Inventário de ativos institucionais: por que o PPSI 2.0 e o CIS Controls comecam por aqui

Existe uma razão para o CIS Controls v8.1 começarem pelo Controle 1 — Inventário de Ativos Institucionais. A premissa é simples e absoluta: não é possível proteger o que não se sabe que existe.

Para o PPSI 2.0, essa lógica é traduzida em obrigação formal. A medida 1.1 exige que todo órgão público federal estabeleça e mantenha um inventário preciso e detalhado de todos os ativos institucionais que realizam tratamento de dados — com atualização semestral mínima e capacidade de identificar ativos não autorizados.

Na prática, a maioria dos órgãos públicos não tem esse inventário atualizado. Os dispositivos aparecem e desaparecem da rede. Notebooks vão para home office e voltam. Smartphones corporativos são trocados sem baixa formal. Tablets emprestados entre setores nunca chegam a ser registrados. O Controle 1 exige que esse cenário mude.

O que o inventário precisa conter

O PPSI 2.0 e o CIS Controls são específicos sobre o que deve constar no inventário de cada ativo:

Campo obrigatório	Por que é necessário
Endereço de rede (se estático)	Identifica o ativo na rede e detecta conexões não autorizadas
Endereço de hardware (MAC)	Identifica o ativo físico independentemente de reconexões ou mudanças de IP
Nome do ativo	Permite rastrear o dispositivo em logs e relatórios de auditoria
Proprietário	Define responsabilidade formal sobre o ativo — essencial para conformidade
Unidade organizacional	Organiza o inventário por setor e facilita auditorias internas
Status de autorização	Indica se o ativo está autorizado a conectar-se a rede institucional

Além desses campos básicos, o inventário deve incluir ativos conectados fisicamente, virtualmente, remotamente e em ambientes de nuvem — e contemplar dispositivos que se conectam regularmente mesmo que não estejam sob controle direto do órgão.

Quais tipos de ativos precisam estar no inventário

• Dispositivos de usuário final: desktops, notebooks, smartphones e tablets usados por servidores públicos;
• Dispositivos de rede: roteadores, switches, firewalls e pontos de acesso sem fio;
• Servidores: físicos, virtuais e em nuvem — incluindo containers temporários;
• Dispositivos IoT e não computacionais: impressoras, smart TVs, câmeras e qualquer equipamento com capacidade de conexão a rede;

O que muitos órgãos ignoram: Dispositivos portáteis — especialmente smartphones e tablets — são os mais difíceis de rastrear. Conectam-se a rede, ficam fora por semanas e voltam. Sem uma plataforma que registre conexões automaticamente, eles aparecem e somem do inventário sem deixar rastro.

Por que planilhas não funcionam para o Controle 1

É comum que órgãos públicos mantenham o inventário de TI em planilhas ou em sistemas de patrimônio que não se integram a rede. Esses inventários falham no Controle 1 por três razões fundamentais:

• Atualização manual: depende de alguém lembrar de registrar quando um dispositivo é adquirido, redistribuído ou descartado — o que raramente acontece sistematicamente;
• Sem detecção de ativos não autorizados: uma planilha não identifica quando um dispositivo não catalogado se conecta a rede. Apenas registra o que foi inserido manualmente;
• Sem evidência auditável: o PPSI 2.0 exige que o inventário seja auditável — ou seja, que seja possível provar quando foi atualizado, quem atualizou e qual era o estado da frota em um determinado momento;

O que o Controle 1 exige além do inventário básico

A medida 1.2 (GI1) exige que o órgão tenha um processo formal para tratar ativos não autorizados encontrados na rede. As opções previstas no framework são:

• Remover o ativo da rede;
• Negar sua conexão remota;
• Colocar em quarentena até validação;

Para organizações em GI2, a medida 1.3 exige uso de ferramenta de descoberta ativa — configurada para rodar diariamente ou em intervalos menores — que identifica automaticamente ativos conectados. A medida 1.4 exige uso de logs de servidores DHCP para atualizar o inventário automaticamente.

Como uma plataforma UEM automatiza o Controle 1

Uma plataforma de gestão de dispositivos (UEM/MDM) resolve os três problemas fundamentais do inventário manual:

Problema do inventário manual	Como a UEM resolve
Atualização manual e esquecida	Registro automático de todos os dispositivos no momento do enrollment
Sem detecção de ativos não autorizados	Alertas quando dispositivos não gerenciados tentam acessar recursos corporativos
Sem evidencia auditável	Log de histórico completo de cada dispositivo — quando entrou, saiu, quais políticas recebeu
Inventário desatualizado	Sincronização continua de status: SO, versão de app, último acesso, localização se habilitada
Sem visibilidade de remota/nuvem	Cobre dispositivos em home office e em campo da mesma forma que dispositivos na sede

O que o órgão precisa ter para passar por uma auditoria do Controle 1

Para comprovar conformidade com o Controle 1 do PPSI 2.0, o órgão precisa conseguir apresentar:

• Lista completa de todos os ativos com os campos obrigatórios preenchidos;
• Data da última atualização do inventário — semestral e o mínimo;
• Evidência de que ativos não autorizados são identificados e tratados;
• Histórico de ativos que entraram e saíram do inventário;
• Relatório de ativos desatualizados ou fora de conformidade;

Sem inventário, nenhum outro controle funciona: O Controle 1 não é apenas o primeiro — ele é o pré-requisito de todos os outros. Configuração segura (Controle 4), gestão de vulnerabilidades (Controle 7) e defesa contra malware (Controle 10) só fazem sentido se o órgão sabe exatamente quais dispositivos precisam receber essas políticas.

Conclusão

O inventário de ativos não é burocracia — é a base técnica de toda a segurança da informação. Sem ele, o órgão não consegue aplicar políticas, detectar intrusões, comprovar conformidade nem responder a incidentes com eficácia.

O PPSI 2.0 coloca o Controle 1 no topo da lista por uma razão: é o ponto de partida de tudo. E a única forma de implementá-lo de forma confiável é com ferramenta adequada — não com planilha.

Inventário automático, conformidade real: A plataforma Urmobo registra automaticamente todos os dispositivos da frota, mantendo inventário atualizado e auditável com histórico completo de cada ativo — cobrindo diretamente o Controle 1 do PPSI 2.0 e do CIS Controls v8.1. Fale com a Urmobo e entenda como acelerar a conformidade do seu órgão.

FAQ

O que é um ativo institucional segundo o PPSI 2.0?

Qualquer ativo com potencial de tratar dados: dispositivos de usuário final (notebooks, smartphones, tablets), dispositivos de rede (roteadores, switches), servidores e dispositivos IoT.

Com que frequência o inventário precisa ser atualizado?

O PPSI 2.0 exige atualização semestral como mínimo (medida 1.1, GI1). Para organizações em GI2, a descoberta ativa deve rodar diariamente (medida 1.3).

Uma planilha de Excel é suficiente para o Controle 1?

Não. Planilhas não detectam ativos não autorizados, não tem histórico auditável e dependem de atualização manual. O PPSI 2.0 exige inventário auditável e processo para tratamento de ativos não autorizados — o que requer ferramenta adequada.

O que acontece com ativos não autorizados detectados na rede?

O PPSI 2.0 exige processo formal para tratá-los: remoção da rede, negação de conexão remota ou quarentena. A escolha depende da politica do órgão, mas o processo precisa ser documentado.

Dispositivos em home office precisam estar no inventário?

Sim. O Controle 1 exige que o inventário inclua ativos conectados fisicamente, virtualmente ou remotamente — o que abrange todos os dispositivos em trabalho remoto.

Fonte de referência: Guia do Framework PPSI 2.0, Controle 1 — Inventário de Ativos Institucionais. Secretaria de Governo Digital.