Neste artigo: Como este tema funciona na sua empresa Os 4 pilares de ativos Mapeamento de criticidade Exemplo de matriz de criticidade Gestão do ciclo de vida do ativo Sinais de que sua gestão de ativos precisa melhorar Caminhos para gestão de ativos Precisa estruturar gestão de ativos? Perguntas frequentes O que é ativo de segurança? Como classificar ativos por criticidade? Qual é a diferença entre ativo e vulnerabilidade? Como manter inventário de ativos atualizado? Qual é o custo de gestão de ativos? Como integrar gestão de ativos com IAM? Referências

oHub Base TI Cibersegurança e Proteção de Dados › Fundamentos de Cibersegurança

Tipos de ativos de segurança: dados, sistemas, pessoas e processos

Mapa dos ativos a serem protegidos em uma empresa e implicações para o programa de segurança.

Atualizado em: 24 de abril de 2026

Este conteúdo foi gerado por IA e pode conter erros. |

Como este tema funciona na sua empresa

Pequena empresa

Gestão de ativos é informal — documentação em planilha, conhecimento em cabeça de pessoal. Risco: não saber que máquina existe, não saber quem tem acesso, perder dados quando colaborador sai. Abordagem: planilha simples com hardware, software, credenciais principais.

Média empresa

Gestão de ativos é mais formal — inventário de hardware, software, contas privilegiadas. Falta: mapeamento de criticidade (qual ativo é crítico?), integração com IAM. Abordagem: CMDB (Configuration Management Database) simples, ou ferramenta de descoberta de ativos, matriz de criticidade, proprietário definido para cada ativo.

Grande empresa

Gestão de ativos é integrada — CMDB centralizado, descoberta automatizada de ativos, matriz de criticidade por divisão, proprietário e custódia definidos. Integração com IAM, ITSM, compliance. Auditoria periódica de ativos.

Ativo de segurança é qualquer recurso que tem valor e precisa ser protegido. Classificação em 4 categorias: (1) Dados — informação que sua empresa tem valor (cliente, IP, financeiro, pessoal). (2) Sistemas — hardware, software, infraestrutura que processa dados (servidor, PC, nuvem). (3) Pessoas — colaboradores, contratados com acesso a ativos críticos. (4) Processos — fluxos que gerenciam ativos (backup, auditoria, segregação de funções). Risco de segurança afeta qualquer ativo — sem mapeamento, não sabe o que proteger, não sabe onde investir. Gestão de ativos é fundacional para programa de segurança^[1].

Os 4 pilares de ativos

Dados: clientes, propriedade intelectual, financeiro, pessoal. Classificação: público, interno, confidencial, restrito. Localização: onde está armazenado (nuvem, on-premise)? Detentor: quem é responsável? Retenção: por quanto tempo guardar?
Sistemas: servidores, workstations, aplicações, infraestrutura. Inventário: nome, localização, SO, software instalado, responsável. Criticidade: sem qual sistema negócio para? Faz backup? Tem redundância?
Pessoas: colaboradores, contratados, terceiros. Acesso: qual acesso tem cada pessoa? É proporcional ao trabalho? Há privilégio excessivo? Turnover: quando pessoa sai, acesso é revogado em tempo?
Processos: políticas, procedimentos, fluxos de trabalho. Exemplo: backup — como é feito? Quando? Restaurável? Auditoria — é feita? Com que frequência? Segregação de funções — pessoas em diferentes times não podem fazer tudo sozinhas.

Mapeamento de criticidade

Nem todos os ativos têm mesma importância. Criticidade é definida por:

Impacto se comprometido: quanto dano? Financeiro, reputacional, operacional?
Disponibilidade exigida: pode ficar offline? Por quanto tempo?
Conformidade: qual regulação aplica?

Resultado: classificação — crítico (deve ter backup, redundância, monitoramento), importante (should ter proteção), normal (standard). Investimento em segurança segue isto — crítico recebe mais recursos.

Exemplo de matriz de criticidade

Pequena empresa

Crítico: banco de dados de clientes, código-fonte. Importante: sistema de RH, website. Normal: equipamento pessoal, serviço interno.

Média empresa

Crítico: ERP, dados de cliente, código-fonte. Importante: RH, email, financeiro. Normal: intranet, wiki, ferramentas internas. Classificação por divisão.

Grande empresa

Crítico: ERP, data warehouse, infraestrutura de rede. Importante: email, colaboração, RH. Normal: desenvolvimento, teste. Matriz por divisão, datacenter, geografia.

Gestão do ciclo de vida do ativo

Aquisição: novo ativo é descoberto, adicionado ao inventário, criticidade é definida, proprietário é atribuído.
Operação: ativo é usado, monitorado, patches aplicados, acesso é controlado.
Manutenção: backup é feito, logs são coletados, conformidade é auditada, atualização periódica do inventário.
Descomissionamento: quando ativo é descontinuado, dados são deletados, equipamento é reciclado ou destruído conforme regulação.

Sinais de que sua gestão de ativos precisa melhorar

Não existe inventário documentado de hardware, software, contas privilegiadas
Não sabe que máquinas existem na rede — descoberta de ativos não é automatizada
Não há proprietário definido para ativos críticos
Criticidade não é explícita — não sabe qual ativo deveria ter backup, redundância
Quando pessoa sai, não sabe que acesso ela tinha — acesso residual é provável
Incidente de segurança ocorreu e falta visibilidade de qual ativo foi comprometido

Caminhos para gestão de ativos

Implementação interna

Começar com documentação simples.

Passo 1: Criar inventário em planilha: hardware, software, contas críticas
Passo 2: Definir proprietário para cada ativo
Passo 3: Definir criticidade para cada ativo
Passo 4: Revisar inventário trimestral

Com ferramenta especializada

Usar CMDB ou Asset Management.

Ferramentas: ServiceNow, BMC Remedy, ou discovery tools (Qualys, Tenable)
Custo: CMDB básico ~$1-5k/ano, discovery tools ~$5-20k/ano
Vantagem: automação, integração com outras ferramentas, reporting

Precisa estruturar gestão de ativos?

Se não há inventário documentado ou criticidade definida para ativos, o oHub conecta você gratuitamente a consultores especializados. Em menos de 3 minutos, descreva sua situação e receba propostas personalizadas, sem compromisso.

Encontrar fornecedores de TI no oHub

Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.

Perguntas frequentes

O que é ativo de segurança?

Qualquer recurso que tem valor e precisa ser protegido: dados (cliente, IP), sistemas (servidor, aplicação), pessoas (com acesso), processos (fluxo de segurança). Mapeamento de ativos é primeira etapa de programa de segurança.

Como classificar ativos por criticidade?

Usar matriz: impacto (quanto dano se comprometido?), disponibilidade (pode offline?), conformidade (qual regulação?). Resultado: crítico (máxima proteção), importante (proteção média), normal (proteção padrão).

Qual é a diferença entre ativo e vulnerabilidade?

Ativo é o recurso (servidor, dado). Vulnerabilidade é fraqueza no ativo (patch faltante, credencial fraca, falta de backup). Gestão de ativos identifica o quê proteger; gestão de vulnerabilidade identifica fraquezas.

Como manter inventário de ativos atualizado?

Discovery automatizada (ferramentas procuram ativos periodicamente), revisão manual trimestral, integração com onboarding/offboarding (quando pessoa entra/sai, ativos são atualizados).

Qual é o custo de gestão de ativos?

Pode ser gratuito (planilha manual) ou até $100k+/ano (ferramenta enterprise). ROI é alto — saber que ativo existe reduz exposição, facilita compliance, ajuda investigação de incidente.

Como integrar gestão de ativos com IAM?

Ativo crítico tem acesso definido — que pessoas, que privilégio. IAM gerencia isto. Integração permite que quando acesso muda (pessoa sai), ativo é revisado automaticamente.

Referências

ISO/IEC 27001:2022 — A.8 Asset Management. Disponível em: https://www.iso.org/standard/27001
NIST SP 800-53 — CM-2 Baseline Configuration. Disponível em: https://csrc.nist.gov/pubs/sp/800/53/r5/upd1/final
CIS Controls — 1. Inventory and Control of Enterprise Assets. Disponível em: https://www.cisecurity.org