Manual da Identidade KSecurity (32).png

Network Security

Classificação de Informações

O que é e para que serve a classificação de informações?
 

A classificação das informações consiste na definição de níveis de proteção que cada dado deve receber. Por exemplo, os relatórios financeiros da empresa devem ter um nível de proteção maior do que a lista de números de telefone internos dos setores.

 

Ela serve para garantir que nenhum dado seja divulgado indevidamente e que apenas as pessoas que têm direito recebam acesso à informação. A classificação da informação faz parte das exigências da ISO 27002.

 

A norma é considerada a principal diretriz de segurança da informação e recomenda que as informações sejam classificadas de acordo com seu valor, requisitos legais, criticidade e sensibilidade.

 

Níveis de classificação das informações

 

A norma não determina os níveis necessários, apenas fala que eles devem fazer sentido no contexto da organização. Uma das formas mais usadas é tratar a informação como confidencial, restrita, de uso interno ou pública.

Confidencial

 

É o nível mais alto de segurança dentro deste padrão. As informações confidenciais são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da empresa. São protegidas, por exemplo, por criptografia.

Restrita

 

É o nível médio de confidencialidade. São informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Podem ser protegidas, por exemplo, restringindo o acesso à uma pasta ou diretório da rede.

Uso interno

 

Representa baixo nível de confidencialidade. Informações de uso interno são aquelas que não podem ser divulgadas para pessoas de fora da organização, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.

Pública

 

São dados que não necessitam de proteção sofisticada contra vazamentos, pois podem ser de conhecimento público. No entanto, sempre cabe lembrar dos outros dois pilares: a disponibilidade e a integridade.

Como colocar em prática


Além da classificação das informações de acordo com níveis adequados, existem outras práticas recomendadas na norma ISO 27001. Veja o que fazer!

 

Inventário de ativos de dados

 

Antes mesmo de fazer a classificação das informações, você deve fazer um inventário de ativos de dados, isto é, enumerar todos os dados pertencentes a empresa. O inventário deve conter o tipo de informação (documentos eletrônicos, documentos em papel, e-mail etc.) e quem é responsável por ela.

 

De acordo com a norma, o responsável pela informação deve fazer a classificação dela. Geralmente, faz-se uma avaliação de riscos e aplica-se os níveis de classificação da informação definidos pela empresa.

 

Rótulo das informações

 

Depois de classificadas, as informações precisam ser rotuladas. Toda vez que uma pessoa receber um documento, um e-mail ou qualquer outro dado, ela precisa saber sobre o seu nível de confidencialidade. O rótulo de um documento pode ser apresentado, por exemplo, no cabeçalho de cada página.

 

Manuseio de ativos de dados

 

Por fim, a sua política de segurança da informação deve contar regras sobre o manuseio de dados de acordo com o nível de confidencialidade. Por exemplo, “informações confidenciais não podem ser transmitidas por e-mail sem criptografia” pode ser uma dessas regras.

 

O manuseio de ativos dá informações claras sobre o que fazer e como tratar cada informação de acordo com seu nível de segurança.

© 2020 por KSecurity | Todos os direitos reservados | marketing@ksecurity.com.br