top of page
Buscar
  • vitormaleite

Classificar informação? Pra Quê?

Antes de nós entrarmos no tema em questão desse artigo, é importante nos lembrarmos de algo super importante que está ilustrado na imagem abaixo:


Eu adoro essa figura, porque apesar de simples ela nos diz muita coisa. Vamos ampliá-la!?


Todo negócio para entregar/fornecer um serviço ou produto aos seus clientes, em sua cadeia de valor gera/trata informações o tempo todo, que podem estar em Relatórios, Indicadores, Projetos, Balanços Financeiros, Orçamentos, Contratos, Códigos fontes, os exemplos são inúmeros...


Para que possamos garantir a segurança dessas informações, precisamos ter o equilíbrio entre os três pilares: Pessoas, Processos e Tecnologia. Para exemplificar este equilíbrio, imagine um Gestor de Projetos que está consolidando o relatório de status das vulnerabilidades encontradas em um teste de invasão que foi realizado por uma empresa terceira que foi contratada...Pela sensibilidade das informações desse relatório, ele só poderá ser acessado pelos Responsáveis pelos sistemas envolvidos nos testes, armazenado em locais corporativos autorizados e enviado as partes interessadas somente por meio criptografado...mas como sabemos disso? O que pode nos indicar no dia a dia como essa informação deve ser manuseada e protegida?


A Classificação da Informação seria a resposta para esta pergunta. Pois, como a própria ABNT/NBR 27002:2022, pg. 27, seção 5.12 Classificação das Informações, nos indica, seu propósito é de:


[...] Assegurar a identificação e o entendimento das necessidades de proteção das informações de acordo com a sua importância para a organização [...]

Sabendo disso, se retomarmos agora o cenário fictício que desenhamos, supondo que a empresa que onde o Gestor de Projetos trabalha possui um trecho em sua Política de Classificação da Informação com os descritivos abaixo, como você classificaria o relatório de status das vulnerabilidades? :


Formato Digital

Uso

Confidencial

Interna

Restrita

Acesso

Informação pode ser acessada por um grupo específico de pessoas

Informação pode ser acessada por todos os colaboradores da organização

Informação pode ser acessada por todos os colaboradores da sua equipe

Transmissão

Deve ser transmitida para o grupo específicos de pessoas apenas por meio criptografado

Deve ser transmitida para todos os colaboradores apenas por meio criptografado

Deve ser transmitida para colaboradores da equipe apenas por meio criptografado

Armazenamento

Pode ser armazenada apenas no Sharepoint corporativo restrito ao grupo específico de pessoas

Pode ser armazenada, por exemplo, em sistemas de documentos e de intranet da empresa

Pode ser armazenada apenas no Sharepoint corporativo restrito apenas a colaboradores da sua equipe

​Descarte

Deve ser removido de forma segura utilizando o software "XYZ"

Pode ser removido pela forma padrão do sistema operacional

Deve ser removido de forma segura utilizando o software "XYZ"

Impacto

Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos financeiros, operacionais, de imagem, legais e de segurança para a empresa

Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos de imagem e legais para a empresa

Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos operacionais, de imagem, legais e de segurança para a empresa

Exemplos

Dados de Saúde, Dados regulados, Balanço Financeiros, Planejamento estratégico, Relatórios de Testes e Análises

Comunicados, Informativos e Documentos de Política, processos, normas e procedimentos

Projetos, Indicadores, Atas de reuniões


.......


.......


.......


.......


.......


Se você respondeu "Confidencial" acertou.


Como o relatório é destinado a um grupo específico de pessoas, o Gestor de projetos depois de apresentá-lo para os responsáveis pelos sistemas, no momento de enviá-lo por e-mail, deverá classificá-lo como Confidencial, bem como o próprio relatório. Imaginando que a empresa fictícia em questão utilize as soluções da Microsoft, no e-mail e para o arquivo aparecia mais ou menos assim:

Desta forma, nenhuma outra pessoa, além dos responsáveis pelo sistema conseguirão acessar o arquivo no Sharepoint enviado. Além disso, ao selecionar o e-mail como "Confidencial" por trás o comportamento é que o e-mail seja criptografado....


Que coisa linda não é mesmo?


Obviamente que com a tecnologia por trás, no exemplo que dei o Microsoft Purview, para fins didático, facilitaria bastante, mas claro que é possível fazer sem tecnologias robustas, seria mais trabalhoso, mas a mensagem que quero deixar é que independente de como ela será implementada, sua empresa precisa ter uma política e processo de classificação da informação para que a informação seja tratada de maneira segura em todo o seu ciclo de vida...


Para mais detalhes sobre o tema recomendo consultar as referências abaixo:

ABNT/NBR 27002:2022

5.12 - Classificação das informações

5.13 - Rotulagem de informações

5.14 - Transferência de informações


CIS Control 3 - Proteção de Dados


NIST - CSF

ID.AM-5

PR.PT-2


= )


41 visualizações0 comentário

Posts recentes

Ver tudo
bottom of page