Fasci-Tech

Classificao e Manuseio Seguro da Informao Ricardo Mhlbauer1

Resumo: O conhecimento e a informao so vitais para as pessoas e para as organizaes, sejam estas governamentais ou privadas. Com o desenvolvimento da Informtica e o advento da Internet, a vulnerabilidade da proteo das informaes vem aumentando dia a dia, principalmente devido s facilidades no armazenamento porttil e na transmisso via rede pblica. A classificao e o manuseio da informao so processos chave para a implantao de um Sistema de Gesto de Segurana da Informao que vise reduzir essas vulnerabilidades. Palavras-Chave: Classificao; Manuseio; Confidencialidade; Integridade; Disponibilidade. Abstract: Know-how and information are essential for people and private or governmental organizations. As informatics and Internet develop, the vulnerability of information protection is rising everyday, mainly due to the facility of storage into portable devices and transmission over public networks. The classification and handling of informations are key processes to implement an Information Security Management System that aims to reduce those vulnerabilities. Keywords: Classification; Handling; Confidentiality; Integrity; Availability. 1. Introduo Um Sistema de Gesto de Segurana da Informao um conjunto de polticas e procedimentos que visa proteo das informaes de uma organizao, normalmente baseado em normas tcnicas (ISO 27001, ISO 13335). Porm, aplicar o mesmo nvel de proteo para todas as informaes algo impraticvel e os custos da implementao e operao destes processos de proteo seriam inviveis. Afinal, as informaes possuem um valor distinto entre si e variam conforme o tipo da organizao. Por isso, devem receber um tratamento diferenciado, conforme sua importncia. A determinao do valor da informao pode ser realizada pelo processo de Classificao da Informao,

Analista de Segurana da Informao na Mercedez-Benz do Brasil, aluno da Faculdade de Tecnologia de So Caetano do Sul (FATEC-SCS).
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

enquanto que o Manuseio da Informao refere-se ao conjunto de polticas, regras e procedimentos definidos para a sua proteo conforme a respectiva classificao. Excetuando-se as esferas militar e governamental, a classificao da informao pode, s vezes, soar como algo novo, mas fato que, ao menos informalmente, as empresas e as pessoas aplicam seus conceitos frequentemente. Com a crescente necessidade por segurana da informao, requer-se uma formalizao e sistematizao desse processo. A proteo de informaes classificadas como sensveis ou crticas, em especial relacionadas a dados pessoais e privacidade, regulamentada pela legislao de diversos pases, tais como EUA, Japo e Alemanha. Portanto, multinacionais ou empresas exportadoras podem estar sujeitas a cumprir determinadas regras em funo do armazenamento e processamento de dados relevantes a esses casos. Muitas empresas esto submetidas atualmente a um crescente ambiente regulatrio em relao segurana da informao, como por exemplo, HIPAA (Healthcare Insurance Portability and Accountability Act), GLBA (Gramm-LeachBliley Act), SOX (Sarbanes-Oxley Act), etc. Por isso, precisam identificar, classificar e definir medidas de proteo especiais para processamento dos dados em conformidade com as leis e regulamentos dos mercados em que operam.

2.

Pr-requisitos, Objetivos das Organizaes e Poltica Corporativa Embora o processo de classificar as informaes possa ser conduzido de forma

isolada, o ideal tomar por base as necessidades reais de segurana da informao que devem ser definidas e aprovadas pelo corpo diretivo, pois so individuais para cada organizao. A Poltica Corporativa de Segurana da Informao deve definir de forma abrangente quais so os processos vitais para o negcio da organizao, e com base nisso, pode-se realizar um detalhamento das informaes mais importantes que fluem nesses processos. O corpo diretivo da organizao deve nomear uma rea responsvel pela implementao do Sistema de Gesto de Segurana da Informao, sendo normalmente uma rea ligada Tecnologia da Informao, mas que tambm pode estar relacionada s
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

seguintes reas: Finanas, Recursos Humanos, Organizao, Gerenciamento de Riscos ou at mesmo ser uma rea independente ligada diretamente presidncia. Esta rea trabalhar na coordenao do processo de classificao, no levantamento dos ativos de informao em conjunto com todas as reas da empresa e na elaborao de polticas, regras e procedimentos de manuseio da informao. Tambm poder realizar auditorias e verificaes de conformidade em todas as reas da empresa, fornecedores e terceiros, ou seja, onde sejam processadas informaes sensveis da empresa.

3.

Conceitos de Classificao da Informao A classificao da informao o processo de atribu-la em categorias ou classes

previamente padronizadas conforme os graus de sua importncia na organizao e considerando a criticidade em relao sua confidencialidade, integridade e disponibilidade. 3.1. Confidencialidade a garantia de permisso de acesso informao somente s pessoas expressamente autorizadas, obedecendo ao princpio da necessidade de conhecimento da segurana da informao. Cada organizao deve definir e padronizar sua categorizao, tipicamente utilizando de trs a cinco nveis. A definio de nveis em excesso pode tornar a categorizao complexa, enquanto que a definio de poucos nveis pode ser insuficiente, prejudicando em ambos os casos a consistncia do processo. Seguem exemplos de quatro categorias de confidencialidade: pblica ou no-classificada: acesso universal sem nenhum tipo de restrio ou controle. Exemplo: informaes publicadas na rea aberta do web-site de uma empresa. restrita, sensvel ou interna: correspondem s informaes de processos rotineiros e internos de uma organizao. Embora este tipo de informao seja de uso restrito conforme a necessidade especfica do trabalho, um eventual vazamento para pessoas internas ou externas no causa nenhum impacto negativo para a empresa. Exemplos: informaes publicadas na Intranet; quantidade de estoque de materiais. privada: informaes pessoais (endereo, salrio, dados mdicos, etc) de funcionrios, clientes, contratados, fornecedores. O vazamento deste tipo de
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

informaes pode ter srios impactos para a pessoa envolvida, para a imagem da empresa e consequncias jurdicas. confidencial, secreta: so informaes restritas a grupos pequenos de usurios e cuja revelao no autorizada pode causar um impacto negativo na imagem ou na vantagem competitiva da empresa frente aos concorrentes. Exemplos: planos estratgicos; dados de engenharia de projetos da rea de desenvolvimento; segredos comerciais; estratgias de Marketing. No mbito governamental, a classificao varia de pas para pas, mas a maioria possui nveis que correspondem s definies britnicas: unclassified, restricted, confidential, secret, top-secret. Adicionalmente aos nveis gerais acima, podem existir classificaes com restries adicionais de acesso, como por exemplo, nos EUA: SI (special intelligence) que protege fontes e mtodos de inteligncia, NOFORN ( no foreign dissemination) que restringe a disseminao aos norte-americanos e ORCON (originator controlled dissemination) cuja disseminao controlada pelo produtor da informao. Quando uma agncia ou grupo governamental quer compartilhar informaes com outro governo, eles geralmente empregam um esquema especial de classificao previamente acertado entre ambos. No mbito da administrao pblica federal brasileira (Decreto 4.553, 2002) foi instituda a classificao de dados, informaes e materiais sigilosos de interesse da segurana da sociedade e do Estado. O artigo 5 desse decreto classifica documentos em ostensivos ou sigilosos. Ostensivos ou ordinrios so documentos cuja divulgao no prejudica a administrao. Sigilosos so documentos de conhecimento restrito e, portanto, requerem medidas especiais de salvaguarda para sua custdia e divulgao. Segundo a necessidade do sigilo e quanto extenso do meio em que podem circular, so quatro os graus de sigilo: reservado, confidencial, secreto e ultra-secreto. Podem ser classificadas como ultra-secreto as informaes referentes soberania e integridade territorial nacional, planos e operaes militares. A classificao secreta pode ser aplicada a sistemas, instalaes, programas, projetos, operaes de interesse da defesa nacional e assuntos diplomticos. Confidencial podem ser as informaes que, no interesse do Poder Executivo, devem ser de conhecimento restrito. Reservado a
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

classificao da informao cuja revelao no-autorizada possa acarretar dano grave segurana da sociedade e do Estado. 3.2. Integridade Refere-se acurcia, preciso, validade dos dados e mtodos de processamento das informaes. A classificao deve ser feita baseada no impacto causado nos negcios da empresa devido a uma alterao ou destruio de dados de maneira no autorizada, podendo ser intencional ou no propositada, de forma manual ou automatizada. A organizao precisa definir e padronizar as categorias relacionadas integridade das informaes. Uma sugesto poderia ser a classificao em trs nveis conforme o impacto no negcio da falta de integridade da informao: baixa: o impacto monetrio ou intangvel nulo ou desprezvel considerando o volume de negcios da empresa. Tambm podem ser enquadrados nesta categoria os impactos significativos que possam ser remediados em tempo hbil por aes corretivas ou de mitigao dos efeitos. mdia: impactos monetrios ou intangveis de nvel mdio e que no possam ser remediados no curto prazo. alta: a falta de integridade nas informaes de integridade alta causa impactos severos e imediatos nos processos da empresa, perdas monetrias e intangveis significativas frente ao volume de negcios da empresa. 3.3. Disponibilidade o asseguramento de que a informao estar acessvel no momento em que for necessria. A categorizao tambm deve ser padronizada pela empresa com base na avaliao de impacto monetrio ou intangvel causada nos processos de negcio pela indisponibilidade da informao no momento em que for requisitada. Como no exemplo anterior, poderamos adotar trs nveis de categoria baseados na criticidade da disponibilidade da informao: baixa: o impacto monetrio ou intangvel da indisponibilidade da informao ou sistema nulo ou desprezvel considerando o volume de negcios da empresa. mdia: o impacto da indisponibilidade da informao ou do sistema significativo para os negcios da empresa.
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

alta: o impacto da indisponibilidade severo e imediato para o negcio chave da empresa, levando interrupo de sua atividade principal. O impacto pode atingir seus clientes. 3.4. Distribuio tpica As informaes crticas para uma organizao so as que possuem os maiores graus de impacto na confidencialidade, integridade e disponibilidade. Costuma-se designar por informaes sensveis, as informaes crticas de confidencialidade (secretas, confidenciais ou privadas) e/ou crticas de integridade. A distribuio das informaes nas categorizaes de confidencialidade, integridade e disponibilidade varia muito conforme o ramo de atuao da organizao. Tipicamente, uma empresa no ramo bancrio possui grande quantidade de informaes confidenciais de seus clientes e a maioria de suas informaes crtica em relao integridade e disponibilidade. Ao contratar os servios de um banco, o cliente espera que seus dados pessoais e sua movimentao de contas no sejam revelados indevidamente (confidencialidade), que estejam sempre precisos (integridade) e que a qualquer momento possam ser movimentados (disponibilidade). Por outro lado, uma empresa no ramo manufatureiro ou comercial tende a lidar na maior parte dos casos com informaes de carter interno. Mesmo assim, sempre ter informaes sensveis em relao confidencialidade e integridade, por isso, a importncia na identificao dessas informaes para sua proteo. Alm disso, possuem processos crticos em relao disponibilidade de informaes em suas operaes de produo de servios ou produtos. Uma distribuio tpica nesse ramo se assemelharia ao descrito na tabela 1. Tabela 1. Distribuio tpica de classificao da informao Confidencialidade Distribuio Integridade Distribuio Disponibilidade Distribuio Confidencial 15% Alta 5% Alta 10% Privada 5% Mdia 25% Mdia 30% Restrita 70% Baixa 70% Baixa 60% Pblica 10%

Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

Estes valores mostram quanto o processo de classificao da informao pode ser valioso para uma organizao. Pelo conhecimento das informaes crticas ou sensveis, ela pode focar seus investimentos de segurana da informao e conscientizao dos usurios na sua proteo, ao invs de uma estratgia que fornea o mesmo grau de segurana para todas as informaes.

4. Metodologias de Classificao da Informao No h um processo nico e padronizado para realizar a classificao das informaes. Para a identificao das informaes relevantes de uma organizao, pode ser utilizada uma abordagem orientada pelos processos de negcio, pela estrutura organizacional da empresa, pelos sistemas de Tecnologia da Informao, ou o que mais provvel, por uma combinao dessas abordagens (Etges, McNeil, 2006). 4.1. Identificao orientada pelos processos de negcio Utiliza-se um modelamento dos processos de negcio da empresa. Em particular, esta pode ser a abordagem escolhida, se a empresa j possui uma documentao de seus processos de negcio. Os processos principais vo sendo detalhados passo a passo at atingir um nvel suficiente para descrever os sistemas e documentos que contm as informaes mais relevantes que fluem nesses processos, conforme exemplo simplificado indicado na figura 1.

Figura 1. Descrio de processos e informaes relacionadas

4.2. Identificao orientada pela organizao Conforme exemplo da figura 2, os representantes das reas da empresa devem listar as informaes que geram e que so responsveis, e passar os dados para a rea de
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

coordenao central do processo de classificao. necessria uma consolidao para eliminao de duplicidade de classificao das informaes das reas. Figura 2. Identificao de informaes da estrutura organizacional

4.3. Identificao orientada por sistemas de Tecnologia da Informao A identificao das informaes realizada por intermdio de extratos das informaes existentes nos sistemas de Tecnologia da Informao (TI) corporativos. Pode ser uma opo interessante se a empresa j possui um modelamento das informaes documentado para a criao de seus bancos de dados.

Figura 3. Identificao de informaes nos sistemas de TI

4.4. Responsabilidade pela classificao das informaes Para toda informao relevante identificada deve ser atribuda a rea responsvel pela sua classificao, sendo normalmente a rea geradora da informao. Tambm so identificadas as reas que as processam ou manuseiam. 4.5. Agrupamento de informaes
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

Durante o processo de identificao, as informaes individuais devem ser agregadas em agrupamentos pertinentes entre si. Com isso, reduz-se significativamente o volume de identificao e classificao de dados. Por exemplo, endereo pode ser um agrupamento que contenha rua, nmero, cidade, etc. Dados pessoais pode agrupar informaes de endereo, salrio e pronturio mdico. A mesma idia de agrupamento vlida para os dados de outras reas da empresa, como por exemplo, dados contbeis, logsticos, de produo, de vendas e assim por diante. 4.6. Classificao dos agrupamentos de informao Os agrupamentos de informaes devem ento, de acordo com a padronizao de categorias previamente definida, ser classificados quanto a sua confidencialidade, integridade e disponibilidade. Esta classificao deve ser realizada pela rea proprietria ou responsvel pela informao, sempre considerando o impacto que o manuseio indevido pode causar para a organizao. A classificao de algumas informaes pode se tornar, s vezes, um tanto subjetiva, ocorrendo dvidas quanto ao grau de criticidade. Por isso, os coordenadores do processo de classificao podem fornecer previamente aos responsveis pela informao, uma lista de verificao ou questionrio de apoio que facilitem a classificao, atravs da utilizao de tabelas com valorizao de custos estimados de perdas relacionadas ao vazamento de informaes, impreciso de dados e interrupo de sistemas, reduzindo a subjetividade na avaliao. Por exemplo, se o vazamento ou impreciso de uma determinada informao resultar em perdas de vendas estimadas em $100.000,00, a informao poder ser considerada como confidencial e de integridade alta. Conforme j citado na introduo, a classificao de determinadas informaes pode ser previamente regida por lei ou regulamentos em vrios pases. A tabela 2 fornece alguns exemplos de classificaes.

Tabela 2. Exemplos de classificao da informao

Grupo de Informao Jornal notcias Responsvel Supervisor Relaes Pblicas Confidencialidade Integridade Disponibilidade

Pblica

Mdia

Baixa

Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

Dados Balano

Gerente Financeiro Gerente RH

Interna

Alta

Baixa

Dados Mdicos Salrios e Benefcios Plano Vendas

Confidencial

Alta

Alta

Gerente RH

Confidencial

Mdia

Baixa

Gerente Vendas

Confidencial

Mdia

Baixa

Plano Produo

Gerente Produo

Interna

Baixa

Baixa

Dados JIT

Gerente Logstica

Interna

Baixa

Alta

4.7. Anlise de Riscos Terminada a classificao dos ativos de informao, procede-se a uma anlise de riscos que estes ativos esto sujeitos na organizao. Nesta etapa so analisados que tipos de ameaas podem ocorrer sobre as informaes crticas. As ameaas podem, por exemplo, ser enquadradas em: ataques externos (malwares, negao de servio) violaes internas causadas por funcionrios ou terceiros desastres naturais e danos fsicos falhas de hardware ou aplicativos roubo ou furto de equipamentos perda de informaes intencional ou no erro humano 4.8. Mitigao de riscos e implementao de poltica Nesta etapa, definem-se medidas de reduo do risco representado pela vulnerabilidade s ameaas sobre as informaes crticas da empresa. Analisa-se a relao custo-benefcio das medidas em relao ocorrncia de perda ou vazamento da informao. A implementao do processo e a categorizao de classificao da informao deve estar descrito na Poltica de Classificao da Informao da empresa. Esta poltica
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

deve ser publicada preferencialmente na Intranet e comunicada a todos os funcionrios e terceiros, incluindo tambm fornecedores e parceiros comerciais relevantes.

5.

Manuseio da Informao De nada adianta classificar informaes e no manuse-las com o devido

cuidado. Por isso, a empresa deve descrever e divulgar polticas e procedimentos de segurana da informao conforme a sua classificao. Algumas regras de manuseio so de carter geral, vlidas para todos os usurios e devem existir procedimentos especficos para determinadas reas de negcio. A rea de Tecnologia da Informao, por exemplo, possui diversas divises que lidam com todas as informaes da empresa. A central de atendimento, a rea de operaes de administrao de servidores e banco de dados devem ter procedimentos de segurana aprovados. O desenvolvimento de sistemas deve considerar a

confidencialidade das informaes processadas, em especial as aplicaes em plataformas WEB. Planos de continuidade de negcios e recuperao de desastres devem ser elaborados e testados para dar suporte a informaes que necessitem de alta disponibilidade. No mnimo, as seguintes polticas e procedimentos devem ser estabelecidos para o manuseio de informaes sensveis: regras de autenticao e autorizao de acesso a sistemas reviso peridica de acessos a sistemas regras de utilizao de computao mvel ( Notebooks, pendrives, palmtops, etc) utilizao de criptografia para armazenamento local e transmisses regra de utilizao de Internet, Intranet e e-Mail acesso remoto e teletrabalho transmisso de dados a fornecedores acesso de informaes por terceiros e fornecedores clusulas contratuais de segurana da informao

Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

Dentre os pontos acima, as regras de autorizao de acessos a sistemas so especialmente importantes para o manuseio seguro da informao. Esses acessos devem ser concedidos e aprovados pelo proprietrio da informao, conforme definido no processo de classificao da informao. Os proprietrios da informao devem tambm periodicamente realizar revises desses acessos anteriormente concedidos. O manuseio seguro de informaes requer ainda que existam processos de cancelamento de acessos de funcionrios ou terceiros ao deixarem a empresa ou mudarem de rea ou cargo. Processos de autorizao so um dos principais controles de segurana que a empresa pode utilizar, em especial, se tiver o foco nas suas informaes classificadas como crticas. Seria quase impossvel controlar precisamente o acesso a todas as informaes de uma organizao, mas controlar o acesso a, por exemplo, 30% das informaes, torna-se algo vivel. Essa uma soluo difcil misso de controlar a utilizao de simples pendrives, DVDs ou CDs. Afinal, se um funcionrio ou terceiro copiar o cardpio do restaurante para um pendrive e passar pela portaria levando essa informao, nenhum impacto significativo haver para a empresa. Portanto, quem tem o acesso informao crtica precisa ser conscientizado para as prticas de manuseio seguro atravs das polticas e procedimentos. Por exemplo, pode ser definido que um executivo de vendas deve criptografar seus dados de vendas antes de transport-los em equipamentos mveis.

6.

Obstculos e Fatores de Sucesso Embora o conceito de classificao e manuseio seguro da informao seja algo

de relativo fcil entendimento e descrio, isto no pode ser dito de sua implementao, j que um processo que precisa ser vivenciado por uma organizao e envolve comunicao, treinamento, comprometimento, conscientizao e, fundamentalmente, o apoio do corpo diretivo. um processo que aps definido e implementado precisa ser fortemente includo na cultura de uma empresa. Se a organizao for composta de vrias unidades empresariais similares, como so os casos das multinacionais, a classificao pode ser realizada centralmente e
Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

divulgada para todas as suas filiais. Caso haja particularidades nos processos ou regulamentos locais, elas podero ser feitas por exceo regra de classificao geral. Este processo pode simplificar muito a implementao da classificao da informao em um grande conglomerado empresarial, com a vantagem de padronizao mundial de seus procedimentos de manuseio da informao. A utilizao de um questionrio e tabela de referncia de valores, conforme descrito anteriormente, pode ajudar a evitar um dos principais problemas enfrentados no processo de classificao da informao: a sobrevalorizao das informaes, ou em outras palavras, a tendncia da rea responsvel em classificar a maior parte de suas informaes como confidenciais, de alta integridade e disponibilidade, quando em geral suas informaes no so realmente crticas para o negcio. Ao realizar o treinamento antes da classificao da informao, deve ficar claro que todas as informaes existentes na empresa so importantes, mas que nem todas causam impactos srios imediatos na empresa se forem indevidamente reveladas, alteradas ou mesmo ficarem temporariamente indisponveis. Sobretudo, o fator de sucesso ser o envolvimento do corpo diretivo da empresa. Do contrrio, todos os esforos levaro a uma implementao superficial da classificao da informao e o processo no ser efetivamente incorporado ao dia a dia dos executivos, funcionrios e todos os que manuseiam informaes da empresa. Muitas empresas consideram a classificao da informao e a anlise de riscos um processo de alto custo e de resultados duvidosos (Fowler, 2003). Interpretam a segurana da informao como um problema especfico da rea de TI, acabando por delegar a esta, formalmente ou no, a identificao das informaes e respectivas medidas de segurana. Entretanto, esta prtica ineficiente, pois a rea de negcios responsvel pela informao a que conhece a real importncia de proteg-la. Se o trabalho de classificar e proteger as informaes parece realmente extenso, deve-se considerar que, mesmo sem o processo formal, decises de proteo tero que ser obrigatoriamente tomadas, se no pela rea de negcios responsvel, por administradores de banco de dados, analistas e operadores de infraestrutura de Tecnologia da Informao, funes em geral terceirizadas.

Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

Para garantir a conformidade na utilizao das polticas de Classificao da Informao, devem ser realizadas auditorias para verificar nas reas de negcio, nas reas de TI, em terceiros e fornecedores, o manuseio adequado das informaes crticas da empresa.

7.

Concluso, Tendncias Atuais e Futuras Este artigo mostrou que a generalidade do processo de classificao e manuseio

seguro de informaes permite sua aplicao nas organizaes de pequeno, mdio e grande porte; no setor pblico e no setor privado; no comrcio, na indstria e nos servios. Pode at mesmo ser aplicado de forma pessoal para a proteo dos dados sensveis de uma famlia. A aplicao formal de Sistemas de Gesto de Segurana da Informao em grandes organizaes uma realidade, que ainda no foi devidamente acompanhada pelas pequenas e mdias empresas, talvez pela capacidade reduzida de pessoal e de recursos financeiros. Com isso, estas organizaes esto atualmente mais vulnerveis s ameaas de segurana da informao. Porm, elas podem se beneficiar muito se aplicarem a classificao e prticas de manuseio seguro das informaes sensveis, mantendo o processo da forma mais simples possvel e tomando vantagem de sua flexibilidade de pequenas e mdias empresas. interessante notar que a classificao da informao um processo aplicado a algo abstrato: Informao e no a algo fsico. Assim, a independncia da classificao em relao ao meio onde est armazenada (papel ou eletrnico) possibilita que a classificao no se altere conforme o desenvolvimento da tecnologia. Somente as protees relacionadas ao manuseio da informao precisam ser continuamente adaptadas. As novidades tecnolgicas so trazidas continuamente a empresas e usurios, porm, os fabricantes normalmente no realizam testes de segurana suficientes ou a tecnologia no est ainda madura. Com isso, as empresas precisam ter cuidado ao implement-las, pois podem introduzir diversas vulnerabilidades ao ambiente da empresa e, consequentemente, s suas informaes sensveis.

Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

o caso, por exemplo, da Computao em Nuvem (Cloud Computing) em que fornecedores oferecem o armazenamento remoto de dados e programas em servidores de Centros de Processamento espalhados pelo mundo. Passada a fase de empolgao inicial (Thibodeau, 2010), especialistas apontam que a falta de padres de manuseio de dados e prticas de segurana na Computao em Nuvem tm frustrado a sua aceitao. No h nem mesmo acordos obrigando o fornecedor a informar seus clientes onde esto hospedados seus dados, o que obrigatrio para conformidade com regulamentaes como a lei Sarbanes-Oxley, por exemplo. Talvez a classificao da informao possa permitir a utilizao dessa tecnologia ao segregar o armazenamento de informaes sensveis do restante. Com isso seria possvel aliar a flexibilidade e baixo custo da Computao em Nuvem com as necessidades de proteo das informaes sensveis. A virtualizao de servidores e o SAN (Storage Area Network) so outras tecnologias que vm sendo aplicadas visando baixar os custos, mas deve-se considerar a classificao das informaes para que essas migraes dos dados dos servidores individuais possam ser feitas com mais segurana ao agrupar as informaes nos servidores. Com a evoluo crescente do poder de processamento que ser obtido num simples computador pessoal, dos avanos da inteligncia artificial, da biotecnologia e da nanotecnologia, alguns cientistas futuristas esto prevendo o que se denomina singularidade tecnolgica (Kurzweil, 2005). A tecnologia comearia a avanar em um passo cada vez maior e num determinado momento (singularidade), o ser humano poderia perder o controle sobre o manuseio das informaes. Atualmente, isso pode ser notado em alguns casos, como por exemplo, no controle preciso de onde esto cadastrados nossos prprios dados pessoais. Por isso, o avano tecnolgico deve levar em conta a proteo das informaes, especialmente as classificadas como sensveis para as organizaes e as privativas do ser humano.

Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.

Fasci-Tech

8.

Referncias

DECRETO 4.553, de 27 de Dezembro de 2002, Dispe sobre a salvaguarda de dados, informaes e materiais sigilosos de interesse da sociedade e do Estado, no mbito da Administrao Pblica Federal. Disponvel em: http://www.planalto.gov.br/. Acesso em: 17/04/2010. ETGES, Rafael; McNEIL,Karen. Understanding Data Classification Based on Business and Security Requirements, 2006.Disponvel em: http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=52578&TEMPLAT E=/ContentManagement/ContentDisplay.cfm. Acesso em: 16/04/2010.
FOWLER,Susan. Information Classification Who, Why and How. SANS Institute InfoSec Reading Room, 2003. Disponvel em: http://www.sans.org/reading_room/whitepapers/auditing/information-classification-who_846. Acesso em: 15/04/2010.

KURZWEIL, Ray. The Singularity is near. When Humans transcend Biology. Penguin Group, 2005. ISO/IEC TR 13335 Information Technology Guidelines for the management of IT Security. ISO/IEC 27001 Information Technology Information Security Management Systems. THIBODEAU, Patrick. Frustrations with cloud computing mount. Computerworld, April 9, 2010. Disponvel em: http://www.computerworld.com/s/article/9175102/Frustrations_with_cloud_computing _mount. Acesso em: 16/04/2010.

Fasci-Tech Peridico Eletrnico da FATEC-So Caetano do Sul, So Caetano do Sul, v.1, n. 2, Jan./Jun. 2010, p. 70 a 85.