O que é classificação da informação e como ela se torna crítica com a LGPD
Você sabe o que é classificação da informação? Não? Curiosamente, este conceito é um dos mais antigos e estruturais dentro da disciplina de segurança da informação, sendo aplicado até mesmo antes da popularização dos computadores e migração em massa de documentos para o meio eletrônico. E é justamente por ser uma prática ignorada ou menosprezada que ocorrem tantos incidentes cibernéticos em nosso país.
Não há muitos segredos aqui: a classificação da informação é, como seu nome sugere, o ato de classificar o nível de confidencialidade de um tipo de informação que será criada, armazenada e/ou manipulada por colaboradores da empresa. Embora você possa fazer tal classificação da forma que achar melhor, temos ótimas orientações para uma classificação bem-sucedida dentro da norma técnica ISO 27001.
Basicamente, a ideia é que, em primeiro lugar, você faça um mapeamento de seus ativos, ou seja, descubra e faça um inventário de toda informação que existe em seu ambiente. Em seguida, realize o processo de classificação seguindo uma estrutura de níveis que lhe for mais conveniente. A mais famosa divide a informação classificada em quatro seções, que são, em ordem decrescente: Confidencial, Restrito, Uso interno e Pública.
Seguindo a ISO 27001, após a classificação, a informação deve ser rotulada, ou seja, deve receber uma “etiqueta”, seja ela um adesivo no rodapé de um relatório físico ou uma tag no título de um documento do Word. Por fim, você deve definir as regras sobre o manuseio de cada tipo de informação. Este é o passo mais complicado, já que envolve criar normas de manipulação e estabelecer privilégios de acesso.
Problema resolvido
Percebeu o quão crucial é a classificação da informação? Ela é o cerne de toda e qualquer Política de Segurança da Informação, já que soluciona os principais problemas com o armazenamento e o processamento de dados sensíveis dentro do ambiente corporativo. Algumas das vantagens de se ter um sistema de classificação da informação são:
-
Mapeamento apropriado de todos os ativos de informação, evitando, por exemplo, que um dado pessoal coletado de seus clientes seja “esquecido” de forma acidental;
-
Criação de um sistema de identificação padronizado para rotular o nível de confidencialidade de uma informação, auxiliando em processos de proteção e ações pós-incidente;
-
Estabelecimento de regras de acesso e privilégios de manipulação, garantindo que apenas os indivíduos apropriados possam mexer em informações de cunho altamente sensível.
A falta de mapeamento de dados frequentemente causa perda de informações ou descumprimento de legislações de proteção de dados, como a própria Lei Geral de Proteção de Dados (LGPD). É impossível proteger apropriadamente aquilo que você não visualiza ou sequer sabe que existe.
Da mesma forma, a falta de uma política rígida de privilégios de acesso é motivo constante para vazamentos de dados, especialmente por conta de insiders maliciosos (colaboradores “corruptos” que conseguem acessar a informação classificada sem a devida necessidade e grau de confiança). Ou seja, estamos falando de dois problemas que precisam ser resolvidos para garantir a adequação à norma brasileira de privacidade.
O papel da conscientização
Obviamente, a conscientização do usuário possui um papel importante na classificação da informação. É crucial que todos os colaboradores de uma empresa — do cargo mais alto ao mais baixo — estejam cientes a respeito desse sistema de classificação, seus níveis, suas regras de manipulação e sua importância para perpetuar a cultura de privacidade corporativa. Só assim aquilo que você definiu na teoria será efetivamente seguido na prática.
Produção: Equipe de Conteúdo Perallis Security