SlideShare a Scribd company logo

Classificação da informação

Fernando Palma
Fernando Palma

Apostila sobre classificação da informação (tema relacionado a segurança da informação). Autores: Bruno Reis, Jimmy Costa Mota, Patryck Pabllo Borges de Oliveira. Mais sobre segurança da informação: http://goo.gl/rNsNf8

Technology
1 of 10
Download to read offline
Classificação da Informação Bruno Reis, Jimmy Costa Mota, Patryck Pabllo Borges de Oliveira. Universidade Católica de Brasília (UCB), Campos Universitário II, SGAN 916 – Módulo B – Brasília – DF – Brasil. {bruno_p_reis@hotmail.com, heydjo@yahoo.com.br, patryckpabllo} Abstract. Information classification is of utmost value to the organizations because it allows the organization to direct its resources for information security. By knowing the integrity, availability and confidentiality levels of each piece of information the organization is able to create optimized and specific security policies. This article shows a way to classify the information into an organization, by identifying specific criteria and relevant practices. It also defines suggestions of practices that can be taken to implement information security to each suggested level of classification. Resumo. A classificação da informação é fundamental para que as organizações possam direcionar os seus recursos para sistemas de segurança. Sabendo o nível de disponibilidade, confidencialidade e integridade das informações com quais a organização trabalha, esta pode gerar políticas de segurança da informação otimizadas e específicas para cada recurso. Este texto mostra uma forma de se classificar a informação de uma empresa, se identificando os critérios e práticas relevantes. Ele também define idéias de práticas que podem ser tomadas para implementar a segurança da informação aos diversos níveis de classificação sugeridos. 1. Introdução Diversos procedimentos são adotados constantemente pelas organizações para garantir a segurança das informações. Salas-cofre, sistemas de criptografia, políticas e treinamento de funcionários e muitos outros procedimentos são adotados constantemente pelas organizações que para isso investem grandes quantias de dinheiro. Entretanto nem sempre esse dinheiro é bem investido pois muita informação desnecessária pode ser guardada por estes procedimento. Um exemplo pode ser um servidor de e-mail com e-mails pessoais, mantido dentro de uma política de backup e segurança rígida. O fato é que para implementar uma boa política de segurança é necessário se conhecer a importância das diversas informações recebidas,utilizadas, armazenadas e transmitidas pela organização. É a isto que este trabalho se propõe, uma metodologia para classificação das informações de uma organização. Isto visa facilitar o trabalho de segurança, permitindo se definir o nível de segurança que deve ser utilizado no armazenamento e transmissão das informações por esta metodologia categorizadas.
Este trabalho faz com que a organização economize e direcione melhor os seus recursos com segurança da informação. Esta classificação da informação serve também para a organização conhecer melhor a o escopo, as rotas e necessidades de informação com que trabalha podendo fazer com que a informação tenha o fluxo necessário para o bom desenvolvimento dos seus trabalhos. Ou seja, este trabalho facilita também que a informação esteja mais disponível na hora certa e para a pessoa certa. 2. A Importância da Informação A informação se situa entre o que podemos chamar de dado puro e o conhecimento. Ela consiste em um dado com uma interpretação sobre ele e, assim como o conhecimento, é muito importante nesta era atual, que vem sendo denominada de era da informação. Vejamos dois paradigmas desta era que a primeira vista podem até parecer paradoxal: • Na sociedade da informação, a informação é o principal patrimônio da empresa e está sob constante risco, precisando assim ser seguramente armazenada e protegida. • Na sociedade da informação, a informação é o principal ativo da empresa e precisa ser constantemente disseminada e trabalhada. Estas idéias têm em comum o reconhecimento que o uso efetivo da informação permite que uma organização aumente a eficiência de suas operações e representa um diferencial competitivo em relação aos concorrentes. Nesta era costuma se dizer que uma organização é as duas ou três coisa que ela faz de melhor. Isto quer dizer que o mais importante para a organização é todo o conhecimento e as informações que ela tem relativos aos processos do seu negócio específico. Aqueles que conhecem melhor da sua área tem mais ferramentas, que no caso são as informações, para se desempenharem melhor. Assim sendo ambos os paradigmas citados acima são verdadeiros e devem ser considerados para o bom desempenho da empresa. A informação que deve ser protegida com riscos de causar danos nas operações da empresa caso seja transmitida a quem não for autorizado e há a informação que deve ser disseminada, também com riscos de causar danos as operações da empresa caso não chegue ao seu destinatário, ou não esteja disponível na hora certa. 3. Classificando a Informação Existem quatro aspectos importantes para a classificação das informações. Cada tipo de informação deve ser examinado a partir desses aspectos para poder ser mais bem classificada: Integridade – a informação é atual, completa e mantida por pessoas autorizadas.
Disponibilidade - a informação está sempre disponível quando necessária ao pessoal autorizado. Confidencialidade – a informação só é acessada pelos indivíduos autorizados. Valor – a informação tem um alto valor para a organização. Outro fator que deve ser considerado ao se gerar uma política de segurança é o nível de ameaça conhecido que cada informação tem. Para isso devem ser respondidas questões como: Existem concorrentes buscando a informação? É possível que ela fique indisponível e por qual motivo isso pode acontecer? É uma informação fácil de perder a integridade, ficar desatualizada? 4. Níveis de Segurança Com base na análise dos parâmetros acima podemos chegar ao nível de segurança da informação. Um nivelamento de segurança pode seguir a seguinte classificação: Irrestrito – Esta informação é pública, podendo se utilizada por todos sem causar danos à organização. Interna – Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja disponibilizada ela não causa danos sérios à organização. Confidencial – Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes. Secreta – Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta é a informação considerada vital para a companhia. Para podermos chegar nestes níveis de segurança pode nos guiar também pela seguinte tabela apresentada por [Peltier]
Confidencialidade Integridade Disponibilidade Alta Confidencial Confidencial Crítica Média Interna Interna Moderada Baixa Pública Pública Baixa O que devemos notar é que o nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade. Uma informação que deve estar sempre disponível deve ter um serviço robusto trabalhando para isso, assim como uma informação confidencial também. E existem ainda os casos onde estes fatores se somam. Por exemplo, uma informação pode ter requisitos de confidencialidade média, mas integridade alta. Assim o nível de segurança da informação deve ser definido levando em conta todos estes fatores em conjunto e não apenas um deles isoladamente. E para isso surge a próxima questão que é quem define este nível. 5 Estabelecendo Responsabilidades Para definir o nível de segurança da informação de cada setor da organização a pessoa mais indicada é o próprio responsável daquele setor. Ele é quem certamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor. Após esta classificação ser feita também é importante que alguém de um nível superior a ele esteja verificando a classificação para garantir que as informações que precisem transitar entre os diversos setores não sejam demais protegidas e isoladas em um setor e também que as informações que não podem transitar estejam protegidas. Além do responsável pela classificação é preciso também estabelecer os responsáveis pela manutenção dos níveis de segurança definidos. Neste caso todos os funcionários devem ser envolvidos e deve ser criado um plano com um regime de responsabilidades claro e disponível para todos. Além disso, deve ser feito um treinamento para passar os dados deste plano e se possível deve haver um supervisor que verifique a efetivação do plano nos diversos setores da organização. 6 Implementando a Classificação Para a implementação da categorização devem ser consideradas as seguintes práticas:
• Identificação/Marcação dos Recursos Informacionais; • Armazenamento da Informação; • Transmissão de Informações; • Eliminação de Informação Desnecessária • Garantia da Integridade da Informação • Permissão de Acesso Apropriado • Estabelecimento de Responsabilidades Vejamos alguns exemplos destas implementações: 6.1 Para a Identificação/Marcação dos Recursos Informacionais Tipo do Documento Procedimento Documento em Papel Caso seja gerado dentro da organização deve apresentar o nível de segurança no rodapé de todas as páginas e na capa. Caso venha de fora deve ser marcado com uma etiqueta ou carimbo. E-mail Deve ter o nível de segurança identificado no título. Documentos Eletrônicos. Deve conter o nível de segurança na “meta data” do documento. Deve conter o departamento que criou o documento e a data. Caso seja um documento que venha a ser impresso deve apresentar o nível de segurança no rodapé de todas as páginas e na capa.
Dados, bancos de dados e aplicações. Deve conter o nível de segurança na “meta data” do documento. Os relatórios gerados devem seguir os padrões para documentos eletrônicos. Outros tipos de mídia. A classificação de segurança deve ser visível por etiquetas ou outros recursos que se façam necessários 6.2 Para o armazenamento das informações, de acordo com sua classificação. Classificaçã o Impressos Documentos Eletrônicos Irrestrito Sem requisitos especiais backups regulares para garantir a integridade e disponibilidade. Protegido Guardado em local seguro (sala trancada) Armazenado em áreas restritas do sistema operacional. Confidencial Guardado em local seguro com acesso restrito. Deve ter uma política de “mesa limpa” Armazenado em áreas restritas do sistema operacional com verificação de senha. Secreta Guardado em zona segura com controle de acesso. Política de mesa limpa. Armazenado em áreas restritas do sistema operacional com verificação de senha. Encriptado e com trilhas de auditoria.
Trilha de acesso para todos os pontos de acesso (assinatura). 6.3 Para transmissão das informações Classificaçã o Impressos Documentos Eletrônicos Irrestrito Sem requisitos especiais Sem requisitos especiais Protegido Envelope lacrado Carta registrada. Criptografia ou senhas em arquivos transmitidos Confidencial Envelope lacrado marcado com carimbo “confidencial” Notificação de Recebimento. Criptografia ou senhas em arquivos transmitidos utilizando uma rota segura. Confirmação de recebimento Secreta Envelope com duplo lacre transportado sob custódia. Criptografia ou senhas em arquivos transmitidos utilizando uma rota segura. Confirmação de recebimento Auditoria completa do processo
6.4 O descarte de informações O lixo de certas empresas pode vir a ser uma grande fonte de informações confidenciais caso as mesmas não se preocupem com o descarte das informações. De nada adianta um relatório ser confidencial, acessado com uma boa senha e transmitido com criptografia caso ele seja impresso e o papel jogado no lixo sem as informações serem eliminadas. Assim toda mídia impressa que contenha informações relevantes deve ser destruída antes de ser descartada. Isso pode ser feito por picotadores de papel. 6.5 Protegendo a integridade Para a proteção da integridade nos documentos eles devem todos conter informações que identifiquem sua origem assim como um carimbo caso se faça necessário. No caso de documentos eletrônicos eles devem ser controlados através de esquemas de permissão de acesso, restringindo a possibilidade de gravação aos usuários autorizados. Caso a necessidade de integridade seja alta, certos documentos devem ser armazenados em uma localização central, só podendo ser retirados sob-custódia e com tempo limitado. 6.6 O acesso as informações O acesso às informações deve ser feito de acordo com as políticas estabelecidas para o armazenamento das mesmas. 6.7 Responsabilidades Após as responsabilidades serem estabelecidas e definidas e os treinamentos serem feito cada funcionário deve assinar um termo de responsabilidade indicando sua concordância com a política estabelecida.
7 Um Processo para a Implementação da Classificação Para implantar a classificação proposta, considerando as práticas acima, podemos seguir os seguintes passos: • Inventário • Classificação de Risco • Definir Política da Organização • Definir Políticas por Projetos • Implementação de Práticas de Segurança • Treinamento • Identificação (marcação) • Monitoramento 8 Conclusões Com uma boa classificação das informações a organização não só poderá ter uma boa e otimizada política de segurança da informação como também terá outros benefícios. Ela poderá conhecer melhor os seus processos, pois se verá forçada a fazer um inventário das informações, poderá também conhecer as informações que precisa disponibilizar para seus clientes e que ainda não têm um canal apropriado para isso. Porém o trabalho de classificação da informação é um trabalho maior do que pode parecer a primeira vista pois envolve todos os departamentos de uma organização assim como seus responsáveis, além disso pode mexer ou expor algumas estruturas de poder dentro da organização. Assim sendo este trabalho deve ser feito por uma equipe competente e diversificada onde haja um patrocinador da alta gerência com motivação suficiente para poder tocar o projeto pois caso contrário o mesmo está sujeito a não ter o sucesso esperado.
9 Referências [PELTIER] PELTIER, Tomas R., “Standardinzing Information Classification”, Disponível em: http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci995767,00.html?Offer=SEc pcc42005 [DAVENPORT] DAVENPORT, T.H., “Ecologia da Informação: porque só a tecnologia não basta para o sucesso da era da informação”, Trad. Bernadete Siqueira. São Paulo, 1998. [ABREU] ABREU, Dimitri., “Melhores Práticas para Classificar as Informações”. Módulo e-Security Magazine. São Paulo, agosto 2001. Disponível em: http://www.modulo.com.br [SECURENET] SECURENET, “Gerindo Práticas de Segurança da Informação”, Abril 2001, Disponível em http://www.securenet.com.br/artigo.php?artigo=94

Recommended

Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
Intedya - AspectosClavedelanuevaISO270022022.pdf
Intedya - AspectosClavedelanuevaISO270022022.pdfIntedya - AspectosClavedelanuevaISO270022022.pdf
Intedya - AspectosClavedelanuevaISO270022022.pdf
NellyMoya
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
Jefferson Costa
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Iso27001
Iso27001 Iso27001
Iso27001
Arsene Allogo
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
Fabiano Da Ventura
 

Recommended

Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Iso 27002-2013
Iso 27002-2013Iso 27002-2013
Iso 27002-2013
Fabio Martins
 
Palestra - Segurança da Informação
Palestra - Segurança da InformaçãoPalestra - Segurança da Informação
Palestra - Segurança da Informação
João Carlos da Silva Junior
 
Intedya - AspectosClavedelanuevaISO270022022.pdf
Intedya - AspectosClavedelanuevaISO270022022.pdfIntedya - AspectosClavedelanuevaISO270022022.pdf
Intedya - AspectosClavedelanuevaISO270022022.pdf
NellyMoya
 
Segurança da informação - Forense Computacional
Segurança da informação - Forense ComputacionalSegurança da informação - Forense Computacional
Segurança da informação - Forense Computacional
Jefferson Costa
 
Conscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da InformaçãoConscientização sobre a Segurança da Informação
Conscientização sobre a Segurança da Informação
Jean Israel B. Feijó
 
Iso27001
Iso27001 Iso27001
Iso27001
Arsene Allogo
 
Cobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da InformaçãoCobit 5 - APO13 - Gestão da Segurança da Informação
Cobit 5 - APO13 - Gestão da Segurança da Informação
Fabiano Da Ventura
 
Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
Cleber Fonseca
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
EyesOpen Association
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
Rafael Maia
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
ControlCase
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
André Santos
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
William Martins
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
lancedafric.org
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
Pranay Kumar
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
Fernando Palma
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
Carlos Henrique Martins da Silva
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
Rodrigo Bueno Santa Maria, BS, MBA
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
Jean-Michel Razafindrabe
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
CompanyWeb
 
Auditor iso 45001 2018 - demo
Auditor iso 45001 2018 - demoAuditor iso 45001 2018 - demo
Auditor iso 45001 2018 - demo
GAC Gestão de Apoio para Corporações
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
MELLAH MOULOUD Sorbonne Université - Sciences et Ingénierie
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training course
Mart Rovers
 
Handreiking - Security Awareness (Concept)
Handreiking - Security Awareness (Concept)Handreiking - Security Awareness (Concept)
Handreiking - Security Awareness (Concept)
NAVI
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
Efrain Saavedra
 
Termo de confidencialidade
Termo de confidencialidadeTermo de confidencialidade
Termo de confidencialidade
Fernando Palma
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
Fernando Palma
 

More Related Content

What's hot

Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
Andre Verdugal
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
CompanyWeb
 

What's hot (20)

Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002Segurança da informação - Aula 7 - NORMA ISO 27002
Segurança da informação - Aula 7 - NORMA ISO 27002
 
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entrepriseProgramme de cybersécurité : Implementer le framework NIST CSF en entreprise
Programme de cybersécurité : Implementer le framework NIST CSF en entreprise
 
Iso27001 sgsi
Iso27001 sgsiIso27001 sgsi
Iso27001 sgsi
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
ISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of PrivacyISO 27001 In The Age Of Privacy
ISO 27001 In The Age Of Privacy
 
A História da Segurança da Informação
A História da Segurança da InformaçãoA História da Segurança da Informação
A História da Segurança da Informação
 
Apresentação - ISO 27001
Apresentação - ISO 27001Apresentação - ISO 27001
Apresentação - ISO 27001
 
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
MANAGEMENT DES SYSTMES DE MANAGEMENT: L'APPORT DE ISO 27001
 
Isms awareness presentation
Isms awareness presentationIsms awareness presentation
Isms awareness presentation
 
Certificacao iso 27001
Certificacao iso 27001Certificacao iso 27001
Certificacao iso 27001
 
Projeto em Seguranca da Informação
Projeto em Seguranca da InformaçãoProjeto em Seguranca da Informação
Projeto em Seguranca da Informação
 
Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)Aula 3 - Política de Segurança da Informação (PSI)
Aula 3 - Política de Segurança da Informação (PSI)
 
Boas Práticas em Segurança da Informação
Boas Práticas em Segurança da InformaçãoBoas Práticas em Segurança da Informação
Boas Práticas em Segurança da Informação
 
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptxcyberedu_module_4_cybersecurite_organisation_02_2017.pptx
cyberedu_module_4_cybersecurite_organisation_02_2017.pptx
 
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 FoundationISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
ISO/IEC 27002 Foundation - Preparatório para Certificação ISO 27002 Foundation
 
Auditor iso 45001 2018 - demo
Auditor iso 45001 2018 - demoAuditor iso 45001 2018 - demo
Auditor iso 45001 2018 - demo
 
ISO 27001
ISO 27001ISO 27001
ISO 27001
 
Iso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training courseIso iec 27032 foundation - cybersecurity training course
Iso iec 27032 foundation - cybersecurity training course
 
Handreiking - Security Awareness (Concept)
Handreiking - Security Awareness (Concept)Handreiking - Security Awareness (Concept)
Handreiking - Security Awareness (Concept)
 
Segurança da Informação
Segurança da InformaçãoSegurança da Informação
Segurança da Informação
 

Viewers also liked

Governança de Dados - Classificação da Informação e Revisão de Permissionamento
Governança de Dados - Classificação da Informação e Revisão de PermissionamentoGovernança de Dados - Classificação da Informação e Revisão de Permissionamento
Governança de Dados - Classificação da Informação e Revisão de Permissionamento
Virtù Tecnológica
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidade
Diego BBahia
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
Fernando Palma
 
Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001
Fernando Palma
 
Python - Guia de bolso
Python - Guia de bolsoPython - Guia de bolso
Python - Guia de bolso
Jean Lopes
 

Viewers also liked (18)

Termo de confidencialidade
Termo de confidencialidadeTermo de confidencialidade
Termo de confidencialidade
 
Resumo ISO 27002
Resumo ISO 27002Resumo ISO 27002
Resumo ISO 27002
 
Exemplo de política BYOD
Exemplo de política BYODExemplo de política BYOD
Exemplo de política BYOD
 
Classificação da Informação
Classificação da InformaçãoClassificação da Informação
Classificação da Informação
 
Pensando fora da Caixa
Pensando fora da CaixaPensando fora da Caixa
Pensando fora da Caixa
 
Governança de Dados - Classificação da Informação e Revisão de Permissionamento
Governança de Dados - Classificação da Informação e Revisão de PermissionamentoGovernança de Dados - Classificação da Informação e Revisão de Permissionamento
Governança de Dados - Classificação da Informação e Revisão de Permissionamento
 
Segurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidadeSegurança física e lógica e análise de vulnerabilidade
Segurança física e lógica e análise de vulnerabilidade
 
Segurança de dados
Segurança de dadosSegurança de dados
Segurança de dados
 
Pesquisa sobre BYOD
Pesquisa sobre BYODPesquisa sobre BYOD
Pesquisa sobre BYOD
 
64441203 seguranca
64441203 seguranca64441203 seguranca
64441203 seguranca
 
Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04Introdução a ISO 27002 - MOD04
Introdução a ISO 27002 - MOD04
 
Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001Introdução a ISO 9001 ISO 20000 e ISO 27001
Introdução a ISO 9001 ISO 20000 e ISO 27001
 
Ebook Gestão de segurança da informação e comunicações
Ebook Gestão de segurança da informação e comunicaçõesEbook Gestão de segurança da informação e comunicações
Ebook Gestão de segurança da informação e comunicações
 
OO em Python sem sotaque
OO em Python sem sotaqueOO em Python sem sotaque
OO em Python sem sotaque
 
Portfólio de serviços
Portfólio de serviçosPortfólio de serviços
Portfólio de serviços
 
Resumo ISO 27002
Resumo ISO 27002 Resumo ISO 27002
Resumo ISO 27002
 
Hackeando Dados públicos com python
Hackeando Dados públicos com pythonHackeando Dados públicos com python
Hackeando Dados públicos com python
 
Python - Guia de bolso
Python - Guia de bolsoPython - Guia de bolso
Python - Guia de bolso
 

Similar to Classificação da informação

Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
University of North Carolina at Chapel Hill
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
University of North Carolina at Chapel Hill Balloni
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
Daiana de Ávila
 
Capitulo 02 o caráter estratégico das informações
Capitulo 02 o caráter estratégico das informaçõesCapitulo 02 o caráter estratégico das informações
Capitulo 02 o caráter estratégico das informações
Luciano Morato
 
Wa2 tec. analise e desenv. sist. - seminários i
Wa2 tec. analise e desenv. sist. - seminários iWa2 tec. analise e desenv. sist. - seminários i
Wa2 tec. analise e desenv. sist. - seminários i
Andre Luiz
 

Similar to Classificação da informação (20)

Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicosCapítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos
 
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
Capítulo I: A segurança de sistemas da informação & aspectos sociotécnicos,...
 
Auditoria de sistemas de informação
Auditoria de sistemas de informaçãoAuditoria de sistemas de informação
Auditoria de sistemas de informação
 
Trabalho Segurança da Informação -
Trabalho Segurança da Informação - Trabalho Segurança da Informação -
Trabalho Segurança da Informação -
 
Gerenciamento Do Conhecimento
Gerenciamento Do ConhecimentoGerenciamento Do Conhecimento
Gerenciamento Do Conhecimento
 
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
QUESTÕES NORTEADORAS PARA ESTUDO DE USABILIDADE EM POLÍTICAS DE SEGURANÇA DA ...
 
Aula 1
Aula 1Aula 1
Aula 1
 
IT2S Group
IT2S GroupIT2S Group
IT2S Group
 
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
Serviços Confiáveis - CNASI 2015 (Tiago Tavares)
 
A importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizaçõesA importância dos sistemas de informações nas organizações
A importância dos sistemas de informações nas organizações
 
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
Um estudo sobre os habilitadores do cobit 5 sob a perspectiva da segurança da...
 
Segurança, ética e privacidade da informação
Segurança, ética e privacidade da informaçãoSegurança, ética e privacidade da informação
Segurança, ética e privacidade da informação
 
Protegendo as informações e a base de dados
Protegendo as informações e a base de dadosProtegendo as informações e a base de dados
Protegendo as informações e a base de dados
 
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
Como podemos garantir a segurança e a privacidade dos dados em um mundo cada ...
 
Capitulo 02 o caráter estratégico das informações
Capitulo 02 o caráter estratégico das informaçõesCapitulo 02 o caráter estratégico das informações
Capitulo 02 o caráter estratégico das informações
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
GOVERNANCA DE DADOS.pdf
GOVERNANCA DE DADOS.pdfGOVERNANCA DE DADOS.pdf
GOVERNANCA DE DADOS.pdf
 
Secinfo policies
Secinfo policiesSecinfo policies
Secinfo policies
 
Gestãorisco
GestãoriscoGestãorisco
Gestãorisco
 
Wa2 tec. analise e desenv. sist. - seminários i
Wa2 tec. analise e desenv. sist. - seminários iWa2 tec. analise e desenv. sist. - seminários i
Wa2 tec. analise e desenv. sist. - seminários i
 

More from Fernando Palma

Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
Fernando Palma
 

More from Fernando Palma (20)

CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
CRM Gerenciamento Do Relacionamento Com Clientes | Prof. Francisco Alves | C...
 
Formação em ciência de dados
Formação em ciência de dadosFormação em ciência de dados
Formação em ciência de dados
 
Apostila de Introdução ao Arduino
Apostila de Introdução ao ArduinoApostila de Introdução ao Arduino
Apostila de Introdução ao Arduino
 
Apostila Arduino Basico
Apostila Arduino BasicoApostila Arduino Basico
Apostila Arduino Basico
 
Cartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.brCartilha Segurança na Internet - CERT.br
Cartilha Segurança na Internet - CERT.br
 
Ebook Apache Server: Guia Introdutório
Ebook Apache Server: Guia IntrodutórioEbook Apache Server: Guia Introdutório
Ebook Apache Server: Guia Introdutório
 
Apostila Zend Framework
Apostila Zend FrameworkApostila Zend Framework
Apostila Zend Framework
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Ebook Governança de TI na Prática
Ebook Governança de TI na PráticaEbook Governança de TI na Prática
Ebook Governança de TI na Prática
 
Simulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões ComentadasSimulado ITIL Foundation - Questões Comentadas
Simulado ITIL Foundation - Questões Comentadas
 
Introdução à Aprendizagem de Máquina
Introdução à Aprendizagem de MáquinaIntrodução à Aprendizagem de Máquina
Introdução à Aprendizagem de Máquina
 
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)PDTI - Plano Diretor de Tecnologia da Informação (modelo)
PDTI - Plano Diretor de Tecnologia da Informação (modelo)
 
Guia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half BrasilGuia Salarial 2017 Robert Half Brasil
Guia Salarial 2017 Robert Half Brasil
 
Tutorial memcached
Tutorial memcachedTutorial memcached
Tutorial memcached
 
Gerenciamento na nuvem e System Center
Gerenciamento na nuvem e System CenterGerenciamento na nuvem e System Center
Gerenciamento na nuvem e System Center
 
SAN: Storage Area Network
SAN: Storage Area NetworkSAN: Storage Area Network
SAN: Storage Area Network
 
Linguagem ABAP
Linguagem ABAPLinguagem ABAP
Linguagem ABAP
 
Ebook ITIL Na Prática
Ebook ITIL Na PráticaEbook ITIL Na Prática
Ebook ITIL Na Prática
 
Exemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MECExemplo de Plano Estratégico de TI - MEC
Exemplo de Plano Estratégico de TI - MEC
 
Apostila Tutorial CakePHP
Apostila Tutorial CakePHPApostila Tutorial CakePHP
Apostila Tutorial CakePHP
 

Recently uploaded

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
2m Assessoria
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
2m Assessoria
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
2m Assessoria
 

Recently uploaded (8)

ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docxATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
ATIVIDADE 1 - LOGÍSTICA EMPRESARIAL - 52_2024.docx
 
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docxATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
ATIVIDADE 1 - GCOM - GESTÃO DA INFORMAÇÃO - 54_2024.docx
 
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docxATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
ATIVIDADE 1 - CUSTOS DE PRODUÇÃO - 52_2024.docx
 
Luís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdfLuís Kitota AWS Discovery Day Ka Solution.pdf
Luís Kitota AWS Discovery Day Ka Solution.pdf
 
Padrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemploPadrões de Projeto: Proxy e Command com exemplo
Padrões de Projeto: Proxy e Command com exemplo
 
Boas práticas de programação com Object Calisthenics
Boas práticas de programação com Object CalisthenicsBoas práticas de programação com Object Calisthenics
Boas práticas de programação com Object Calisthenics
 
Programação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdfProgramação Orientada a Objetos - 4 Pilares.pdf
Programação Orientada a Objetos - 4 Pilares.pdf
 
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docxATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
ATIVIDADE 1 - ESTRUTURA DE DADOS II - 52_2024.docx
 

Classificação da informação

  • 1. Classificação da Informação Bruno Reis, Jimmy Costa Mota, Patryck Pabllo Borges de Oliveira. Universidade Católica de Brasília (UCB), Campos Universitário II, SGAN 916 – Módulo B – Brasília – DF – Brasil. {bruno_p_reis@hotmail.com, heydjo@yahoo.com.br, patryckpabllo} Abstract. Information classification is of utmost value to the organizations because it allows the organization to direct its resources for information security. By knowing the integrity, availability and confidentiality levels of each piece of information the organization is able to create optimized and specific security policies. This article shows a way to classify the information into an organization, by identifying specific criteria and relevant practices. It also defines suggestions of practices that can be taken to implement information security to each suggested level of classification. Resumo. A classificação da informação é fundamental para que as organizações possam direcionar os seus recursos para sistemas de segurança. Sabendo o nível de disponibilidade, confidencialidade e integridade das informações com quais a organização trabalha, esta pode gerar políticas de segurança da informação otimizadas e específicas para cada recurso. Este texto mostra uma forma de se classificar a informação de uma empresa, se identificando os critérios e práticas relevantes. Ele também define idéias de práticas que podem ser tomadas para implementar a segurança da informação aos diversos níveis de classificação sugeridos. 1. Introdução Diversos procedimentos são adotados constantemente pelas organizações para garantir a segurança das informações. Salas-cofre, sistemas de criptografia, políticas e treinamento de funcionários e muitos outros procedimentos são adotados constantemente pelas organizações que para isso investem grandes quantias de dinheiro. Entretanto nem sempre esse dinheiro é bem investido pois muita informação desnecessária pode ser guardada por estes procedimento. Um exemplo pode ser um servidor de e-mail com e-mails pessoais, mantido dentro de uma política de backup e segurança rígida. O fato é que para implementar uma boa política de segurança é necessário se conhecer a importância das diversas informações recebidas,utilizadas, armazenadas e transmitidas pela organização. É a isto que este trabalho se propõe, uma metodologia para classificação das informações de uma organização. Isto visa facilitar o trabalho de segurança, permitindo se definir o nível de segurança que deve ser utilizado no armazenamento e transmissão das informações por esta metodologia categorizadas.
  • 2. Este trabalho faz com que a organização economize e direcione melhor os seus recursos com segurança da informação. Esta classificação da informação serve também para a organização conhecer melhor a o escopo, as rotas e necessidades de informação com que trabalha podendo fazer com que a informação tenha o fluxo necessário para o bom desenvolvimento dos seus trabalhos. Ou seja, este trabalho facilita também que a informação esteja mais disponível na hora certa e para a pessoa certa. 2. A Importância da Informação A informação se situa entre o que podemos chamar de dado puro e o conhecimento. Ela consiste em um dado com uma interpretação sobre ele e, assim como o conhecimento, é muito importante nesta era atual, que vem sendo denominada de era da informação. Vejamos dois paradigmas desta era que a primeira vista podem até parecer paradoxal: • Na sociedade da informação, a informação é o principal patrimônio da empresa e está sob constante risco, precisando assim ser seguramente armazenada e protegida. • Na sociedade da informação, a informação é o principal ativo da empresa e precisa ser constantemente disseminada e trabalhada. Estas idéias têm em comum o reconhecimento que o uso efetivo da informação permite que uma organização aumente a eficiência de suas operações e representa um diferencial competitivo em relação aos concorrentes. Nesta era costuma se dizer que uma organização é as duas ou três coisa que ela faz de melhor. Isto quer dizer que o mais importante para a organização é todo o conhecimento e as informações que ela tem relativos aos processos do seu negócio específico. Aqueles que conhecem melhor da sua área tem mais ferramentas, que no caso são as informações, para se desempenharem melhor. Assim sendo ambos os paradigmas citados acima são verdadeiros e devem ser considerados para o bom desempenho da empresa. A informação que deve ser protegida com riscos de causar danos nas operações da empresa caso seja transmitida a quem não for autorizado e há a informação que deve ser disseminada, também com riscos de causar danos as operações da empresa caso não chegue ao seu destinatário, ou não esteja disponível na hora certa. 3. Classificando a Informação Existem quatro aspectos importantes para a classificação das informações. Cada tipo de informação deve ser examinado a partir desses aspectos para poder ser mais bem classificada: Integridade – a informação é atual, completa e mantida por pessoas autorizadas.
  • 3. Disponibilidade - a informação está sempre disponível quando necessária ao pessoal autorizado. Confidencialidade – a informação só é acessada pelos indivíduos autorizados. Valor – a informação tem um alto valor para a organização. Outro fator que deve ser considerado ao se gerar uma política de segurança é o nível de ameaça conhecido que cada informação tem. Para isso devem ser respondidas questões como: Existem concorrentes buscando a informação? É possível que ela fique indisponível e por qual motivo isso pode acontecer? É uma informação fácil de perder a integridade, ficar desatualizada? 4. Níveis de Segurança Com base na análise dos parâmetros acima podemos chegar ao nível de segurança da informação. Um nivelamento de segurança pode seguir a seguinte classificação: Irrestrito – Esta informação é pública, podendo se utilizada por todos sem causar danos à organização. Interna – Esta informação é aquela que a organização não tem interesse em divulgar, cujo acesso por parte de indivíduos externos a ela deve ser evitado. Entretanto, caso esta informação seja disponibilizada ela não causa danos sérios à organização. Confidencial – Informação interna da organização cuja divulgação pode causar danos financeiros ou à imagem da organização. Essa divulgação pode gerar vantagens a eventuais concorrentes e perda de clientes. Secreta – Informação interna, restrita a um grupo seleto dentro da organização. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta é a informação considerada vital para a companhia. Para podermos chegar nestes níveis de segurança pode nos guiar também pela seguinte tabela apresentada por [Peltier]
  • 4. Confidencialidade Integridade Disponibilidade Alta Confidencial Confidencial Crítica Média Interna Interna Moderada Baixa Pública Pública Baixa O que devemos notar é que o nível de segurança pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade. Uma informação que deve estar sempre disponível deve ter um serviço robusto trabalhando para isso, assim como uma informação confidencial também. E existem ainda os casos onde estes fatores se somam. Por exemplo, uma informação pode ter requisitos de confidencialidade média, mas integridade alta. Assim o nível de segurança da informação deve ser definido levando em conta todos estes fatores em conjunto e não apenas um deles isoladamente. E para isso surge a próxima questão que é quem define este nível. 5 Estabelecendo Responsabilidades Para definir o nível de segurança da informação de cada setor da organização a pessoa mais indicada é o próprio responsável daquele setor. Ele é quem certamente conhece melhor as informações do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor. Após esta classificação ser feita também é importante que alguém de um nível superior a ele esteja verificando a classificação para garantir que as informações que precisem transitar entre os diversos setores não sejam demais protegidas e isoladas em um setor e também que as informações que não podem transitar estejam protegidas. Além do responsável pela classificação é preciso também estabelecer os responsáveis pela manutenção dos níveis de segurança definidos. Neste caso todos os funcionários devem ser envolvidos e deve ser criado um plano com um regime de responsabilidades claro e disponível para todos. Além disso, deve ser feito um treinamento para passar os dados deste plano e se possível deve haver um supervisor que verifique a efetivação do plano nos diversos setores da organização. 6 Implementando a Classificação Para a implementação da categorização devem ser consideradas as seguintes práticas:
  • 5. • Identificação/Marcação dos Recursos Informacionais; • Armazenamento da Informação; • Transmissão de Informações; • Eliminação de Informação Desnecessária • Garantia da Integridade da Informação • Permissão de Acesso Apropriado • Estabelecimento de Responsabilidades Vejamos alguns exemplos destas implementações: 6.1 Para a Identificação/Marcação dos Recursos Informacionais Tipo do Documento Procedimento Documento em Papel Caso seja gerado dentro da organização deve apresentar o nível de segurança no rodapé de todas as páginas e na capa. Caso venha de fora deve ser marcado com uma etiqueta ou carimbo. E-mail Deve ter o nível de segurança identificado no título. Documentos Eletrônicos. Deve conter o nível de segurança na “meta data” do documento. Deve conter o departamento que criou o documento e a data. Caso seja um documento que venha a ser impresso deve apresentar o nível de segurança no rodapé de todas as páginas e na capa.
  • 6. Dados, bancos de dados e aplicações. Deve conter o nível de segurança na “meta data” do documento. Os relatórios gerados devem seguir os padrões para documentos eletrônicos. Outros tipos de mídia. A classificação de segurança deve ser visível por etiquetas ou outros recursos que se façam necessários 6.2 Para o armazenamento das informações, de acordo com sua classificação. Classificaçã o Impressos Documentos Eletrônicos Irrestrito Sem requisitos especiais backups regulares para garantir a integridade e disponibilidade. Protegido Guardado em local seguro (sala trancada) Armazenado em áreas restritas do sistema operacional. Confidencial Guardado em local seguro com acesso restrito. Deve ter uma política de “mesa limpa” Armazenado em áreas restritas do sistema operacional com verificação de senha. Secreta Guardado em zona segura com controle de acesso. Política de mesa limpa. Armazenado em áreas restritas do sistema operacional com verificação de senha. Encriptado e com trilhas de auditoria.
  • 7. Trilha de acesso para todos os pontos de acesso (assinatura). 6.3 Para transmissão das informações Classificaçã o Impressos Documentos Eletrônicos Irrestrito Sem requisitos especiais Sem requisitos especiais Protegido Envelope lacrado Carta registrada. Criptografia ou senhas em arquivos transmitidos Confidencial Envelope lacrado marcado com carimbo “confidencial” Notificação de Recebimento. Criptografia ou senhas em arquivos transmitidos utilizando uma rota segura. Confirmação de recebimento Secreta Envelope com duplo lacre transportado sob custódia. Criptografia ou senhas em arquivos transmitidos utilizando uma rota segura. Confirmação de recebimento Auditoria completa do processo
  • 8. 6.4 O descarte de informações O lixo de certas empresas pode vir a ser uma grande fonte de informações confidenciais caso as mesmas não se preocupem com o descarte das informações. De nada adianta um relatório ser confidencial, acessado com uma boa senha e transmitido com criptografia caso ele seja impresso e o papel jogado no lixo sem as informações serem eliminadas. Assim toda mídia impressa que contenha informações relevantes deve ser destruída antes de ser descartada. Isso pode ser feito por picotadores de papel. 6.5 Protegendo a integridade Para a proteção da integridade nos documentos eles devem todos conter informações que identifiquem sua origem assim como um carimbo caso se faça necessário. No caso de documentos eletrônicos eles devem ser controlados através de esquemas de permissão de acesso, restringindo a possibilidade de gravação aos usuários autorizados. Caso a necessidade de integridade seja alta, certos documentos devem ser armazenados em uma localização central, só podendo ser retirados sob-custódia e com tempo limitado. 6.6 O acesso as informações O acesso às informações deve ser feito de acordo com as políticas estabelecidas para o armazenamento das mesmas. 6.7 Responsabilidades Após as responsabilidades serem estabelecidas e definidas e os treinamentos serem feito cada funcionário deve assinar um termo de responsabilidade indicando sua concordância com a política estabelecida.
  • 9. 7 Um Processo para a Implementação da Classificação Para implantar a classificação proposta, considerando as práticas acima, podemos seguir os seguintes passos: • Inventário • Classificação de Risco • Definir Política da Organização • Definir Políticas por Projetos • Implementação de Práticas de Segurança • Treinamento • Identificação (marcação) • Monitoramento 8 Conclusões Com uma boa classificação das informações a organização não só poderá ter uma boa e otimizada política de segurança da informação como também terá outros benefícios. Ela poderá conhecer melhor os seus processos, pois se verá forçada a fazer um inventário das informações, poderá também conhecer as informações que precisa disponibilizar para seus clientes e que ainda não têm um canal apropriado para isso. Porém o trabalho de classificação da informação é um trabalho maior do que pode parecer a primeira vista pois envolve todos os departamentos de uma organização assim como seus responsáveis, além disso pode mexer ou expor algumas estruturas de poder dentro da organização. Assim sendo este trabalho deve ser feito por uma equipe competente e diversificada onde haja um patrocinador da alta gerência com motivação suficiente para poder tocar o projeto pois caso contrário o mesmo está sujeito a não ter o sucesso esperado.
  • 10. 9 Referências [PELTIER] PELTIER, Tomas R., “Standardinzing Information Classification”, Disponível em: http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci995767,00.html?Offer=SEc pcc42005 [DAVENPORT] DAVENPORT, T.H., “Ecologia da Informação: porque só a tecnologia não basta para o sucesso da era da informação”, Trad. Bernadete Siqueira. São Paulo, 1998. [ABREU] ABREU, Dimitri., “Melhores Práticas para Classificar as Informações”. Módulo e-Security Magazine. São Paulo, agosto 2001. Disponível em: http://www.modulo.com.br [SECURENET] SECURENET, “Gerindo Práticas de Segurança da Informação”, Abril 2001, Disponível em http://www.securenet.com.br/artigo.php?artigo=94