Não se protege o que não se conhece. O inventário de ativos é uma base operacional para reduzir risco, preparar auditorias e responder melhor a incide

A NIS2 reforça a ideia de que a cibersegurança não é apenas um problema técnico. No quadro europeu da NIS2, as organizações devem demonstrar capacidade de gerir risco, proteger serviços relevantes e responder a incidentes com método. Para isso, precisam de saber que ativos digitais têm.

Em muitas PME, municípios e associações, a realidade é diferente: servidores antigos, contas esquecidas, domínios comprados por fornecedores, websites WordPress sem manutenção, aplicações cloud contratadas por departamentos e equipamentos sem responsável claro. Esta falta de visibilidade torna qualquer plano de segurança frágil.

O inventário de ativos não precisa de começar como um projeto complexo. Deve começar como uma lista útil, verificável e mantida, com prioridade para sistemas críticos, dados pessoais, acessos administrativos e fornecedores.
 

Um inventário de ativos é mais do que uma folha com computadores. Deve responder a perguntas simples: que sistemas existem, onde estão alojados, quem é responsável por eles, que dados tratam, que fornecedores têm acesso e qual seria o impacto se ficassem indisponíveis.

Para efeitos de gestão de risco, os ativos mais importantes são os que suportam processos essenciais: faturação, atendimento ao público, email, website, gestão documental, bases de dados de clientes ou utentes, aplicações financeiras, backups, sistemas de autenticação e redes internas. Se estes ativos falharem, a organização pode perder operação, confidencialidade, integridade ou capacidade de cumprir obrigações legais.

A abordagem prática é começar por camadas. Primeiro, listar serviços externos: alojamento web, Microsoft 365 ou Google Workspace, CRM, plataformas de faturação, software de RH, VPN, firewall, backups cloud e fornecedores de manutenção. Depois, listar infraestrutura interna: servidores, NAS, computadores partilhados, redes Wi-Fi, equipamentos de rede, impressoras multifunções e postos com privilégios elevados. Por fim, relacionar ativos com dados: que sistemas contêm dados pessoais, dados sensíveis, credenciais, contratos, informação financeira ou informação crítica de negócio.

Esta relação é importante porque aproxima NIS2 e RGPD sem os confundir. A NIS2 está centrada na segurança das redes e sistemas de informação e na resiliência operacional. O RGPD protege dados pessoais e exige medidas técnicas e organizativas adequadas. Um inventário ajuda ambos: permite perceber onde estão os riscos técnicos e onde existem dados que exigem proteção especial.

O inventário deve incluir proprietários. Um ativo sem dono tende a não ser atualizado, monitorizado ou revisto. A pergunta “quem decide sobre este sistema?” é tão importante como “que versão está instalada?”. Em organizações pequenas, o proprietário pode ser o gerente, o responsável administrativo, o diretor de serviços ou o fornecedor externo, mas essa responsabilidade tem de estar documentada.

Também deve incluir estado de manutenção. Um website em WordPress com plugins desatualizados, uma VPN sem MFA (Multi-Factor Authentication) ou um servidor sem updates de segurança são ativos com risco acrescido. A maturidade melhora quando o inventário passa a alimentar decisões: o que atualizar primeiro, que contas remover, que contratos rever e que sistemas colocar em backup.

Impacto prático

Para organizações portuguesas - algumas delas - com baixa maturidade digital, o inventário de ativos reduz incerteza. Facilita a conversa com fornecedores, melhora a resposta a incidentes e evita surpresas em auditorias, seguros ciber ou processos de conformidade.

Também ajuda a administração a tomar decisões com base em risco real. Em vez de investir em ferramentas isoladas, a organização percebe que um domínio sem controlo, um backup não testado ou uma conta administrativa partilhada pode representar mais risco do que uma ameaça sofisticada.

À medida que a transposição nacional da NIS2 for consolidada, entidades abrangidas deverão conseguir demonstrar que conhecem os seus sistemas, avaliam riscos e aplicam medidas proporcionais. O inventário é uma evidência simples, mas poderosa, dessa governação.

Checklist simples

• Listar sistemas críticos, websites, emails, aplicações cloud, servidores e equipamentos de rede.
• Identificar proprietário interno e fornecedor responsável por cada ativo.
• Registar que dados são tratados em cada sistema, incluindo dados pessoais.
• Assinalar ativos sem MFA, sem atualizações, sem backup ou sem contrato claro.
• Rever contas administrativas e acessos de fornecedores.
• Classificar impacto: baixo, médio, alto ou crítico para a operação.
• Atualizar o inventário pelo menos trimestralmente e sempre que entra um novo sistema.

Conclusão

O inventário de ativos é uma medida simples, mas estruturante. Antes de comprar novas soluções, as organizações devem saber o que têm, quem gere, que dados suporta e que risco representa. Esse é o primeiro passo sério para uma cibersegurança compatível com a NIS2.