fbpx
Boas práticas para classificação de informação

Se a classificação da informação não está entre as prioridades da sua empresa, é hora de mudar isso. Classificar as informações é uma recomendação da ISO 27001 desde a sua atualização em 2006, mas, apesar disso, ainda é pouco implementada. Acontece que, com a aprovação da LGPD e da resolução Nº 4.658 do Banco Central do Brasil, essa prática volta a ser uma preocupação de muitas empresas.

A Lei Geral de Proteção de Dados (LGPD) define as regras para a manipulação de dados pessoais, assim como punições severas para empresas que não estejam em conformidade com a lei. A implementação da LGPD prevê a segurança dos dados pessoais, assim como objetivos claros para o uso desses dados. Mas, na realidade, há como proteger todas as informações da sua empresa?

A resposta é não. Não há. Você deve ser criterioso com as informações e saber exatamente o que está protegendo. Assim, seus recursos serão gastos de forma mais eficiente e seus esforços direcionados para a informação que tem mais valor para a empresa. Isso ajuda a reduzir riscos e a diminuir o tempo de resposta em caso de brechas de segurança.

Imagine que você tem uma estante com várias pastas. O conteúdo dessas pastas difere de uma para a outra, desde a sua certidão de nascimento até a cópia de um texto que você precisou no 4º período da faculdade. Você se muda e uma dessas pastas some. Se você soubesse exatamente onde a sua certidão de nascimento estava, você poderia guardá-la em lugar mais seguro. Agora, para saber o que se perdeu, você precisa analisar o conteúdo das outras pastas e confiar na sua memória, ou mesmo esperar até sentir falta de alguma coisa.

Proteger todas as pastas também não é a melhor solução. Perdem-se muitos recursos protegendo informações que não são críticas, como o seu texto da faculdade, por exemplo.

Esse cenário é familiar? Se sim, talvez você queira reconsiderar e classificar as suas informações. Nós produzimos o infográfico 4 Passos para Criar uma Política de Classificação Eficiente, mas não deixe de conferir abaixo alguns métodos e benefícios da classificação da informação.

Como classificar

Assim como os recursos físicos de uma organização devem ser inventariados, as informações que passam por ela ou que são produzidas nela também devem ser catalogadas. É necessário olhar para a informação sob o ponto de vista do risco que a sua publicação ou mau uso representa para a empresa, seja em termos de dano à imagem ou prejuízo financeiro.

Assim, de acordo com a Tríade da Segurança, (Confidencialidade, Disponibilidade e Integridade) faça as seguintes perguntas: qual o impacto que o acesso livre a uma informação causa à imagem ou operações vitais do negócio? Qual o impacto da sua indisponibilidade? E quanto à alteração deliberada ou acidental da informação?

As respostas a essas perguntas são essenciais para a classificação correta das informações. Um impacto alto, médio ou baixo determina se a informação é pública, restrita ou confidencial. Recomenda-se começar a classificação com esses três níveis e, se eles não forem suficientes, acrescentam-se outros.

Se uma informação representa um impacto baixo nos três aspectos da Tríade de Segurança, ela é pública. Se o impacto é alto nos três aspectos, ela é confidencial. Se há diferentes níveis de impacto, ela é provavelmente restrita.

Outro método para avaliar o impacto é atribuir pesos de 1 a 3 à Confidencialidade (C), Disponibilidade (D) e Integridade (I) de uma informação de acordo com o seu impacto e multiplicar os resultados (C x D x I). Se a relevância dessa informação é de 1 a 2, ela é pública, de 3 a 18, restrita, de 18 a 27, confidencial.

Como implementar uma política de classificação

Um conceito importante para a implementação de uma política de classificação é o do dono do risco. Ou seja, quem melhor sabe qual a criticidade de uma informação é a pessoa que lida diretamente com ela. Assim, implementar uma política de classificação eficiente é um esforço que envolve os gestores de cada área da organização.

O problema é que isso exige uma mudança de pensamento na empresa. A segurança da informação precisa deixar de ser a responsabilidade do setor de Tecnologia da Informação (TI) e passar a ser uma preocupação de todos os funcionários que lidam com ela. Assim, podemos dividir a proteção de informações em 4 partes:

1- Inventário

Listar as informações que são produzidas na organização ou que circulam por ela.

2- Classificação

Definir níveis de confidencialidade para as informações.

3- Política de Proteção

Diferenciar os recursos e processos utilizados para a proteção das informações de acordo com os seus níveis de confidencialidade.

4- Educação

Educar os funcionários a respeito dos riscos que o mau uso ou quebra de sigilo da informação podem acarretar para a organização. Além de sinalizar hábitos que precisam ser corrigidos, como o famoso post-it na tela do computador.

Os benefícios de classificar informações

Para garantir a segurança da sua organização, é preciso compreender a quais riscos ela está exposta e como preveni-los. Os riscos que você está disposto a aceitar deve ser uma escolha consciente. Nesse sentido, classificar as suas informações é essencial.

Além disso, escolher arbitrariamente as informações que devem ser protegidas ou tentar proteger a todas não é recomendável em termos de recursos financeiros e humanos. Suas informações estarão desprotegidas de qualquer forma se a sua equipe não souber separar o que é prioridade do que não é. Da mesma forma, em caso de vazamentos, alteração ou exclusão acidental ou deliberada, o tempo de resposta poderá se estender se a importância e o conteúdo da informação forem desconhecidos, o que pode representar uma crise.

Com a aprovação da LGPD, a classificação da informação é ainda mais importante, já que é preciso saber claramente quais são os dados que estão sendo manipulados e o seu propósito, além de garantir a sua proteção.

Entre em Contato

Se quiser saber um pouco mais sobre como classificar as suas informações, entre em contato conosco e converse com os nossos especialistas.