A importância de se classificar a informação corretamente.
26/11/2019
voltar
Porque classificar a informação ?
Nos dias atuais estamos inseridos no contexto da era da informação onde a cada segundo somos inundados por informações oriundas de inúmeras fontes. Tais informações na maioria das vezes se tornam desnecessárias ou sem importância para o nosso dia a dia.
Porém, tal situação deve ser encarada com um pouco mais de seriedade dentro das empresas, sendo elas do tamanho que forem e do nível e nicho de atuação nas quais praticam suas atividades comerciais e econômicas.
A correta classificação da informação dentro de uma empresa pode até certo ponto definir o sucesso ou o fracasso da mesma.
Ao classificarmos, as informações são agrupadas, organizadas e hierarquizadas para controlar com maior nível de assertividade, eficiência e menor custo de manuseio e armazenamento.
Ao classificar a informação quanto à confidencialidade, é definido o grau de confidencialidade e os grupos de acesso atribuídos à informação, garantindo o acesso autorizado às informações e protegendo-as adequadamente.
Lembrando que a segurança da informação baseia-se nos conceitos (pilares) de:
- CONFIDENCIALIDADE
A confidencialidade tem a ver com a privacidade dos dados da organização. Esse conceito se relaciona às ações tomadas para assegurar que informações confidenciais e críticas não sejam roubadas dos sistemas organizacionais por meio de cyber ataques, espionagem, entre outras práticas.
Por exemplo: A ficha médica de um paciente
- INTEGRIDADE
Integridade corresponde à preservação da precisão, consistência e confiabilidade das informações e sistemas pela empresa ao longo dos processos ou de seu ciclo de vida.
É importante que os dados circulem ou sejam armazenados do mesmo modo como foram criados, sem que haja interferência externa para corrompê-los, comprometê-los ou danificá-los.
Por exemplo: O Laudo médico de um exame realizado pelo paciente.
- DISPONIBILIDADE
A disponibilidade está relacionada ao tempo e à acessibilidade que se tem dos dados e sistemas da empresa, ou seja, se eles podem ser consultados a qualquer momento pelos colaboradores.
Por exemplo: Servidor de Arquivos ou um ERP da empresa.
- AUTENTICIDADE
A fim de garantir que as informações sejam provenientes de uma fonte confiável foi estabelecido esse conceito.
Para isso, é preciso manter um registro de autor de determinada informação, a fim de atestar sua veracidade e legitimidade.
Por exemplo: A fonte de uma matéria jornalística ou o texto de uma lei.
- IRRETRATABILIDADE (ou não repúdio)
Para impedir que algum usuário negue a autoria de determinada informação, garantindo assim a sua autenticidade, foi criado esse pilar.
Assim, nem autor ou receptor poderão contestar qualquer transação de dados realizada por eles.
Por exemplo: Envio de mensagens entre dois indivíduos.
- CONFORMIDADE
A segurança da informação também deve assegurar que seus processos obedeçam as leis e normas regulamentadas.
Por conta disso, foi também estabelecido o pilar da conformidade, garantindo que sejam seguidos os devidos protocolos, dentro do setor.
Por exemplo: Uma guia de recolhimento de um determinado imposto deve ser armazenado e que esteja disponível um tempo determinado.
Em relação à classificação da informação, a norma NBR ISO/IEC 27002:2013 em seu conteúdo, recomenda:
- Que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada;
- Que a classificação e os controles de proteção, associados para a informação (e outros ativos), leve em consideração as necessidades do negócio para compartilhar ou restringir a informação bem como os requisitos legais;
- Que os proprietários de ativos de informação sejam responsáveis por sua classificação;
- Que o esquema de classificação inclua convenções para classificação e critérios para análise crítica da classificação ao longo do tempo;
- Que o nível de proteção seja avaliado por meio da análise da confidencialidade, integridade e disponibilidade e quaisquer requisitos considerados para a informação;
- Que o esquema esteja alinhado com a política de controle de acesso;
- Que a cada nível seja dado um nome que faça sentido no contexto do esquema de classificação;
- Que o esquema seja consistente em toda a organização de forma que cada pessoa possa classificar a informação e os ativos relacionados da mesma forma, e tenham um entendimento comum dos requisitos de proteção e que apliquem a proteção apropriada;
- Que a classificação seja incluída nos processos da organização;
- Que os resultados da classificação indiquem o valor dos ativos em função da sua sensibilidade e criticidade para a organização, em termos da confidencialidade, integridade e disponibilidade;
- Que os resultados da classificação sejam atualizados de acordo com as mudanças do seu valor, sensibilidade e criticidade ao longo do seu ciclo de vida.
Grupos de classificação das Informações:
- Informação Pública: não exige sigilo e pode ser divulgada para o ambiente interno e externo, sem impactos para os negócios.
Por exemplo: materiais publicitários (folders, panfletos, banners), Postagens em redes sociais.
- Informação Interna: é vital manter sua integridade. As informações internas não são críticas, mas o acesso externo dos dados que compõem esse tipo de informação deve ser evitado.
Por exemplo: benefícios que a organização oferece aos colaboradores.
- Informação Confidencial: Pode comprometer as operações da organização, tanto em nível financeiro como em competitividade.
Por exemplo: dados pessoais de colaboradores e clientes, salários, estratégias de mercados, senhas, etc.
A partir da classificação da informação, é possível determinar os processos de armazenamento ou ciclos de descarte desta informação.
Lembrando que segundo a lei algumas informações devem ser mantidas/armazenadas pelo “x” tempo em que a lei determina (princípio da conformidade).
Fonte: NBR ISO/IEC 27002:2013
voltar