Métricas ISO 27002 - Domínio: Gerenciamento de Ativos

Quanto aos controles propostos no domínio "Gerenciamento de Ativos" da ISO 27002, segue uma sugestão de indicadores. A definição de "ativos" é bem ampla, mas basicamente me refiro a: Informações (podem ser relatórios, arquivos de dados, contratos, procedimentos/políticas, etc), Softwares (aplicações, sistemas operacionais, aplicativos de desenvolvimento e ferramentas computacionais em geral), Dispositivos (computadores, impressoras, equipamentos de conectividade, mídias de armazenamento, etc), Serviços de Apoio (equipamentos de iluminação, ar condicionado, geração e armazenamento de energia, etc), Intangíveis (marcas e reputação) e Pessoas.

É importante reforçar que nem todos os controles propostos pela norma se aplicam a todo tipo de empresa. Tudo vai depender da área de atuação e do apetite ao risco da Alta Administração. Esta definição deve ser realizada no momento de implantação de um SGSI (Sistema de Gestão de Segurança da Informação).
Voltando aos indicadores, segue uma tabela com a sugestão para acompanhamento deste domínio da ISO 27002.

Norma ISO 27002 – Domínio 3 - “Gerenciamento de Ativos”
Indicador	Propósito	Fonte	Frequência
Quantidade (#) de ativos classificados.	Obter a quantidade total de ativos classificados, de acordo com labels pre-definidos.	Inventário de Classificação de Ativos.	Semestral
Percentual (%) de Termos de Responsabilidade de uso de equipamentos, assinados pelos colaboradores.	Identificar a aderência dos colaboradores aos Termos de Responsabilidade de uso de equipamentos (laptops, celulares, etc).	Relação de Termos de Responsabilidade de uso.	Semestral