Segurança da Informação
Classificando Informações
É curioso observar funcionamento do processo cognitivo humano: nossos sentidos transportam toda a espécie de estímulos até o nosso cérebro que, através de uma série de referências pré-existentes, analisa, compara e, finalmente, designa um conceito no qual nos fiamos para nomear aquilo que ora estamos manipulando.
Este mecanismo funciona a uma velocidade tão aterradora, que não raro, nos esquecemos de que bastam somente milésimos de segundos, às vezes até menos, para que a nossa mente execute um grande número de instruções e forneça uma impressão lógica daquilo que estamos interagindo. Em meio ao caos que é o raciocínio humano, uma das regras que seguimos instintivamente ao pensar é classificar.
Só para nos divertirmos um pouco, convido-os para uma experiência sensorial: pense em um limão. mentalize seu cheiro, gosto e textura. Imagine-se agora partindo este limão ao meio e espremendo o seu suco diretamente em sua língua. Posso apostar que, automaticamente, você ficou com a boca cheia de água não foi? Tudo aconteceu sem que seu consciente participasse do ocorrido. Sorrateiramente, antes de manipular o limão, sua mente lhe informou que limão pertence a categoria que denominados frutas. Infelizmente você não notou. Agora, imagine algo vermelho: você pensou em cor? Não? Talvez não tenha percebido. Na verdade, julgamos e classificamos coisas todo o tempo sem nos darmos conta.
É natural que quando estamos tentando proteger alguma coisa, tenhamos a necessidade de critérios para discernir prioridades. A dor, por exemplo, é como o nosso corpo consegue chamar nossa atenção para a necessidade de um determinado remédio ser utilizado. Similarmente, a política de classificação da informação assume a ponta no processo de implementação de uma estratégia de segurança porque ela nos fornecerá critérios para identificarmos que informações tem valor para sua companhia e, como se deve proceder ao manipulá-las.
Já vimos no artigo anterior que segurança da informação é INTEGRIDADE, CONFIDENCIALIDADE e DISPONIBILIDADE. Aí se encontram os primeiros pilares para composição de uma boa política de classificação de informações.
Pergunte-se: o que realmente importa sob esta ótica? Como identificar, armazenar e transmitir dados corporativos que, se negligenciados, podem trazer imensos prejuízos a sua empresa?
Talvez, em uma informação pública, controles de confidencialidade sejam dispensáveis, mas, certamente, será imprescindível que ela esteja "disponível" e "íntegra". Em outros casos, como uma informações de natureza financeira, todas as propriedades adquirem criticidade. Então, vejamos um exemplo de sistema de classificação:
| Classificação da informação | Nível de criticidade | ||
| Baixa | Media | Alta | |
| Confidencialidade | Uso interno | Confidencial | Confidencial ou secreto |
| Integridade | Não crítica | Crítica | Muito crítica |
| Disponibilidade | Não crítica | Crítica | Muito crítica |
Cada companhia tende a adotar sistemas diferentes, é provável que em suas pesquisas você encontre variações na nomenclatura utilizada. O importante é que, após o uso do sistema, fique claro para todos, através de uma sinalização eficiente (etiquetas, avisos nas capas de documento, CDs, disquetes, etc.) o quanto aquela informação representa para o negócio da sua empresa.
Tão, ou mais significativo para segurança, é saber como aplicar adequadamente controles que possam assegurar um tratamento diferenciado a cada requisito indicado pelo sistema de classificação adotado. Uma idéia fundamental para que tudo funcione é que cada informação tenha um autor, "dono" da informação, capaz de estimar em que nível de criticidade cada uma se enquadra. Já vi casos em que uma planilha básica contendo referências sobre a natureza de cada informação ajudarem muito no início.
Finalmente, lembre-se de que o bom senso é o melhor amigo de todos: em lugar onde tudo é confidencial, nada é confidencial. Mesmo considerando as idiossincrasias envolvidas no processo de classificar coisas, é melhor optar como regra ser bastante criterioso ao atribuir caráter confidencial ou crítico à uma informação, até porque, qualquer medida de segurança traz consigo um custo associado, que pode ser financeiro ou operacional.
No próximo artigo falaremos de continuidade de negócios, abraços e até lá.
Artigos de 2006
- Maio: Não é bem assim!
- Março: De olho no futuro, mas cuidando do presente.
- Janeiro: Um novo começo.
Artigos de 2005
- Janeiro: A Segurança da Informação: A Raiz do Problema.
- Fevereiro: O Início é o começo.
- Abril: Classificando Informações.
- Maio: Murphy no país das maravilhas.
- Junho: Monte você mesmo o seu Security Office.
- Julho: Por uma simples questão de bom senso.
- Agosto: A propaganda é a alma do negócio.
- Setembro: Da diferença entre o discurso e a prática.
- Outubro: Fogo Cruzado.
- Novembro: Segurança Física: parecer o que se é.
- Dezembro: Saber ouvir: a chave para uma boa auditoria.
Carlos Santanna trabalha como Security Officer de uma multinacional.
carlos.santanna@internativa.com.br
