Artigos

Adequação quanto à Classificação da Informação

By 12 de setembro de 2019 No Comments

*Raissa Ataide

Qual a importância da adequação quanto à Classificação da Informação?

O Valor do Ativo

A informação possui um grande valor e é considerada um dos principais patrimônios para as empresas, por este motivo, é de suma importância que seja estabelecido controles de Segurança da Informação para protegê-las.
Atualmente as organizações lidam com muitas informações sensíveis, de caráter confidencial, como exemplo, dados financeiros, pessoais e estratégicos.
Possíveis ameaças podem atingir estes ativos e estas, devem ser mapeadas para que os riscos que infrinjam a confidencialidade, integridade e disponibilidade sejam sanados antes que afetem diretamente a organização.

Finalidade

O intuito da classificação da informação é que seja estabelecido um parâmetro de proteção adequado a sua importância para a empresa, visando a segurança em todo o percurso, desde o armazenamento, processamento até o manuseio.

Para apoiar a organização na implementação de controles e criar uma política bem estabelecida e em compliance com requisitos de segurança, a Norma ISO/IEC 27002:2013 auxilia com as melhores práticas para gestão de segurança da informação e na definição de processos, garantindo que sejam revisados continuamente e adequados aos requisitos internos, resultando em metodologias mais estruturadas.

O ganho de maturidade é perceptível para a empresa, pois o gerenciamento dos dados sensíveis passa a ser controlado e riscos podem ser remediados. As melhorias ocorrem até na sinergia entre áreas e funcionários, pois, uma boa implementação está vinculada a treinamentos e meios de conscientização. Quando todos seguem as mesmas diretrizes, estão cientes das vulnerabilidades internas e os meios de prevenção, resulta em uma diminuição dos riscos, principalmente nos casos de vazamento de informações.

Rotulagem

As próprias empresas podem definir os critérios de rotulagem para suas informações, mas é necessário que estes selos estejam bem documentados e definidos na política interna de classificação da informação. A clareza e o detalhamento, influenciam na base de conhecimento de todos que manuseiam alguma informação e na maneira como atuam.

Hoje a maioria das organizações, por padrão, utilizam os seguintes rótulos:

• Confidencial e/ou Restrita: informações que necessitam do mais alto nível de proteção.
• Interna: ativos utilizados internamente e que possam ser compartilhados por áreas internas da empresa.
• Pública: de comum acesso a todos, que podem ser visíveis por qualquer um.
Como responsabilidade da empresa, cabe a definição de quais informações serão enquadradas entre estes critérios.

Informações de Destaque

Vale lembrar:

• O Dono da Informação é responsável pela sua classificação;
• Uma informação não classificada, pode ser considerada como pública e não condizer com a sua real criticidade. Por este motivo, TODAS as informações que circularem na organização, devem ser classificadas;
• Se necessário, estabeleça na política interna que informações com dados extremamente confidenciais devem utilizar recursos de criptografia, estes ajudam a dificultar o acesso indevido nos dados;
• Realize continuamente o processo de reclassificação das informações;
• Se preocupe com o descarte seguro destes dados, desde informação documentacional (papel) com fragmentadores, até mídias digitais e arquivos deletados nas máquinas, como a utilização da ferramenta Eraser;
• Garanta que quando formatado, nenhuma informação permanece acessível a outra pessoa em dispositivos móveis;
• Relate os Incidentes de Segurança da Informação e se preocupe em corrigí-los de maneira eficaz, evitando recorrências;
• Garanta que para novos funcionários sejam realizados treinamentos e trabalhos de conscientização, e para os antigos, estabeleça uma grade de reciclagem de modo regular;
• Revise a Política de Classificação no mínimo anualmente ou quando ocorra mudanças significativas no ambiente e que possam afetar a organização e seu processo;
• Tenha mapeado quais são os terceiros que compartilham as informações com a empresa;
• Crie um inventário de informações e lista de distribuição para as áreas estarem cientes;
• Defina responsáveis e caso a empresa não possua, crie uma equipe de segurança;
• Elabore um termo de responsabilidade e garanta que todos estejam cientes;
• Realize controle de acesso e segregação de função, principalmente para os colaboradores que possuem acesso as informações contidas em diretórios, sistemas etc.
Nota- se que há muitos itens que devem ser considerados quando falamos sobre classificação da informação, mas também é evidente o tamanho da relevância deste tema quando abordamos. Crie a cultura e aumente a credibilidade no mercado, com o ganho de maiores resultados e adequação de processos.

Sobre a [SAFEWAY]

A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.

Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.

Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!