Classificao da Informao O processo de classificao da informao consiste em identificar quais so os nveis de proteo que as informaes demandam e estabelecer classes

e formas de identific-las. Alm de determinar os controles de proteo necessrios a cada uma delas. O fato de algumas informaes demandarem mais protees que outras cria dois cenrios indesejveis que as organizaes buscam evitar: Informaes sensveis ou crticas sem nveis de proteo adequado, geralmente incidentes de segurana que trazem prejuzos e comprometem a eficcia das operaes; Informaes que no precisam de proteo, sendo protegidas de forma excessiva, consumindo recursos de forma desnecessria e direcionando erroneamente o escasso oramento de segurana 1.1 - Proteo Quando adotamos uma viso de proteo focada unicamente nas ameaas e nas vulnerabilidades que um local o um sistema possuem, corremos um grande risco de no estarmos protegendo a informao mais criticas e sensveis ao longo de todo o seu ciclo de vida. Esses ciclos possuem diversas fases, desde a criao e o descarte, passando pela manipulao, processamento, armazenamento etc. A melhor forma de protegermos as informaes justamente pela adoo de uma abordagem que analisa as demandas de segurana pela tica do prprio ativo e suas necessidades. Dessa forma, podemos combinar diversos mecanismos e obtermos nveis de proteo uniformes independentes da forma como a informao est sendo usada 1.2 - Economia Quando maior o nvel de proteo que um controle oferece. Maiores so os custos financeiros em termos de aquisio e manuteno. Controles costumam trazer custos indiretos como perda de produtividade e outras inconvenincias. 1.3 - Benefcios O Processo de classificao da Informao traz diversos benefcios para uma organizao. Dos benefcios mais tangveis e mensurveis podemos dizer : 1.3.1 Conscientizao O Programa de Classificao da Informao requer o envolvimento de praticamente de todas as pessoas dentro da organizao. Esse envolvimento faz com que as pessoas tenham uma dimenso maior das dificuldades de proteger os ativos de informao e da infinidade de situaes que podem comprometer essa proteo 1.3.2 Responsabilidades A Classificao da Informao necessita de uma diviso e atribuio de responsabilidades para poder trabalhar. Essas responsabilidades dizem a respeito a quem deve classificar, quem deve proteger e que cuidados os usurios devem tomar , entre outras coisas. A definio desses papeis distribui o peso da proteo entre os colaboradores de uma organizao, fazendo com que todos fiquem responsveis por ela. 1.3.3 Nveis de proteo A atribuio de responsabilidades e melhora da conscincia dos colaboradores faz com que eles mesmos tragam situaes que demandam proteo e que , muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteo. Ningum conhece melhor o fluxo das informaes que as pessoas que fazem uso delas 1.3.4 Tomadas de decises Quando as informaes so bem categorizados no ponto de vista da segurana, o processo de tomada de decises, sejam relacionadas a Gesto de SI ou a prpria organizao, extremamente beneficiado.

1.3.5 Uso dos recursos Recursos desperdiado em um controle normalmente fazem falta em um outro lugar no qual, a organizao ter uma situao inversa, isto , falta de controle de informaes criticas que esto armazenadas junto com outras que no precisam de proteo. 1.4 - Exemplos As informaes so classificadas mediante sua necessidade de sigilo. Porm uma organizao tambm pode elaborar procedimentos para classific-las perante suas necessidades de integridades e disponibilidades Decreto 4.553 Casa Cvel nveis de classificao em nvel federal Cada nvel de classificao criado visando a um tipo de informao, temos que desenvolver critrios para avaliar uma informao Exemplos de Rtulos Governo Brasileiro Ultra-Secreto Secreto Confidencial Reservado Empresas Privadas Interna Pblica Restrita Privada

2 - Conceitos 2-1 - Poltica de Classificao da Informao A Classificao da Informao deve ser constituda por uma poltica , nesse caso a Politica de Classificao da informao o nome utilizado para refenciar o conjunto de normas , procedimento e instrues existente na poltica de Segurana da Informao Por meio do uso dessa poliitca que definimos quais os tipos de classificao existentes, com seus respectivos critrios de avaliao e proteo, alm das responsabilidades associados ao processo como um todo. O conjunto de documentos que tem apoio direto de alta direo da organizao , permitira mostrar comprometimento e definir todo o funcionamento das atividades relacionadas Classificao da informao 2.1.1 Need-to-Know Define a necessidade que uma pessoa possui , devido rotina diria de trabalho e desempenho de suas funes, de acessar determinadas informaes. Essa terminologia foi criado no ambiente militar / governo, podemos utiliza-las para fazer referncia . A necessidade que usurios de uma organizao possuem de acessar certas informaes. Esse conceito fundamental para entendermos Least privilege 2.1.2 Least Privilege So todas as pessoas devem ter todos os direitos de acesso necessrios para o desempenho de suas funes . Porm , nada mais que o mnimo deve ser permitido , Quando maior a exposio maiores sero os riscos associados a ela. O conceito de need-to-know , postulando que o conceito de privilgio mnimo garantir a todos os usurios que no tenham acesso a nada que no faa parte de seu nedd-to-know. 2.2 - Classificao

Desclassificao e Reclassificao Os dois procedimentos bsicos da Classificao da Informaes so a Classificao e a Desclassificao das informaes 2.2.1 Classificaes Atribuir um nvel de classificao a um informao , Faz com que as informaes passe a se sujeitar s protees especificas pelo nvel de classificao escolhido . Algumas organizaes optam por criar um nvel de classificao onde, a partir da implementao do progrma de CI, todas as informaes da organizao passam a se enquadrar nesse nvel. No existe o estado no-classificado , eliminando o processo de classificae e desclassificao. Nesse caso o procedimento de reclassificao permitido. 2.2.2 Reclassificao Alterao no nvel classificao de um informao . So nvel de proteo mais baixa, de forma a evitar o comprometimento da confidencialidade 2.2.3 Desclassificao Remoo do nvel de proteo. Aplicvel apenas quando o estado no-classificado for previsto . Pode ser feita de forma automtica, o prazo cairia de alguns anos para o nveis mais baixos de classificao at dcadas para os mais altos no setor governamental 2-3 - Papis de Responsabilidades Uma das principais funes da Classificao da informao definir e atribuir responsabilidades relacionadas a segurana diversas pessoas dentro de uma organizao . Esses papeis e responsabilidades variam de acordo com a relao que a pessoa tem com a informao em questo. 2.3.1 Proprietrio da Informao responsabilidade do proprietrio atribuir os nveis de classificao que uma informao demanda. Dessa forma ele tambm ser participado do processo de escolha dos nveis de proteo e ser tambm exposto ao processo de balancear as necessidades de proteo, com a facilidade de uso e o oramento disponvel para se investir em controles.

Exemplo : O papel de dono normalmente deve ser exercido por um gerente da rea cujas informaes so de sua responsabilidade direta Umas das responsabilidades do dono so a classificao /reclassificao /desclassificao das informaes, definir requisitos de proteo para cada nvel de classificao,, autorizar pedidos de acesso a informaes de sua propriedade e autorizar a divulgao de informaes 2.3.2 Custodiante aquele que zela pelo armazenamento e preservao de informaes que no lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de Arquivos ou cofres para armazenamento de ativos valiosos . Existe dois tipos de Custodiante : - O proprietrio de Aplicao Um profissional de perfil tcnico responsvel pela administrao e funcionamento de algum sistema , cabe a ele proteg-las e garantir que enquanto eles se encontrem sob sua responsabilidade os requisitos da classificao em termos de proteo estejam sendo obedecidos. - O proprietrio do Processo - a pessoa responsvel pelo processo de negcio, um exemplo um processo de emisso de nota fiscal , que so informaes sendo geradas e processadas ao longo do seu funcionamento. 2.3.3 Equipe de segurana o ponto de apoio das unidades de negcios de forma de desenvolver, implementar e monitorar estratgias de segurana que atendem aos objetivos da organizao, responsvel pela avaliao e seleo de controles apropriados para oferecer as informaes os nveis de proteo exigidos por cada classificao . Esse equipe no pode assumir a total responsabilidade pela proteo, j que deve ser compartilhada por todos. Cabe ela sim selecionar os melhores controles, conscientizar os usurios a respeito do seu uso, administr-los e monitor-las, alm de verificar se todos na organizao colaboram com as medidas. 2.3.2 Gerente de Usurios Responde pela ao de grupos de usurios de sua responsabilidade, alm dos funcionrios reponde pela ao dos visitantes, prestadores de servios que fazem o uso de informaes da organizao Desempenha outro papel fundamental que a solicitao, transferncia e revogao de IDs de acesso para os seus funcionrios. 2.3.4 Usurio oFinal Pessoal que faz uso constante das informaes e o que mais tem contato com elas , o responsvel pelo seguimento das recomendaes de segurana 3 - Implementao Vamos dar uma olhada agora nos aspectos prticos ligados a sua implementaes 3.1 - Identificando a situao atual O primeiro passo identificar quais os tipos de documentos que faro parte do escopo dos nossos trabalhos muitas das vezes esse o primeiro problema que nos deparamos na implementao : Falta uma definio clara dentro da organizao do que ou no um documento. Nem todas as informaes podem se enquadrar na categoria documento o programa de classificao se aplica aos documentos formais : relatrios , planos, projetos , atas etc .. Devemos tambm identificar as protees existentes hoje implantadas, bem como as pessoas que interagem com essas informaes e seus respectivos papis e responsabilidade A identificao das protees atuais permitir a elaborao posterior de um gap analysis no qual sero mapeados todos os controles faltantes para cada nvel de classificao. Essa anlise ser feita aps a classificao das informaes pelos seus proprietrios

Alm disso, as pessoas envolvidas tambm devem ser mapeadas, o que permitir a diviso correta de responsabilidades bem como a conscientizao 3.2 - Levantamentos de requisitos Uma vez identificados os ativos, devemos levantar os requisitos de proteo aos quais esses ativos esto sujeitos. Alm dos aspectos legais devemos levar em conta uma srie de outros detalhes que veremos a seguir: a) Requisitos legais Fator importante na identificao dos requisitos de proteo que uma dada informao precisa

atender olhar a legislao / regulamentao qual a organizao est sujeita, analisando-a em detalhes em busca de determinaes especficas sobre certos tipos de informaes b) Analise de Riscos A Analise de riso, depois dos aspectos legais, o passo mais importante no levantamento dos

requisitos de proteo. Os aspectos legais so inegociveis. J os aspectos mapeados na Analise e Avaliao de Riscos dependem de nosso discernimento, o que traz mais responsabilidades na tomada de decises. Durante analise, temos uma idia das principais ameaas s quais as informaes esto sujeitas alm do conjunto de protees como um todo. Outro fator extremamente importante levantado nesta etapa a quantificao de certos riscos, melhorando a eficincia do processo de tomada de deciso sobre as protees contra eles c) (BIA Business Impact Analysis ou Analise de impacto de negcios ) um processo executado normalmente (Business Continuity Plan ou Plano de continuidade de negcios) Sua finalidade

durante a elaborao e um BCP/PCN

avaliar nica e exclusividade os estragos causados por um evento indesejado., normalmente de grandes propores como um furao , uma inundao ou um apago . A principal diferena do BIA para uma analise de Riscos o fato que o primeiro no leva um conta a probabilidade de um evento ocorrer e sim as conseqncias que ele traria, bem como as necessidades do negcios termos de continuidades , enquanto as necessidades do negcios em termos de continuidade , enquanto que a Analise de Risco considera tanto a conseqncia quanto a probabilidade A respeito a classificao da informao, O BIA importante por nos ajudar a avaliar os requisitos em termos de disponibilidade d) Valorizao Pelo nome no precisa nem comentar muito , tudo aquilo que tem valor para a empresa , exemplo o

balano financeiro antes da sua publicao , ele tem o valor importante para os acionistas. difcil obter uma valorizao precisa, quase sempre, apenas uma estimativa j suficiente escolher protees adequadas. Custo de Aquisio: So informaes que podem ser adquiridas, isto comprada Custo de recriao: custo para produzir novamente uma documentao, como um relatrio, caso ele tenha sido perdido de uma maneira definitiva Vantagem competitiva:Permite que uma organizao tenha vantagem sobre outra em uma situao de competio. Situaes que pode ser uma lanamento de um produto, um Home Site, pesquisa de mercado etc.. Nesse caso o valor da informao normalmente avaliado perante o comprimento de sua confidencialidade. Existem muitas formas de estimar os prejuzos da divulgao no autorizada 3.3 - Desenvolvendo a Poltica de Classificao da Informao Uma vez levantados os requisitos que auxiliam na elaborao das classificaes, o passo seguinte elaborar a Poltica de CI, Ao elaborarmos a poltica, convm analisar as recomendaes da NBR ISSO /IEC 17799:2005 no que tange A classificao da informao , Essas recomendaes se encontram na Seo 7.2 Segue o trecho da norma 7.2 Classificaes da informao

Objetivo: Assegurar que a informao receba um nvel adequado de proteo. Convm que a informao seja classificada para indicar a necessidade, prioridades e o nvel esperado de proteo quando do tratamento da informao. A informao possui vrios nveis de sensibilidade e criticidade. Alguns itens podem necessitar um nvel adicional de proteo ou tratamento especial. Convm que um sistema de classificao da informao seja usado para definir um conjunto apropriado de nveis de proteo e determinar a necessidade de medidas especiais de tratamento. 7.2.1 Recomendaes para classificao Controle Convm que a informao seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organizao. Diretrizes para implementao Convm que a classificao da informao e seus respectivos controles de proteo levem em considerao as necessidades de compartilhamento ou restrio de informaes e os respectivos impactos nos negcios, associados com tais necessidades. Convm que as diretrizes para classificao incluam convenes para classificao inicial e reclassificao ao longo do tempo, de acordo com algumas polticas de controle de acesso predeterminadas (ver 11.1.1) Convm que seja de responsabilidade do proprietrio do ativo (ver 7.1.2) definir a classificao de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele est atualizado e no nvel apropriado. Convm que a classificao leve em considerao a agregao do efeito mencionado em 10.7.2. Convm que cuidados sejam tomados com a quantidade de categorias de classificao e com os benefcios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incmodo e ser inviveis economicamente ou impraticveis. Convm que ateno especial seja dada na interpretao dos rtulos de classificao sobre documentos de outras organizaes, que podem ter definies diferentes para rtulos iguais ou semelhantes aos usados. Informaes adicionais O nvel de proteo pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da informao, bem como quaisquer outros requisitos que sejam considerados. A informao freqentemente deixa de ser sensvel ou crtica aps um certo perodo de tempo, por exemplo quando a informao se torna pblica. Convm que estes aspectos sejam levados em considerao, pois uma classificao superestimada pode levar implementao de custos desnecessrios, resultando em despesas adicionais. Considerar, conjuntamente, documentos com requisitos de segurana similares, quando da atribuio dos nveis de classificao, pode ajudar a simplificar a tarefa de classificao. Em geral, a classificao dada informao uma maneira de determinar como esta informao vai ser tratada e protegida. 7.2.2 Rtulos e tratamento da informao Controle Convm que um conjunto apropriado de procedimentos para rotulao e tratamento da informao seja definido e implementado de acordo com o esquema de classificao adotado pela organizao.

Diretrizes para implementao Os procedimentos para rotulao da informao precisam abranger tanto os ativos de informao no formato fsico quanto no eletrnico. Convm que as sadas de sistemas que contm informaes classificadas como sensveis ou crticas tenham o rtulo apropriado da classificao da informao (na sada). Convm que o rtulo reflita a classificao de acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatrios impressos, telas, mdias magnticas (fitas, discos, CD), mensagens eletrnicas e transferncias de arquivos Convm que sejam definidos, para cada nvel de classificao, procedimentos para o tratamento da informao que contemplem o processamento seguro, a armazenagem, a transmisso, a reclassificao e a destruio. Convm que isto tambm inclua os procedimentos para a cadeia de custdia e registros de qualquer evento de segurana relevante. Convm que acordos com outras organizaes, que incluam o compartilhamento de informaes, considerem procedimentos para identificar a classificao daquela informao e para interpretar os rtulos de classificao de outras organizaes. Informaes adicionais A rotulao e o tratamento seguro da classificao da informao um requisito-chave para os procedimentos de compartilhamento da informao. Os rtulos fsicos so uma forma usual de rotulao. Entretanto, alguns ativos de informao, como documentos em forma eletrnica, no podem ser fisicamente rotulados, sendo necessrio usar um rtulo eletrnico. Por exemplo, a notificao do rtulo pode aparecer na tela ou no display. Onde a aplicao do rtulo no for possvel, outras formas de definir a classificao da informao podem ser usadas, por exemplo, por meio de procedimentos ou metadados. 3.3.2 - Estruturao O conjunto de documentos que determina e especifica a forma que a SI tratada na organizao dividido em trs nveis diretrizes, normas e procedimentos/Instrues .

A forma como a Classificao da Informao implementada em uma organizao depende das diretrizes da Polticas de SI e precisa esta alinhada com elas, sempre lembrar que a finalidade SI suportar o negcio da organizao , as diretrizes foram elaboradas pela alta direo em parceria com a rea de segurana justamente para deixar claro o que esperado O nvel mais alto de documento que compe a Poltica de CI a norma que define aspectos genricos como funcionar o programa e seus objetivos . Pelo Fato de ser uma norma , no devemos entrar muito em detalhes de como rotular uma informao , apenas informar os aspectos que constituem o programa , como por exemplo : Nveis de classificao Detalham quais os nveis de existentes e quais os critrios a serem analisados para a aplicao de um deles a uma dada informao Controles por classificao Detalham quais os controles devem existir para proteger as informaes classificadas sob um dado nvel. Durao Prazo de validade de cada um das classificaes Reclassificao Requisitos e permisses para a mudana nos nveis de classificao Papeis e mudanas Responsabilidades assumidas durante o trato das informaes Referencia aos procedimentos e instrues Na norma, referenciamos todos os procedimentos e instrues existentes que auxiliaro nos aspectos prticos e operacionais do programa de classificao 3.3.3 - Pontos de Ateno Existem alguns pontos que devem ser considerados, o primeiro o nvel padro de classificao para documentos no classificados. comum adotar uma estratgia na qual, os documentos no so analisados e classificados adequadamente, eles passam a se enquadrar em um nvel padro de classificao a parir da publicao da norma. Dessa forma, to logo o programa de classificao seja iniciado, todas as informaes estaro classificadas em um nvel intermedirio, a no seque algum analise e as tornem publicas ou ento atribua a elas um nvel de classificao ainda maior. Normalmente esse nvel de classificao-padro no exige maiores protees e tem por objetivos apenas definir todas as informaes como sendo no publicas at que algum diga ao contrrio 3.3.4 - Material de apoio para usurios Por fim, toda poltica s efetiva se for claramente comunicada s pessoas de uma organizao Quando o programa elaborado e as normas redigidas, devemos sempre ter em mente que a praticidade e a viabilidade so as coisas que devem termina mente perseguidas 3.3.5 - Treinamento de usurios O Treinamento de usurios a ultima fase da implementao , devemos ter em mente que diferentes pessoas desempenham papeis diferentes papis e possuem diferentes responsabilidades no processo classificao , por isso essa pessoal sejam treinadas de forma separada , pois a perspectiva do programa para um proprietrio de informao completamente diferente da de um custodiante ou usurio. Devemos, inclusive, iniciar a conscientizao por aqueles que tm as maiores responsabilidades e interesses associados ao programa, que so os proprietrios.

4 - Implementao das classificaes e dos controles Abaixo veremos alguns exemplos de controles disponveis para que possamos das s informaes classificadas o nvel de proteo que elas requerem 4.1 - Proteo de Dados Por proteo de dados entendemos a proteo de informaes que esto armazenadas em sistemas Tecnolgicas da Informao . Vale lembrar que as protees no so exclusivamente ligadas questo da confidencialidade, sendo a disponibilidade e a integridade tambm fatores importantes que merecem ateno e controle. 4.1.1 Criptografia Umas das principais tecnologias existentes hoje a servio da segurana da informao. Por meio do ouso de tecnologias criptogrficas possvel disponibilizar, de forma segura e eficaz, uma srie de servios. Os mas importantes so confidencialidade, integridade, autenticao , autenticidade e irretratabilidade (No repdio) . Alm disso, tecnologias de Digital Watermarking usam tcnicas de estenografia para permitir o rastreamento de um documento eletrnico que tenha vazado da organizao. 4.1.2 DRM (Digital Rights Management) Os sistemas de DRM so uma tecnologia relativamente recente e tem por finalidade a proteo de contedo protegido por diretos autorais. A maioria dos sistemas de DRM faz com que a informao seja codificada de forma que apenas as pessoas autorizadas possam l-la, por meio de uso de criptografia assimtrica. O DRM nada mais do que um conjunto de tecnologias implantadas em arquivos de computador para impedir que o usurio faa cpias do contedo. Ele pode ser utilizado tanto em msicas ou filmes digitais quanto em discos como CDs ou DVDs.

As lojas virtuais de mdia costumam usar o padro Windows Media para arquivos de udio ou vdeo, que usam um sistema DRM desenvolvido pela Microsoft. Quem compra mdia pela loja da Apple, a iTunes, costuma baixar msicas no padro AAC, que usa a tecnologia DRM FairPlay, da Apple. A proteo fica codificada dentro do arquivo ele consegue, por exemplo, reconhecer se foi copiado de um PC para outro, ou para um player digital, e a partir da restringir o nmero de cpias.

4.1.3 Backup Proteo contra problema de disponibilidade e integridade, Como maioria j Sab saio copia de segurana que tm por finalidade permitir que as informaes de um sistema possam ser armazenadas de maneira off-line, criando um mecanismo que permite recuper-la em caso de falha 4.1.4 Sistemas Redundantes- descreve a capacidade de um sistema em superar a falha de um de seus componentes atravs do uso de recursos redundantes, ou seja, um sistema redundante possui um segundo dispositivo que est imediatamente disponvel para uso quando da falha do dispositivo primrio do sistema.,Uma rede de computadores redundante caracteriza-se, pois, por possuir componentes como sistemas de ventilao e ar condicionado, sistemas operacionais, unidades de disco rgido, servidores de rede, links de comunicao e outros, instalados para atuarem como backups das fontes primrias no caso delas falharem. 4.1.5 Controle de Acessos Tecnologia que protegem os dados contra problemas de segurana relacionados quebra de confidencialidade e integridade, finalidade garantir que apenas usurios e processos autorizados tenham acesso a determinadas informaes e que possam executar apenas as aes previamente definidas 4.2 - Proteo Fsica Alm de proteger a informao no formato eletrnico, devemos proteg-lo tambm no formato fsico, guardando papis que contm informaes importantes, mdias etc.. Em locais protegidos e controlados. Abaixo os principais mecanismo de protees 4.2.1 Controle Acesso Fsico So dispositivos como catracas e portas de acesso inteligentes Server par controlar quais so as pessoal tm acesso a um determinado ambiente. Exemplo: Departamento financeiro no quais vrios analistas precisam ter acesso alguns processos que ambos analisam, mas no podem permitir que outras pessoas tenha conhecimento desses documentos 4.2.2 Cofres Dispositivos que controlam o cesso aos objetos que so armazenados dentro deles , ainda podem servir como um dispositivos de proteo contra eventos de segurana que prejudicam a disponibilidade de uma determinada informao 4.2.3 CFTV Circuito Fechado de TV pode ser usado para monitorar a eficincia de outrois dispositivos de controles de acess, alm de gerar imagens que podem ser utilizadas aps um incidente de segurana 4.2.4 Transporte Seguro Existe diferente tipo de categorizao de transporte vai de carro forte at um moto boy , s no podemos esquecer que tambm durante o transporte fsico , as informaes devem ser protegidas com mecanismos to seguros quanto aqueles que escolhemos para proteg-los quando as mesmas esto armazenadas em um sistema ou so transmitidas eletronicamente 4.3 - Controles Administrativos Como o procedimento devem ser executados e as necessidades de interao entre pessoas com diferentes responsabilidades para que esses procedimentos possam ser executados de forma segura e controlada . 4.3.1 Polticas O principal controle administrativo relacionado SI a Poltica de Segurana da Informao e, conseqentemente , a Poltica de Classificao da Informao. As Polticas tambm so responsvel pela criao de dispositivos de proteo jurdica, garantindo organizao direito de realizar legalmente aes no autorizadas. Por causa disso, possuem um forte efeito desencorajador. 4.3.2 Reviso e Aprovao Qualquer ao individual que tenha uma maior relevncia do ponto de vista de segurana dever ser feita em mais de um passo, com responsabilidade de execuo e reviso distintas, includo autorizao para concretizao. Dessa forma, criamos mecanismos naturais de proteo e obrigamos as pessoas a se monitorarem, criando assim uma cadeia de proteo administrativa.

4.3.3 Separao de tarefas Alguns procedimentos, como comentado anteriormente, podem possuir srios problemas de segurana se uma diviso no for feita entre seus passos, includo a diviso de certas responsabilidades. Esse principio recebe o nome de operao de tarefas.. Em uma empresa, a pessoa que faz uma despesas no a mesma que aprova. Para que algum prejuzo seja causado atravs da aprovao de uma despesa fraudulentas, normal que muitas pessoas tenham que estar dispostas a cometer a fraude . Dessa forma, foramos a coero de diversas pessoas, o que um forte mecanismo desencorajador, alm de estruturar as protees (os diversos cargos e em reas diferentes) 4.3.4 Monitoramento A reviso manual peridica de logs, transaes , resultados de procedimentos, autorizaes etc. u mecanismo importante em busca de falhas , mas , mais que isso, um dos principais mecanismos desencorajadores . No h necessidade de se monitorar tudo, h apenas a necessidade de se monitorar de forma no regular, porm eficiente 4.4 - Aspectos prticos Uma das maiores dificuldades enfrentadas por quem implanta um programa de classificao no a elaborao das polticas ou definio de como elas devem funcionar, e sim os aspectos prticos ligados efetiva implementao no dia-adia das operaes 4.4.1 Rotulao Rotular os nveis de classificao nas informaes , uma vez que eles forma escolhidos . Segue alguns casos : Arquivos eletrnicos podem ter a classificao sendo mostrada dentro de seu contedo. Caso no seja possvel recomenda-se o armazenamento das informaes nas propriedades do arquivos que so , extensveis permitindo que a organizao as personalize de acordo com sua necessidade . Outra recomendao para armazenar arquivos em servidores de rede, usar nomenclatura padronizada que inclua referencia classificao E-mail Classificao no corpo do email da mensagens Sistema e aplicativos Devem ser metadados pra que os nveis de classificao possam ser armazenados junto com as informaes Mdia Dever ser rotuladas visualmente com etiquetas como os documentos impressos.

4.5 - Controle de acesso No contexto de segurana de rede, o controle de acesso a habilidade de limitar ou controlar o acesso aos computadores hospedeiros ou aplicaes atravs dos enlaces de comunicao e do controle de acesso fsico. Para tal, cada entidade que precisa obter acesso ao recurso, deve primeiramente ser identificada, ou autenticada e de forma a que os direitos e permisses de acesso sejam atribudos ao usurio. 4.5.1 Acesso lgico O Controle de Acesso Lgico permite que os sistemas de TI verifiquem a identidade dos usurios que tentam utilizar seus servios.Como exemplo mais comum, temos o logon de um usurio em um computador. O processo realizado o de Identificao e Autenticao. A identificao do usurio corresponde entrada de um ndice nico que aponta aquele usurio. Por exemplo, a digitao de um username ou a colocao de um smartcard. O usurio diz quem ele . A autenticao do usurio o processo no qual ele prova quem diz ser. Tradicionalmente, isso feito digitando uma senha ou simplesmente ignorado. A tecnologia biomtrica autentica o usurio baseando-se no que ele realmente , e no no que ele sabe ou carrega. O controle biomtrico de acesso lgico a soluo ideal para os sistemas de informao de uma empresa preocupada em segurana de suas informaes.

4.5.2 Acesso Fsico Atualmente, os sistemas de controle de acesso fsico possibilitam a integrao de outras funcionalidades, como integrao com leitores biomtricos, controle de estacionamento, controle de elevadores, integrao com alarmes de incndio, controle de ronda, emisso de crachs para visitantes e integrao com CFTV. Outra tendncia o Acesso Universal, isto , a integrao do controle de acesso fsico com controle de acesso lgico. Isso permite a criao de regras especiais, como permitir o acesso estao de trabalho apenas a usurios que se autenticaram na entrada do departamento e a utilizao da mesma credencial biomtrica para todos os dispositivos. 5 - Auditoria e Monitoramento Auditar e monitorar o ambiente so as etapas que fecham o ciclo de implementao e proteo. 5.1 - Monitoramentos peridicos Uma vez implementado em programa de CI e suas prticas ao dia-a-dia de uma organizao, seu efetivo funcionamento s pode ser garantido por meio de um monitoramento peridico. Mais do que procurar violaes , a responsabilidades do monitamento avaliar o funcionamento do programa como um todo. O dinamismo e as mudans so uma constante nos dias atuais. Por isso devemos sempre estar atentos se no h espaos para aprimoramento ou adaptao das praticas , em busca da melhora continua O constante surgimento de novas ameaas e tecnolgicas demanda perseverna na reativao constante de nossas decises e, principalmente, protees. 5.2 - Aspectos de Auditoria A auditoria complementar ao monitoramento, A auditoria da uma viso independente do funcionamento do programa de Classificao da Informao, checando se seus objetivos esto sendo compridos, incluindo os aspectos legais ligados ao programa. Tambm responsvel por detectar prejuzos financeiros causados pela ineficincia do programa ou por fraudes associados ao seu uso.

Para que tenha real validade e independncia, deve ser realizado por pessoas que tenham pouca ou nenhuma relao com aqueles que foram responsveis por implementar o programa. Podemos usar auditoria interna, externas ou ambas, sendo essas abordagens, muitas vezes, regidas por legislaes e regulamentao especificas , dependendo da atividade da organizao RESUMO A Classificao da informao envolve a criao de rtulos para esses possam ser atribudas aos diversos documentos de uma organizao. O propsito desses rtulos definir as caractersticas do documento no que diz a respeitos as suas necessidades de proteo. Cada rtulo constitudo por critrios que definiro se um documento deve ou no ser classificado sob ele, e por requisitos de proteo, que definem quais controles precisam ser aplicados em documentos classificados com a sua denominao Para que o processo funcione de maneira adequada, devemos elaborar uma poltica que determinar o seu funcionamento , facilitando a adoo e a padronizao em toda organizao. Durante a definio dessa poltica, convm analisar todos os requisitos, como necessidades legais , caractersticas dos documentos e demandas em termos de proteo, para que os rtulos cridos atendam s necessidades. Alem disso, a poltica definir as responsabilidades de todos os envolvidos no processo

Uma vez definida a poltica, ela deve ser divulgada e os colaborados devem ser treinados para quem possam segui-las de forma adequado. Por fim, devemos verificar a existncia de controles na organizao. Conforme os requisitos dos rtulos, para proteo dos documentos de forma como foi previamente definido. Por Aldo Silva.