.

Uma abordagem prática pode seguir estes oito passos:

1. Definir o âmbito

Começa pelos processos, serviços, departamentos ou sistemas mais relevantes. Não tentes mapear toda a organização de uma só vez.

2. Definir categorias

Cria categorias simples: informação, software, hardware, serviço, fornecedor, suporte físico, infraestrutura, registo legal, etc.

3. Nomear owners

Sem owner, o inventário rapidamente envelhece. O owner não tem de ser técnico; deve ser quem responde pelo valor e pelo uso do ativo.

4. Aplicar critérios de classificação

Documenta critérios mínimos. Exemplo: informação de clientes pode nunca ser “Pública”; credenciais nunca devem ser classificadas abaixo de “Restrito”.

5. Avaliar CIA e criticidade

Usa uma escala simples, por exemplo Baixa / Média / Alta / Muito Alta. O importante é consistência entre equipas.

6. Registar localização e dependências

Saber onde está o ativo e de que depende é essencial para resposta a incidentes, mudança, continuidade e gestão de terceiros.

7. Rever com os donos de processo

O inventário não deve ser construído apenas por IT. Donos de processo, compliance, segurança e operação devem validar o conteúdo.

8. Definir rotina de atualização

A ENISA recomenda revisão regular, atualização do inventário e histórico de alterações. Sem processo de manutenção, o ficheiro degrada-se rapidamente.

O inventário em Excel ainda faz sentido?

Sim, especialmente na fase inicial.

Nem todas as organizações precisam de começar por uma CMDB, uma plataforma GRC ou uma ferramenta dedicada de asset management. A ENISA refere inclusive que o inventário pode ser suportado por ferramentas, e recomenda funcionalidades de tagging, pesquisa, reporte e alertas para dados incompletos, mas isso não invalida o uso de um Excel bem estruturado como ponto de partida.

Um template Excel continua a ser uma excelente forma de:

  • arrancar rapidamente;
  • envolver as áreas de negócio;
  • recolher informação de forma colaborativa;
  • testar critérios de classificação;
  • identificar lacunas antes de investir em ferramenta;
  • gerar uma primeira base para risco, auditoria e conformidade.

O erro não está em usar Excel. O erro está em usar um Excel sem owner, sem critérios, sem revisão e sem integração com o resto do sistema de gestão.

Erros mais comuns

Vale a pena evitar cinco erros clássicos:

Inventário só de hardware

Se só inventarias computadores e servidores, estás a falhar o essencial: a informação, os serviços e os ativos lógicos.

Sem owners claros

Quando todos usam um ativo mas ninguém é responsável, a classificação e a atualização ficam abandonadas.

Classificação sem critérios

Etiquetas como “confidencial” perdem valor se não estiver claro o que significam.

Sem atualização periódica

Ativos entram, mudam, migram, saem de produção. Um inventário parado deixa de ser confiável.

Sem ligação ao negócio

Um inventário útil deve dizer mais do que “o que existe”. Deve explicar por que motivo o ativo importa.

Como usar o inventário no dia seguinte

Um bom inventário não serve apenas para “ficar em arquivo”. Ele deve ser reutilizado imediatamente em várias frentes:

  • avaliação de risco;
  • definição de controlos ISO 27001;
  • priorização de ativos críticos;
  • análise de dependências;
  • gestão de acessos;
  • resposta a incidentes;
  • continuidade e recuperação;
  • due diligence de fornecedores;
  • auditorias internas e externas;
  • preparação para NIS2.

Além disso, o inventário ajuda a criar uma linguagem comum entre IT, segurança, compliance e negócio. E isso, por si só, já reduz ruído, retrabalho e decisões mal priorizadas.


Download Gratuito

Baixe o template Excel de inventário de ativos de informação

Dê o primeiro passo prático para ISO 27001 e NIS2 com um ficheiro pronto a usar para organizar os seus ativos de informação.

Este template foi pensado para equipas de IT, donos de processo, CISOs e responsáveis de compliance que precisam de começar rapidamente, com estrutura e consistência.

  • ✓ Classificação do ativo e respetivo owner
  • ✓ Campos para confidencialidade, integridade e disponibilidade
  • ✓ Avaliação de criticidade e localização
  • ✓ Estrutura simples para iniciar o inventário em Excel

Template Excel de inventário de ativos de informação para apoiar projetos de ISO 27001 e preparação para NIS2.

Conclusão

Se a tua organização quer avançar de forma séria com ISO 27001 ou preparar-se para NIS2, o ponto de partida não deve ser “qual ferramenta compramos?” ou “que política escrevemos primeiro?”. A pergunta certa é: temos um inventário de ativos de informação fiável, com owners, classificação, critérios CIA, criticidade e localização?

É essa base que permite fazer quase tudo o resto com qualidade. Sem ela, a conformidade torna-se superficial. Com ela, a segurança torna-se mais prática, mais defensável e mais alinhada com o negócio.

O inventário de ativos de informação não é o fim do trabalho. Mas é, quase sempre, o primeiro passo certo.

Próximos passos:

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *


Começar