Assim como é essencial reconhecer o quanto uma informação é importante para uma organização, reconhecer o quanto uma aplicação é importante também é necessário para definir o real valor desta aplicação à organização.
Definir diferentes níveis de importância de uma aplicação ou informação é essencial para a companhia propor o montante de recursos a serem empregados na proteção da informação ou aplicação.
A classificação da informação ajuda a garantir que os dados estão protegidos da melhor maneira, com o melhor custo benefício. Proteger e manter dados e aplicações custa dinheiro, mas é essencial gastar o dinheiro nas informações e aplicações que realmente necessitam de proteção.
Para definir a classificação da informação, o primeiro passo é definir quais os níveis de classificação, como no exemplo:
Após a escolha do nível de classificação da informação/aplicação, é necessário definir os controles que serão aplicados em cada nível de classificação. Por exemplo, em informações confidenciais, deve existir criptografia, controle de acesso e duplo fator de autenticação no acesso. No nível sensível, apenas autenticação simples e controle de acesso.
Para simplificar o processo de classificação e controle, pode ser utilizado uma matriz, conforme exemplo:
É claro que o exemplo acima é bem simples, apenas para ilustrar algumas formas de classificar e controlar a informação. A partir desta tabela, devem ser definidos como será a criptografia, o controle de acesso e o fator de autenticação adicional.
Por exemplo, em aplicações Confidenciais, a criptografia poderá ser realizada através de SSL, IPsec. O fator adicional de autenticação pode ser certificação digital ou Token físico. A companhia deverá definir os níveis de controle em conjunto com os níveis de classificação.
Não podemos esquecer do processo de destruição da informação, ou seja, quando a informação deixa de ser essencial e pode ser descartada. Também devem ser incluídos aplicações ou sistemas que hospedam informações, pois devem ser tratados da mesma forma.
Um sistema que contenha informações sobre clientes que esteja sendo substituído por um sistema mais atual ou de outro fabricante deve ser descartado de forma que as informações sejam eliminadas totalmente e não possam ser recuperadas de nenhuma forma após o descarte dos discos rígidos, por exemplo.
É necessário também definir processos de descarte, como destruição completa dos discos rígidos, reescrita de fitas de backup e desmagnetização, destruição de papel com informações classificadas, etc. O processo de classificação e controle deve ser pensado desde quando a informação é criada até o momento em que não é mais necessária e deve ser destruída.
Ao iniciar o processo, pense nas seguintes etapas:
1. Definir os níveis de classificação
2. Especificar o critério que irá determinar como a informação/aplicação será classificada.
3. Indicar o Dono da informação/aplicação
4. Indicar o custo diante da informação/aplicação (o responsável por manter a informação e o nível de segurança).
5. Indicar os controles de segurança ou mecanismos de proteção necessários para cada nível de classificação.
6. Documentar qualquer exceção aos níveis de classificação estabelecidos.
7. Indicar os métodos utilizados para transferir a custódia da informação a outro dono da informação/aplicação
8. Criar um procedimento para periodicamente revisar a classificação da informação/aplicação e seus donos.
9. Criar procedimento para descarte da informação.
10. Integrar estes procedimentos nas rotinas dos funcionários, para que estes entendam como manipular dados e aplicações com diferentes níveis de classificação.
(Por Fabrício Santos – Especialista em Segurança da Informação)
