Classificando a informação



Dentre todas as regras adotadas na gestão da segurança da informação, talvez a mais importante de todas e a mais negligenciada com postergação ad infinitum seja a classificação das informações. Na minha visão (infosecurity), caso não haja possibilidade de desenvolver um pacote completo de políticas e práticas da segurança informação, deveria haver pelo menos dois documentos balizadores e fundamentais: (a) uma definição da política de segurança no estilo do bíblico “Dez Mandamentos”, direta, rápida, concisa, que possa ser decorada por todos, e (b) a política de classificação das informações.

Classificando a informação: determinante para a gestão de segurança

Pela necessidade de ser longa, detalhista e trabalhosa, as empresas preferem deixar para o “final” a sua elaboração, sem saber que criar o padrão de classificação de informações depois que todas as políticas, normas, procedimentos e etc estiverem prontos obrigará a uma revisão completa e detalhada de toda a documentação de segurança da informação, criando muitas vezes, conflitos quase que insolucionáveis. Fora isso, o tal “final” nunca será alcançado.

A elaboração da política de classificação de informações deve começar com a definição em quais dimensões da segurança as informações serão classificadas: quanto à confidencialidade, quanto à disponibilidade e quanto à integridade. Na maioria das vezes opta-se por definir as dimensões uma de cada vez. E se essa for a opção adotada, minha sugestão é que se observe a ordem apresentada acima como uma ordem de prioridade (1-confidencialidade, 2-disponibilidade e 3-integridade).

Definidas as dimensões, ou assumindo-se a confidencialidade como o foco inicial, deve-se definir quantos e quais deverão ser os níveis de classificação. No mínimo, adota-se três níveis: pública, interna e confidencial. É factível adotar-se outros níveis mais ou menos rígidos de classificação quanto à confidencialidade. Eu particularmente considero como ideal para a primeira adoção, quatro níveis: confidencial (informação com lista de acesso nominal), restrita (informacão com lista de acesso funcional), interna (informação vedada ao mundo exterior) e pública (informação tratada para divulgação).

Até aqui o processo foi simples, direto, rápido e indolor. A partir de agora é preciso no mínimo bom senso para pesar custos e benefícios, pois é agora que se definirão os procedimentos e práticas que serão exigidos das informações nos vários níveis de classificação adotados dentro das dimensões de segurança definidas. Toda classificação precisa ter a especificação de regras e processos nas quatro fases de vida de uma informação: criação e /ou adoção, uso e/ou manuseio, guarda e/ou transporte e descarte.

Perceberam que até aqui, em nenhum momento eu comentei sobre gestor, proprietário, dono, responsável ou qualquer outra definição sobre quem é a pessoa que se deva procurar para tratar de assuntos sobre determinada informação da organização? E se não tratei diretamente durante a explanação sobre a Classificação de Informações é porque essa é uma definição estrutural e fundamental que deve (obrigatoriamente) ser definida na macro política, aquela no formato “Dez Mandamentos”, por exemplo: toda informação terá um (dono, gestor, gerente, proprietário, responsável, etc). Como no dia a dia existem situações de conflito que necessitam ser “escaladas”, é de bom tom definir o topo da hierarquia como o “chefe” ou aquele que dá a última palavra sobre qualquer assunto referente as classificações das informações. Esse “chefe” ou o nome que se queira dar, deverá ser o superior mais alto dentro da hierarquia funcional do “gestor” (ou o nome que etc…) operacional de cada informação.

Belíssimo trabalho. Desse momento em diante tudo será muito mais fácil para a gestão da Segurança da Informação. Exceto pelo exemplo que vivenciei em um projeto desse tipo em uma mega organização (mais de 100.000 funcionários). Quando quase tudo estava pronto, alguém do Comitê de Segurança que liderava os trabalhos se levanta preocupado e pergunta:

- Fizemos um belo trabalho, mas como operacionalizar isso? Digamos que faremos a apresentação para a alta direção em uma sexta-feira, na segunda pararemos a empresa para que todos direcionem seus esforços para classificar todas as milhares (milhões?) de informações?

Se essa pergunta fosse feita antes da contratação do tabalho, acredito que nunca teriam contratado. Pode até ser que antevendo a pergunta crítica do vamos parar a empresa para classificar as informações é que muitos CSOs nem levem esse projeto para a alta direção. Todavia, a solução é simples e frugal: define-se uma faixa de classificação que será a padrão (qualquer uma das que foram adotadas), ou seja, toda informação que não tiver um “rótulo” será tratada como sendo classificação padrão. No dia “Zero” todas as informações amanhecerão classificadas como “Padrão” (Internas? Pode ser!). Quem precisar aumentar ou reduzir o nível de classificação, que se mexa, pois a Política de Segurança (aquela “Dez…”) já definiu anteriormente as responsabilidades e obrigações do gestor da informação. O resto é suor.



Você gostaria de receber as atualizações do Monolithos? Assine o feed, Clique aqui.
Esta entrada foi publicada em Políticas e marcada com a tag , , , . Adicione o link permanenteaos seus favoritos.

Deixe uma resposta

O seu endereço de email não será publicado Campos obrigatórios são marcados *

*

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>