Classificação da informação-nível de detalhamento

Author Photo
9:51 am - 14 de agosto de 2013

Classificação da informação é um dos aspectos que devem ser considerados no processo de segurança da informação. Normalmente a abordagem mais comum é a classificação em relação ao grau de sigilo da informação. Mas, devemos lembrar que também podemos (ou devemos) classificar a informação em relação ao seu gestor, ao seu custodiante, ao tempo de retenção em cópias de segurança por questões regulatórias e também em relação ao que deve ser feito com essa informação caso a organização encerre suas atividades. A classificação da informação em relação ao grau de sigilo é a abordagem mais comum e vamos nos ater a esse aspecto. Ao considerar as informações no ambiente computacional e de tecnologia surge sempre a questão: qual o nível de detalhamento que se deve utilizar para considerar a classificação? Arquivo? Campo? Conjunto de campos? Registro do arquivo? Transação? Para responder essa questão devemos inicialmente entender, por que estamos classificando a informação em relação ao nível de sigilo? A resposta correta é: para podermos definir cuidados (ações, processos, procedimentos) que devem ser executados em relação à informação que esteja classificada em cada um dos níveis existentes. Por exemplo: uma informação confidencial deve sempre ser criptografada quando trafegar na Internet. Outro exemplo: um documento contendo o nível de classificação pública pode ser colocado no lixo sem a necessidade de destruição. Alguns profissionais confundem o objetivo da classificação com a questão do controle de acesso à informação. Exceto em situações muito específicas e normalmente não aplicáveis ao mundo empresarial, classificação da informação não tem como objetivo o controle de acesso à informação. O acesso do usuário à informação deve ser autorizado pelo gestor da informação caso o usuário necessite da informação para o desempenho das suas atividades profissionais na organização, independente no nível de sigilo da informação e independente do nível hierárquico do usuário. Se o usuário não precisa da informação para o desempenho das suas funções profissionais, não terá acesso à informação, mesmo que ela não seja confidencial. Uma segunda questão é: quem vai classificar o nível de sigilo da informação? Essa tarefa é uma responsabilidade do gestor da respectiva informação. Considerando essas duas questões, o objetivo da classificação e a responsabilidade pela classificação da informação, devemos tomar por base a seguinte orientação: o nível de granularidade da informação a ser utilizada para a classificação em relação ao sigilo, deve ser um nível que o gestor entenda e seja significativo para ele. No ambiente computacional considerando para efeito do gestor, um bom conjunto de referência é: transações, telas geradas por transações, relatórios gerados por transações. Para o ambiente computacional mais técnico, podemos considerar que o nível de sigilo de um arquivo deve ser igual ao maior nível de sigilo do conjunto de transações que tomam por base esse arquivo. Existem situações específicas que devem ser consideradas, por exemplo: o campo de senha (cujo gestor é o gestor da segurança da informação) deve ter o maior nível de sigilo e deve estar sempre criptografado ao ser armazenado, transmitido e apresentado. Não devemos esquecer que é necessário existir uma política definindo os níveis de confidencialidade da informação e o tratamento que deve ser dado às informações classificadas em cada nível. O conceito de nível de sigilo da informação é de simples entendimento, porém a implementação completa da classificação da informação é complexa e trabalhosa. Uma boa recomendação é realizar a atividade de classificação da informação por partes e começar com um projeto piloto. Dessa forma pode-se avaliar se o que foi definido está possível de ser implementado e se os usuários e gestores entendem e desempenham bem suas responsabilidades. A prioridade da implementação da classificação da informação considerando o nível de sigilo em relação aos demais aspectos da segurança vai depender do conjunto controles ainda necessários para posicionar a proteção da informação no nível adequado para a organização. Sempre devemos considerar o conjunto de ações que precisam ser implementadas para a segurança da informação. Edison Fontes, CISM, CISA.                                                                  Gerente Sênior CPM Braxis, Participa ABSEG, ISACA e InfoSecCouncil. [email protected]   

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.