O objetivo desta seção é orientá-lo sobre a gestão de ativos no módulo Organização.
Um ativo é qualquer recurso que tenha valor para a organização e cujos riscos devem ser gerenciados. No sistema, os ativos são classificados por tipo: tecnologia, processo, pessoa, ambiente ou quaisquer tipos customizados criados da seção Tipos de Objeto do módulo Administração. Os ativos de uma organização podem ser representados através de uma estrutura organizacional, onde são ordenados hierarquicamente para possibilitar associações a outros tipos de elementos no sistema.
Dentre os elementos que formam a estrutura organizacional estão, além dos ativos, a própria organização e os perímetros. A organização representa uma empresa, um órgão ou uma corporação e é o elemento raiz da estrutura. Já os perímetros são fronteiras físicas ou lógicas da organização e permitem uma melhor disposição dos ativos na estrutura organizacional. Os perímetros podem ser criados imediatamente abaixo do objeto que representa a organização, e ainda é possível criar perímetros dentro de perímetros. Os ativos, por sua vez, são criados sempre dentro de perímetros e não é possível criar ativos diretamente abaixo do objeto que representa a organização.
Como existem várias fontes de riscos e a maneira de analisar esses riscos pode requerer diferentes especialistas e diferentes knowledge bases, o sistema permite que um ativo seja dividido em um ou mais componentes. Desse modo, cada componente de ativo poderá ser analisado individualmente, pois haverá um conjunto de boas práticas, denominado knowledge base, associado diretamente a ele. Mais adiante, veremos que não se analisa o risco de um ativo diretamente, o que se analisa é o risco dos seus componentes. Cada ativo pode ter diversos componentes, mas um componente de ativo só poderá pertencer a um único ativo. O risco dos ativos é sempre obtido por consolidação dos riscos encontrados em seus componentes analisados. Da mesma forma, métricas de risco também podem ser obtidas por consolidação para os perímetros onde ficam os ativos. Para obter mais informações sobre métricas de risco, veja o Capítulo 5: Riscos -> Métricas de risco.
A associação entre um componente de ativo e um knowledge base que contém as boas práticas (controles) que serão utilizadas para medição dos seus riscos é feita durante o cadastro do componente. Da mesma forma como existem ativos de diversos tipos, também existem tipos diferentes de knowledge bases.
Embora o sistema permita livre associação entre componentes de ativo e knowledge bases de qualquer tipo, como regra geral, o tipo do knowledge base deve ser compatível com o tipo do componente de ativo. Por exemplo, um componente de um ativo do tipo pessoa deve, em geral, ser associado a um knowledge base do tipo pessoa; um componente de um ativo do tipo tecnologia deve ser associado a um knowledge base do tipo tecnologia, e assim por diante.
A figura abaixo mostra de forma simplificada as relações entre perímetros, ativos, tipos de ativo, componentes de ativo, knowledge bases e seus tipos.
É importante ressaltar que a estrutura organizacional não é um "inventário patrimonial" completo, ou seja, não é necessário cadastrar todos os ativos existentes na organização, mas apenas aqueles para os quais se pretende gerenciar os riscos.