Classificao da Informao

Bruno Reis, Jimmy Costa Mota, Patryck Pabllo Borges de Oliveira.

Universidade Catlica de Braslia (UCB), Campos Universitrio II, SGAN 916 Mdulo B
Braslia DF Brasil.
{bruno_p_reis@hotmail.com, heydjo@yahoo.com.br, patryckpabllo}

Abstract. Information classification is of utmost value to the organizations
because it allows the organization to direct its resources for information security.
By knowing the integrity, availability and confidentiality levels of each piece of
information the organization is able to create optimized and specific security
policies. This article shows a way to classify the information into an organization,
by identifying specific criteria and relevant practices. It also defines suggestions
of practices that can be taken to implement information security to each
suggested level of classification.

Resumo. A classificao da informao fundamental para que as organizaes
possam direcionar os seus recursos para sistemas de segurana. Sabendo o nvel
de disponibilidade, confidencialidade e integridade das informaes com quais a
organizao trabalha, esta pode gerar polticas de segurana da informao
otimizadas e especficas para cada recurso. Este texto mostra uma forma de se
classificar a informao de uma empresa, se identificando os critrios e prticas
relevantes. Ele tambm define idias de prticas que podem ser tomadas para
implementar a segurana da informao aos diversos nveis de classificao
sugeridos.
1. Introduo
Diversos procedimentos so adotados constantemente pelas organizaes para garantir a
segurana das informaes. Salas-cofre, sistemas de criptografia, polticas e treinamento de
funcionrios e muitos outros procedimentos so adotados constantemente pelas
organizaes que para isso investem grandes quantias de dinheiro. Entretanto nem sempre
esse dinheiro bem investido pois muita informao desnecessria pode ser guardada por
estes procedimento. Um exemplo pode ser um servidor de e-mail com e-mails pessoais,
mantido dentro de uma poltica de backup e segurana rgida.
O fato que para implementar uma boa poltica de segurana necessrio se conhecer a
importncia das diversas informaes recebidas,utilizadas, armazenadas e transmitidas pela
organizao. a isto que este trabalho se prope, uma metodologia para classificao das
informaes de uma organizao. Isto visa facilitar o trabalho de segurana, permitindo se
definir o nvel de segurana que deve ser utilizado no armazenamento e transmisso das
informaes por esta metodologia categorizadas.

Este trabalho faz com que a organizao economize e direcione melhor os seus recursos
com segurana da informao. Esta classificao da informao serve tambm para a
organizao conhecer melhor a o escopo, as rotas e necessidades de informao com que
trabalha podendo fazer com que a informao tenha o fluxo necessrio para o bom
desenvolvimento dos seus trabalhos. Ou seja, este trabalho facilita tambm que a
informao esteja mais disponvel na hora certa e para a pessoa certa.

2. A Importncia da Informao
A informao se situa entre o que podemos chamar de dado puro e o conhecimento. Ela
consiste em um dado com uma interpretao sobre ele e, assim como o conhecimento,
muito importante nesta era atual, que vem sendo denominada de era da informao.
Vejamos dois paradigmas desta era que a primeira vista podem at parecer paradoxal:

Na sociedade da informao, a informao o principal patrimnio da empresa e
est sob constante risco, precisando assim ser seguramente armazenada e protegida.

Na sociedade da informao, a informao o principal ativo da empresa e precisa
ser constantemente disseminada e trabalhada.
Estas idias tm em comum o reconhecimento que o uso efetivo da informao permite
que uma organizao aumente a eficincia de suas operaes e representa um diferencial
competitivo em relao aos concorrentes. Nesta era costuma se dizer que uma organizao
as duas ou trs coisa que ela faz de melhor. Isto quer dizer que o mais importante para a
organizao todo o conhecimento e as informaes que ela tem relativos aos processos do
seu negcio especfico. Aqueles que conhecem melhor da sua rea tem mais ferramentas,
que no caso so as informaes, para se desempenharem melhor.
Assim sendo ambos os paradigmas citados acima so verdadeiros e devem ser considerados
para o bom desempenho da empresa. A informao que deve ser protegida com riscos de
causar danos nas operaes da empresa caso seja transmitida a quem no for autorizado e
h a informao que deve ser disseminada, tambm com riscos de causar danos as
operaes da empresa caso no chegue ao seu destinatrio, ou no esteja disponvel na hora
certa.
3. Classificando a Informao
Existem quatro aspectos importantes para a classificao das informaes. Cada tipo de
informao deve ser examinado a partir desses aspectos para poder ser mais bem
classificada:

Integridade a informao atual, completa e mantida por pessoas autorizadas.


Disponibilidade - a informao est sempre disponvel quando necessria ao pessoal
autorizado.

Confidencialidade a informao s acessada pelos indivduos autorizados.

Valor a informao tem um alto valor para a organizao.

Outro fator que deve ser considerado ao se gerar uma poltica de segurana o nvel
de ameaa conhecido que cada informao tem. Para isso devem ser respondidas questes
como: Existem concorrentes buscando a informao? possvel que ela fique indisponvel
e por qual motivo isso pode acontecer? uma informao fcil de perder a integridade,
ficar desatualizada?
4. Nveis de Segurana
Com base na anlise dos parmetros acima podemos chegar ao nvel de segurana da
informao. Um nivelamento de segurana pode seguir a seguinte classificao:

Irrestrito Esta informao pblica, podendo se utilizada por todos sem causar danos
organizao.

Interna Esta informao aquela que a organizao no tem interesse em divulgar, cujo
acesso por parte de indivduos externos a ela deve ser evitado. Entretanto, caso esta
informao seja disponibilizada ela no causa danos srios organizao.

Confidencial Informao interna da organizao cuja divulgao pode causar danos
financeiros ou imagem da organizao. Essa divulgao pode gerar vantagens a eventuais
concorrentes e perda de clientes.

Secreta Informao interna, restrita a um grupo seleto dentro da organizao. Sua
integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta
a informao considerada vital para a companhia.

Para podermos chegar nestes nveis de segurana pode nos guiar tambm pela seguinte
tabela apresentada por [Peltier]




Confidencialidade Integridade Disponibilidade
Alta Confidencial Confidencial Crtica
Mdia Interna Interna Moderada
Baixa Pblica Pblica Baixa

O que devemos notar que o nvel de segurana pode ser aumentado tanto pela
necessidade de confidencialidade quanto pela de disponibilidade. Uma informao que
deve estar sempre disponvel deve ter um servio robusto trabalhando para isso, assim
como uma informao confidencial tambm. E existem ainda os casos onde estes fatores se
somam. Por exemplo, uma informao pode ter requisitos de confidencialidade mdia, mas
integridade alta. Assim o nvel de segurana da informao deve ser definido levando em
conta todos estes fatores em conjunto e no apenas um deles isoladamente. E para isso
surge a prxima questo que quem define este nvel.

5 Estabelecendo Responsabilidades
Para definir o nvel de segurana da informao de cada setor da organizao a pessoa mais
indicada o prprio responsvel daquele setor. Ele quem certamente conhece melhor as
informaes do seu setor assim como as necessidades de confidencialidade, integridade e
disponibilidade do setor.
Aps esta classificao ser feita tambm importante que algum de um nvel superior a
ele esteja verificando a classificao para garantir que as informaes que precisem
transitar entre os diversos setores no sejam demais protegidas e isoladas em um setor e
tambm que as informaes que no podem transitar estejam protegidas.
Alm do responsvel pela classificao preciso tambm estabelecer os responsveis pela
manuteno dos nveis de segurana definidos. Neste caso todos os funcionrios devem ser
envolvidos e deve ser criado um plano com um regime de responsabilidades claro e
disponvel para todos. Alm disso, deve ser feito um treinamento para passar os dados deste
plano e se possvel deve haver um supervisor que verifique a efetivao do plano nos
diversos setores da organizao.

6 Implementando a Classificao
Para a implementao da categorizao devem ser consideradas as seguintes
prticas:


Identificao/Marcao dos Recursos Informacionais;
Armazenamento da Informao;
Transmisso de Informaes;
Eliminao de Informao Desnecessria
Garantia da Integridade da Informao
Permisso de Acesso Apropriado
Estabelecimento de Responsabilidades

Vejamos alguns exemplos destas implementaes:

6.1 Para a Identificao/Marcao dos Recursos Informacionais

Tipo do Documento Procedimento
Documento em Papel
Caso seja gerado dentro da organizao deve
apresentar o nvel de segurana no rodap de
todas as pginas e na capa.
Caso venha de fora deve ser marcado com uma
etiqueta ou carimbo.
E-mail Deve ter o nvel de segurana identificado no
ttulo.
Documentos Eletrnicos. Deve conter o nvel de segurana na meta data
do documento.

Deve conter o departamento que criou o
documento e a data.

Caso seja um documento que venha a ser
impresso deve apresentar o nvel de segurana no
rodap de todas as pginas e na capa.


Dados, bancos de dados e
aplicaes.
Deve conter o nvel de segurana na meta data
do documento.

Os relatrios gerados devem seguir os padres
para documentos eletrnicos.
Outros tipos de mdia. A classificao de segurana deve ser visvel por
etiquetas ou outros recursos que se faam
necessrios



6.2 Para o armazenamento das informaes, de acordo com sua classificao.


Classifica
o
Impressos Documentos Eletrnicos
Irrestrito
Sem requisitos
especiais

backups regulares para garantir a
integridade e disponibilidade.

Protegido

Guardado em local
seguro (sala
trancada)


Armazenado em reas restritas do
sistema operacional.

Confidencial

Guardado em local
seguro com acesso
restrito.

Deve ter uma poltica
de mesa limpa

Armazenado em reas restritas do
sistema operacional com
verificao de senha.
Secreta Guardado em zona
segura com controle
de acesso.

Poltica de mesa
limpa.

Armazenado em reas restritas do
sistema operacional com
verificao de senha. Encriptado e
com trilhas de auditoria.


Trilha de acesso para
todos os pontos de
acesso (assinatura).




6.3 Para transmisso das informaes



Classifica
o
Impressos Documentos Eletrnicos
Irrestrito

Sem requisitos especiais


Sem requisitos especiais

Protegido
Envelope lacrado
Carta registrada.


Criptografia ou senhas em
arquivos transmitidos
Confidencial

Envelope lacrado
marcado com carimbo
confidencial
Notificao de
Recebimento.


Criptografia ou senhas em
arquivos transmitidos
utilizando uma rota segura.

Confirmao de recebimento
Secreta
Envelope com duplo lacre
transportado sob custdia.


Criptografia ou senhas em
arquivos transmitidos
utilizando uma rota segura.

Confirmao de recebimento

Auditoria completa do
processo



6.4 O descarte de informaes
O lixo de certas empresas pode vir a ser uma grande fonte de informaes confidenciais
caso as mesmas no se preocupem com o descarte das informaes. De nada adianta um
relatrio ser confidencial, acessado com uma boa senha e transmitido com criptografia
caso ele seja impresso e o papel jogado no lixo sem as informaes serem eliminadas.
Assim toda mdia impressa que contenha informaes relevantes deve ser destruda
antes de ser descartada. Isso pode ser feito por picotadores de papel.

6.5 Protegendo a integridade
Para a proteo da integridade nos documentos eles devem todos conter informaes
que identifiquem sua origem assim como um carimbo caso se faa necessrio. No caso
de documentos eletrnicos eles devem ser controlados atravs de esquemas de
permisso de acesso, restringindo a possibilidade de gravao aos usurios autorizados.
Caso a necessidade de integridade seja alta, certos documentos devem ser armazenados
em uma localizao central, s podendo ser retirados sob-custdia e com tempo
limitado.

6.6 O acesso as informaes
O acesso s informaes deve ser feito de acordo com as polticas estabelecidas para o
armazenamento das mesmas.

6.7 Responsabilidades
Aps as responsabilidades serem estabelecidas e definidas e os treinamentos serem feito
cada funcionrio deve assinar um termo de responsabilidade indicando sua
concordncia com a poltica estabelecida.


7 Um Processo para a Implementao da Classificao
Para implantar a classificao proposta, considerando as prticas acima,
podemos seguir os seguintes passos:
Inventrio
Classificao de Risco
Definir Poltica da Organizao
Definir Polticas por Projetos
Implementao de Prticas de Segurana
Treinamento
Identificao (marcao)
Monitoramento

8 Concluses
Com uma boa classificao das informaes a organizao no s poder ter uma
boa e otimizada poltica de segurana da informao como tambm ter outros
benefcios. Ela poder conhecer melhor os seus processos, pois se ver forada a
fazer um inventrio das informaes, poder tambm conhecer as informaes que
precisa disponibilizar para seus clientes e que ainda no tm um canal apropriado
para isso.
Porm o trabalho de classificao da informao um trabalho maior do que pode
parecer a primeira vista pois envolve todos os departamentos de uma organizao
assim como seus responsveis, alm disso pode mexer ou expor algumas estruturas
de poder dentro da organizao.
Assim sendo este trabalho deve ser feito por uma equipe competente e
diversificada onde haja um patrocinador da alta gerncia com motivao
suficiente para poder tocar o projeto pois caso contrrio o mesmo est sujeito
a no ter o sucesso esperado.




9 Referncias


[PELTIER] PELTIER, Tomas R., Standardinzing Information Classification,
Disponvel em:
http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci995767,00.html?Offer=SEc
pcc42005

[DAVENPORT] DAVENPORT, T.H., Ecologia da Informao: porque s a
tecnologia no basta para o sucesso da era da informao, Trad. Bernadete Siqueira.
So Paulo, 1998.

[ABREU] ABREU, Dimitri., Melhores Prticas para Classificar as
Informaes. Mdulo e-Security Magazine. So Paulo, agosto 2001. Disponvel em:
http://www.modulo.com.br

[SECURENET] SECURENET, Gerindo Prticas de Segurana da Informao, Abril
2001, Disponvel em http://www.securenet.com.br/artigo.php?artigo=94