Você está na página 1de 8

CLASSIFICAO DE INFORMAES

A classificao da informao uma atividade especfica de acordo com o tipo


de negcio da organizao a que pertence e do grau de importncia da prpria
informao. Desta forma, fornece subsdios para a gesto dos ativos e, por
consequncia, aos indicadores de controle necessrios elaborao das
diretrizes na poltica de segurana. Alm disto, essa atividade e o inventrio
permitem fazer um raio-x da organizao, identificando todos os processos e
necessidades de informao. uma das etapas mais demoradas na
elaborao de uma poltica de segurana da informao.

De outro lado, a rea responsvel pela segurana da informao e o respectivo


proprietrio da organizao devem prever, ao longo do tempo, momentos para
reclassificao das informaes e, tambm, dos privilgios e direitos de acesso
dos usurios. Esse procedimento tambm deve ser descrito no documento da
poltica de segurana.

A ISO 27002 recomenda que, na classificao da informao, a organizao


leve em considerao o seu valor, requisitos legais, sensibilidade e criticidade,
bem como os controles de proteo necessrios (compartilhamento ou
restrio de acesso) informao. A norma tambm recomenda que o
proprietrio do ativo defina a classificao deste e assegure que o mesmo
esteja atualizado e no nvel apropriado.

Nesta atividade, ser determinado o tipo de controle necessrio para cada tipo
de ativo da informao e o nvel de classificao de cada um deles. Sendo
assim, sugerem trs nveis de classificao:

Informao pblica: no exige sigilo e pode ser divulgada para o


ambiente interno e externo, sem impactos para os negcios. Por
exemplo: folders, panfletos, demonstraes financeiras aps a validao
e fechamento da contabilidade e direo da organizao;

Informao interna: vital manter sua integridade. As informaes


internas no so crticas, mas o acesso externo dos dados que compem
esse tipo de informao deve ser evitado. Por exemplo: benefcios que a
organizao oferece aos colaboradores;

Informao confidencial: pode comprometer as operaes da


organizao, tanto em nvel financeiro como em competitividade.
Por exemplo: dados pessoais de colaboradores e clientes, salrios,
estratgias de mercados, senhas, etc.

Informao privada: diz respeito nica e exclusivamente a seu proprietrio.

A partir da classificao da informao, possvel determinar os processos de


armazenamento ou descarte desta, conforme se apresenta no quadro a seguir.
METODOLOGIA PARA CLASSIFICAO DE INFORMAES

Com a informao inventariada e separada por criticidade, as aes de


Segurana da Informao ficam fceis de priorizar. Basta escolher os projetos
que protegem as informaes mais crticas e os ambientes tecnolgicos que as
abrigam.

O mtodo comea com um documento oficial ou uma instruo normativa que


especifique quais so as possveis classificaes para uma informao, que
pode ser um relatrio, uma tela de sistema, uma planilha ou uma apresentao.
O documento tambm precisa conter os cuidados no tratamento da informao
classificada em todas as fases do seu ciclo de vida, isto , criao,
armazenamento, transferncia e descarte. Esses cuidados devem variar com
cada classificao e com o meio onde informao se encontra que pode ser
digital, em mdia removvel ou em papel. Adicionalmente, deve estabelecer a
obrigatoriedade de rotular os documentos com a classificao da informao.

As classificaes podem variar de nome, mas normalmente so quatro. H as


informaes pblicas, que podem sair livremente das fronteiras da empresa.
H tambm as que so restritas a colaboradores, mas podem circular
livremente dentro da empresa. Temos ainda as que so restritas a grupos
especficos de colaboradores. Por fim, h as informaes que so restritas
exclusivamente a seus donos, como senhas, chaves de criptografia e nmeros
de carto de crdito.

Uma vez definida, aprovada e publicada a norma de classificao da


informao deve-se partir para a rea de negcio.

Infelizmente perguntar ao agente de negcio quais so os ativos da


informao que voc manipula no dia-a-dia uma abordagem que no
funciona. O prprio conceito de informao muito etreo para a maioria das
pessoas por mais que faa parte da vida delas. O que funcionou muito bem
para mim foi perguntar: Quais so as atividades mais importantes que voc
realiza?. E logo em seguida: Que telas de sistema, relatrios, planilhas ou
apresentaes essas atividades produzem e que so guardadas ou enviadas a
outras pessoas?.

Esse mtodo traz para a Segurana da Informao o inventrio de informao


da rea. Ele nada mais, nada menos, que a coleo dos produtos das
atividades principais da rea, isto , as informaes de sada dos processos de
negcio principais. Dica importante: evite falar em processos durante esse
trabalho. Deve ser chocante ler isso, mas a verdade que o termo processo
causa as mais variadas reaes emocionais, quase sempre negativas.

Agora que temos o inventrio das informaes produzidas na rea, preciso


atribuir um dono a cada uma delas. Curiosamente, o conceito de dono da
informao impreciso na literatura, mas muito intuitivo para o colaborador
da empresa. A palavra dono pressupe poder e em uma estrutura hierrquica
todos tm muita facilidade em identificar, dentre as pessoas que se envolvem
em um processo, quem tem poder suficiente para ser dono da informao.
moleza. Basta perguntar e o agente de negcio te fala na hora quem o dono
da informao.

Por fim, vem a classificao da informao, cuja tcnica mais eficiente


comear pelo extremo, que mais fcil de entender. Para cada informao
identificada nas fases anteriores pergunte:

Tudo bem se eu mandar esse relatrio por e-mail para o nosso maior
concorrente?

A resposta vai revelar imediatamente se a informao pblica ou no. O


agente de negcio tem muita sensibilidade sobre o que pode ou no ir para o
concorrente.

Caso a informao no seja pblica, pergunte:

Tudo bem se eu mandar essa planilha por e-mail para a empresa


inteira?

A resposta vai revelar se a informao pode circular livremente ou no.

Se a informao no puder circular livremente, chegamos terceira pergunta


que a mais complexa.

O colaborador normalmente tem facilidade em separar o que pode ser


divulgado a um grupo grande do que pode ser divulgado apenas para um grupo
pequeno. Entretanto, possui enorme dificuldade em separar o que pode ser
divulgado para um grupo pequeno do que no pode ser divulgado para
ningum, pois diferena parece sutil. Mas ela s mesmo sutil quando
estamos falando da privacidade dos outros. Quando estamos falando da nossa
prpria privacidade, a distino muito mais clara. Na pergunta, cite a
informao aplicada pessoa para provocar a empatia. Veja os exemplos:
HOLERIT Se fosse o seu holerit, eu poderia mandar para os seus
colegas de trabalho?

SENHA Podemos passar a sua senha do banco para seu cunhado?

PLANILHA FINANCEIRA Posso mandar sua planilha de gastos


familiares para seus vizinhos?

Feitas as perguntas dessa forma, a respostas revelaro se a informao em


questo deve ser tratada como restrita a seu dono ou se poder ser divulgada
a pequenos grupos devidamente especificados.

Veja como fica isso em forma de fluxo:

Encerrado esse trabalho, teremos uma lista de ativos da informao, com seus
devidos donos e suas classificaes.

Ao identificarmos os ativos de tecnologia que abrigam essas informaes e


aplicarmos as regras de tratamento da informao saberemos exatamente
quais medidas de segurana so necessrias e com o correto balanceamento
da relao custo/benefcio.

Mais importante que isso, saberemos por onde comear, o que priorizar e tudo
isso na perspectiva do negcio e no da tecnologia.
S ento, com a lio de casa bem feita, ns profissionais de Segurana da
Informao podemos ir para o recreio e nos divertirmos bastante com ethical
hacking, SIEM, criptografia, hardening, zero-days, honeypots, etc.

A empresa, apesar no entender os detalhes do que estamos fazendo, ficar


tranquila, pois saber que estamos aplicando nossa energia, inteligncia e
conhecimento para proteger o que realmente importa: o negcio.
MATRIZ DE ACESSO

Acesso pode ser definido pela capacidade de um indivduo ou grupo de


indivduos de alcanar uma informao. Diante disso, um lder de Segurana
da Informao tem duas grandes misses acerca do tema.

A primeira definir junto ao negcio, quem deve ter acesso a quais


informaes dentro da empresa, sejam em sistemas, em papel ou qualquer
outro meio. fato que as pessoas responsveis pelo negcio possuem muito
mais sensibilidade sobre qual informao pode e qual no pode ir parar nas
mos do concorrente ou circular livremente na empresa. Tambm fato de que
dificilmente haver engajamento na questo da Segurana se no estivermos
protegendo as informaes que a empresa julgue importante proteger.

A segunda misso garantir de que essa definio se materialize, ou seja,


fazer com que o acesso aos meios em que a informao reside esteja
protegido de modo a garantir sua confidencialidade, integridade e
disponibilidade. Em outras palavras, garantir que a informao estar sempre
disponvel e ntegra, mas apenas para os colaboradores que precisam dela
para realizar suas funes, Pois a matriz de acesso relaciona exatamente
esses dois aspectos: precisar ou no da informao para trabalhar versus ter
ou no acesso de fato informao.

A Matriz de Acesso possui duas linhas e duas colunas. As colunas


representam a questo de precisar do acesso e as linhas representam a
questo de ter ou no o acesso. O primeiro impulso ao ler isso intuir que o
problema est nos casos em que as pessoas possuem o acesso, mas no
precisam dele para trabalhar e, portanto, no deveriam t-lo: o caso
representado pela ma. Entretanto, h problemas para serem resolvidos pela
Segurana da Informao em todos os quadrantes da matriz e no faltam
assuntos e projetos para preench-la.
Agora vamos analisar cada um dos quadrantes:

1. A ma representa as situaes em que o indivduo no deveria ter


acesso, mas tem. So os acessos desnecessrios, que no ajudam em nada o
trabalho da pessoa mas esto l, oferecendo apenas a possibilidade de uso
indevido, dado que no h uso devido da informao nos processo de trabalho
que a pessoa executa. pura tentao e por isso a ma. Os riscos do acesso
desnecessrio so para a confidencialidade e, dependendo do acesso, para
a integridade da informao. Os programas/projetos que endeream essa
questo so tipicamente Gesto de Identidades, Controle de Acesso e Reviso
Peridica de Acesso.

2. A placa de pare refere-se ao caso em que o indivduo deveria ter


acesso, mas no tem. Escolho esse smbolo porque a falta de informao
necessria faz com que os processos de negcio simplesmente parem. Isso
to crtico para a empresa que a reao imediata de um colaborador
impossibilitado de gerar seus resultados por falta de acesso informao
quase sempre violar as polticas de acesso tipicamente atravs do
emprstimo de credenciais. Mas h os casos em que nem esse recurso
desesperado adianta. So as interrupes de servio, tambm chamadas no
mundo da Segurana da Informao de desastres. Os riscos ligados a esse
quadrante so os de disponibilidade. Os programas/projetos ligados a esse
quadrante so: Automao de Acesso, Aferio/Auditoria de Polticas de
Backup, Plano de Recuperao de Desastres (DRP) e Plano de Continuidade
de Negcios (BCP).

3. A mscara de bandido representa os casos em que o indivduo no


deveria ter acesso e de fato no tem. Ora se as pessoas que no deveriam ter
acesso no tm, ento no h problema. Ser? Ser que no possvel
torcer o sistema e obter ou modificar as informaes mesmo sem ter acesso
para faz-lo, ou talvez roubar/adulterar um documento em papel ou at mesmo
convencer uma pessoa a me passar informaes que eu no deveria ter? Em
outras palavras, ser que meus controles de acesso so de fato efetivos? Ou
ser que meu ambiente de tecnologia, padro comportamental e processos de
trabalho possuem vulnerabilidades que possam ser ou que j estejam sendo
exploradas? Este tema pe em cheque todos os controles e, portanto, abrigam
os trs tipos de risco: confidencialidade, integridade e disponibilidade. Os
programas/projetos desse quadrante so Gesto de Vulnerabilidades,
Engenharia Social, Monitoramento de Eventos de Segurana, Inteligncia de
Segurana e Ferramentas de Proteo em Geral.

4. O ltimo quadrante refere-se aos acessos corretos, isto , s pessoas


que deveriam mesmo ter o acesso e tm. H riscos aqui? Sim! E so os piores,
pois residem no aspecto comportamental do colaborador. o chamado abuso
de acesso lcito. A pergunta aqui : Ser que as pessoas esto fazendo o uso
correto da informao? Ser que no esto vendendo a informao para o
concorrente, ou usando o acesso para fraudar a empresa? Por colocar o fator
humano no centro das atenes, esse quadrante tambm abriga riscos dos trs
tipos. Os programas/projetos relativos a este quadrante so: Segregao de
Funo, Controle de Vazamento de Informaes, Preveno a Fraudes,
Vigilncia da Rede e Programas de Conscientizao.

O modelo acima genrico e pode ser utilizado vontade para ajudar


executivos a enxergar com mais clareza a conexo entre Segurana da
Informao e o negcio da empresa. Ele tem se mostrado til para localizar os
projetos dentro das problemticas comuns de Segurana, colocando riscos e
programas corporativos na matriz.