A classificação da informação é certamente uma das práticas mais importantes na gestão da Segurança da Informação, mas ao mesmo tempo, muitos profissionais de SI enxergam este tema com um dos mais complexos de se colocar em prática.
Bom, vamos tentar facilitar!
-
Norma de classificação da Informação
Para que exista um processo de classificação da informação é imprescindível que exista uma norma de classificação da Informação, orientando para que as informações sejam classificadas de acordo com seu valor, requisitos legais, criticidade e sensibilidade.
-
Níveis da classificação de confidencialidade da Informação
As normas existentes (ISO 27001/27002) não determinam um padrão de níveis da classificação de confidencialidade, apenas descrevem que devem fazer sentido no contexto da organização.
Um exemplo de um esquema de classificação de confidencialidade da informação poderia ser baseado em quatro níveis:
- quando sua divulgação não causa nenhum dano;
- quando a divulgação causa constrangimento menor ou inconveniência operacional menor;
- quando a divulgação tem um pequeno impacto significativo nas operações ou objetivos táticos;
- quando a divulgação tem um sério impacto sobre os objetivos estratégicos de longo prazo, ou coloca a sobrevivência da organização em risco.
Neste contexto, poderíamos classificar nos seguintes níveis: Pública, Interna, Confidencial e Altamente Confidencial.
-
Rotulagem das informações
Neste item é importante que tenhamos uma solução eficiente que garanta a rotulagem da informação durante todo seu tratamento. Esta rotulagem pode refletir a estrutura de níveis da classificação de confidencialidade, facilitando o entendimento dos funcionários.
Sugiro o uso do Azure Information Protection (AIP), uma solução baseada em nuvem que possibilita que a organização classifique, e opcionalmente, proteja documentos e e-mails aplicando rótulos. Os rótulos podem ser aplicados automaticamente pelo administrador que define as regras e condições, manualmente pelos usuários ou uma combinação na qual os usuários recebem recomendações de rotulagem.
Depois que o documento é classificado (e opcionalmente protegido), é possível monitorar e controlar como ele é usado. Permitindo analisar os fluxos de dados para obter informações sobre a organização, detectar comportamentos de risco e tomar medidas corretivas, rastrear o acesso a documentos, impedir o vazamento ou mau uso de dados e assim por diante.
Também é importante mencionar que a solução disponibiliza padrões predefinidos de informações, como cartão de crédito, número de CPF, RG, CNPJ, etc. Com isto, é possível configurar condições de uma classificação automática, ou solicitar que os usuários classifiquem o documento conforme o rótulo recomendado.
Como os rótulos aplicam a classificação?
Os rótulos do AIP são utilizados para aplicar classificação a documentos e e-mails. Ao fazer isso, a classificação fica visível, independentemente de onde os dados estão armazenados ou com quem eles são compartilhados. Os rótulos podem incluir marcações visuais, como cabeçalho, rodapé ou marca-d’água.
Implementando a solução teremos documentos novos rotulados, mas e os documentos que já existem?
Para repositórios de dados locais, é possível utilizar o verificador de Proteção de Informações do Azure para descobrir, classificar e proteger documentos em pastas locais, compartilhamentos de rede e bibliotecas e sites do SharePoint Server. O verificador funciona como um serviço no Windows Server. Você pode usar as mesmas regras na política para detectar informações confidenciais e aplicar rótulos específicos aos documentos. Mas, se preferir, pode aplicar um rótulo padrão a todos os documentos de um repositório de dados, sem inspecionar o conteúdo dos arquivos. É possível também usar o verificador apenas no modo de relatório para descobrir informações confidenciais que talvez você desconheça.
É importante frisar que com o uso do verificador de Proteção de Informações do Azure você conseguirá acelerar a classificação de documentos na sua organização e alcançar números impressionantes de documentos rotulados, permitindo uma visão clara dos benefícios desta solução.
Levando-se em consideração os itens analisados, percebe-se que uma boa solução como o AIP, pode diminuir a complexidade da implementação do processo de classificação da informação em uma organização. Além disto, permite maior visibilidade e controle sobre os dados tratados em sua organização e ao mesmo tempo propiciando uma usabilidade fácil para seus usuários.
Espero que tenha ajudado a esclarecer um pouco sobre classificação da informação e uso do AIP. Fico a disposição para responder eventuais dúvidas. Um grande abraço!
Dicas!
- Não inicie a implementação com regras de proteção! Primeiro monitore e crie regras de recomendação de rotulagem;
- Informe na descrição dos rótulos um breve texto orientando sobre quais informações se enquadram naquele nível de rótulo, isto ajuda na conscientização dos seus funcionários.
- Use o verificador de proteção de Informação do Azure para efetuar varreduras em diretórios de rede da organização, isto ajudará na rotulagem de documentos já existentes, na localização de informações confidenciais e na ascensão da classificação e proteção da sua organização.
- Em um segundo momento, permita a opção de permissões personalizadas para que os usuários tenham a autonomia de definir os níveis de acesso dos seus respectivos documentos.
- Instrua os usuários sobre como classificar e proteger documentos e e-mails que contenham informações confidenciais.
Por Wagner Barcelos, especialista em Segurança da Informação na Lojas Renner