Antes de nós entrarmos no tema em questão desse artigo, é importante nos lembrarmos de algo super importante que está ilustrado na imagem abaixo:
Eu adoro essa figura, porque apesar de simples ela nos diz muita coisa. Vamos ampliá-la!?
Todo negócio para entregar/fornecer um serviço ou produto aos seus clientes, em sua cadeia de valor gera/trata informações o tempo todo, que podem estar em Relatórios, Indicadores, Projetos, Balanços Financeiros, Orçamentos, Contratos, Códigos fontes, os exemplos são inúmeros...
Para que possamos garantir a segurança dessas informações, precisamos ter o equilÃbrio entre os três pilares: Pessoas, Processos e Tecnologia. Para exemplificar este equilÃbrio, imagine um Gestor de Projetos que está consolidando o relatório de status das vulnerabilidades encontradas em um teste de invasão que foi realizado por uma empresa terceira que foi contratada...Pela sensibilidade das informações desse relatório, ele só poderá ser acessado pelos Responsáveis pelos sistemas envolvidos nos testes, armazenado em locais corporativos autorizados e enviado as partes interessadas somente por meio criptografado...mas como sabemos disso? O que pode nos indicar no dia a dia como essa informação deve ser manuseada e protegida?
A Classificação da Informação seria a resposta para esta pergunta. Pois, como a própria ABNT/NBR 27002:2022, pg. 27, seção 5.12 Classificação das Informações, nos indica, seu propósito é de:
[...] Assegurar a identificação e o entendimento das necessidades de proteção das informações de acordo com a sua importância para a organização [...]
Sabendo disso, se retomarmos agora o cenário fictÃcio que desenhamos, supondo que a empresa que onde o Gestor de Projetos trabalha possui um trecho em sua PolÃtica de Classificação da Informação com os descritivos abaixo, como você classificaria o relatório de status das vulnerabilidades? :
Formato Digital
Uso | Confidencial | Interna | Restrita |
Acesso | Informação pode ser acessada por um grupo especÃfico de pessoas | Informação pode ser acessada por todos os colaboradores da organização | Informação pode ser acessada por todos os colaboradores da sua equipe |
Transmissão | Deve ser transmitida para o grupo especÃficos de pessoas apenas por meio criptografado | Deve ser transmitida para todos os colaboradores apenas por meio criptografado | Deve ser transmitida para colaboradores da equipe apenas por meio criptografado |
Armazenamento | Pode ser armazenada apenas no Sharepoint corporativo restrito ao grupo especÃfico de pessoas | Pode ser armazenada, por exemplo, em sistemas de documentos e de intranet da empresa | Pode ser armazenada apenas no Sharepoint corporativo restrito apenas a colaboradores da sua equipe |
​Descarte | Deve ser removido de forma segura utilizando o software "XYZ" | Pode ser removido pela forma padrão do sistema operacional | Deve ser removido de forma segura utilizando o software "XYZ" |
Impacto | Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos financeiros, operacionais, de imagem, legais e de segurança para a empresa | Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos de imagem e legais para a empresa | Se a informação for acessada por pessoas não autorizadas de forma acidental ou proposital pode causar impactos operacionais, de imagem, legais e de segurança para a empresa |
Exemplos | Dados de Saúde, Dados regulados, Balanço Financeiros, Planejamento estratégico, Relatórios de Testes e Análises | Comunicados, Informativos e Documentos de PolÃtica, processos, normas e procedimentos | Projetos, Indicadores, Atas de reuniões |
.......
.......
.......
.......
.......
Se você respondeu "Confidencial" acertou.
Como o relatório é destinado a um grupo especÃfico de pessoas, o Gestor de projetos depois de apresentá-lo para os responsáveis pelos sistemas, no momento de enviá-lo por e-mail, deverá classificá-lo como Confidencial, bem como o próprio relatório. Imaginando que a empresa fictÃcia em questão utilize as soluções da Microsoft, no e-mail e para o arquivo aparecia mais ou menos assim:
Desta forma, nenhuma outra pessoa, além dos responsáveis pelo sistema conseguirão acessar o arquivo no Sharepoint enviado. Além disso, ao selecionar o e-mail como "Confidencial" por trás o comportamento é que o e-mail seja criptografado....
Que coisa linda não é mesmo?
Obviamente que com a tecnologia por trás, no exemplo que dei o Microsoft Purview, para fins didático, facilitaria bastante, mas claro que é possÃvel fazer sem tecnologias robustas, seria mais trabalhoso, mas a mensagem que quero deixar é que independente de como ela será implementada, sua empresa precisa ter uma polÃtica e processo de classificação da informação para que a informação seja tratada de maneira segura em todo o seu ciclo de vida...
Para mais detalhes sobre o tema recomendo consultar as referências abaixo:
ABNT/NBR 27002:2022
5.12 - Classificação das informações
5.13 - Rotulagem de informações
5.14 - Transferência de informações
CIS Control 3 - Proteção de Dados
NIST - CSF
ID.AM-5
PR.PT-2
= )