quero falar com um especialista

Artigos

Poucos minutos todos os dias para manter você atualizado sobre o que acontece na segurança cibernética de todo o mundo.

Entenda como a classificação da informação é importante para a segurança de dados

Nem todos os documentos de uma empresa podem circular livremente dentro do ambiente de trabalho, de modo que alguns dados não são públicos e devem ser mantidos sob sigilo e seu vazamento pode causar prejuízos. Por conta disso, é preciso realizar a classificação da informação.

Por mais que possamos considerar o ambiente interno da empresa seguro, a livre circulação de informação confidencial pode se demonstrar um risco em potencial e facilitar a ação dos cibercriminosos.

Para ajudá-lo a entender melhor como funciona a classificação de informação e como você pode aplicá-la com sucesso à sua empresa para proteger seus dados sensíveis, criamos este pequeno post. Então, continue conosco e boa leitura!

O que é classificação da informação?

A classificação da informação pode ser conceituada como uma metodologia que define níveis de proteção para determinados dados de acordo com seu grau de relevância e confidencialidade. Por exemplo, uma lista de telefones internos da empresa tem um grau menor de proteção que os relatórios financeiros da companhia.

Sua principal função é evitar a livre circulação de dados sensíveis e, consequentemente, a sua divulgação indevida, permitindo que pessoas sem autorização tenham acesso a esses dados e prejudicando a operação da empresa.

É importante lembrar também que a classificação da informação é uma das exigências apresentadas pela ISO 27001, a norma que regulamenta a segurança da informação dentro das empresas, e demandada para muitas parcerias de negócio.

A norma é considerada mundialmente como a principal diretriz de segurança e recomenda que a classificação seja realizada com todas as informações em circulação nas companhias por meio de seu valor, criticidade, sensibilidade e requisitos legais.

Quais os graus de classificação?

A ISO 27001 estabelece 4 graus de classificação para uma informação de acordo com os critérios que já foram apresentados. Veja, a seguir, quais são eles.

Informação pública
Com o menor nível de controle, um dado pode ser considerado como público quando pode ser divulgado a todos sem nenhum prejuízo aos negócios, sendo permitida a sua veiculação a funcionários, fornecedores, terceirizados, clientes e ao público em geral.

Mesmo que não exija nenhum tipo de proteção por questões de sigilo dos dados, é interessante que se estipule regras de acesso para garantir que apenas quem precisa da informação para suas atividades possa acessá-la.

Informação interna
As informações devem ser classificadas como internas quando é indesejável que elas circulem ou sejam de conhecimento de pessoas que não façam parte da organização, de modo que o vazamento ocasional de tal dado possa vir a gerar algum tipo de prejuízo ao negócio.

Contudo, mesmo em casos como esse, uma característica da informação interna é não permitir grandes impactos na empresa, uma vez que seu grau de sigilo ainda é baixo. No entanto, sua integridade deve ser protegida por conter uma série de dados relevantes ao funcionamento interno da companhia.

Informação confidencial
Podemos classificar um dado como confidencial quando a sua divulgação fora do âmbito da empresa possa vir a causar algum tipo de prejuízo significativo, como grandes perdas financeiras, de competitividade ou de imagem no mercado.

Esse tipo de informação já exige maior atenção e, por conta disso, a implantação de um controle de acesso e integridade se faz necessária para garantir que não ocorram vazamentos ou que pessoas que não tenham autorização ou interesse direto na informação venham a visualizar esses dados.

A transmissão deve ser realizada com o máximo de cuidado possível, utilizando técnicas de criptografia — e, quando descartada, deve-se tomar o máximo de precauções para que não possam ser recuperadas as informações e para que, de fato, sejam destruídas.

Informação restrita
São tratados como informações restritas os dados que, quando acessados até mesmo por membros da própria organização, podem trazer riscos para o negócio, prejudicando sua operação.

Dessa forma, esses são os dados que demandam maior proteção, evitando acessos indevidos de fora e de dentro da organização, de modo que o seu sigilo é algo estratégico para a empresa. Eles devem receber um grau de segurança elevado.

Geralmente, apenas a diretoria tem acesso a esses dados e, em alguns casos, eles só podem ser liberados para determinados cargos que demandam essas informações para a realização de suas atividades diárias.

Qual a vantagem de se classificar a informação?

Alguns profissionais podem se perguntar qual a real vantagem de aplicar a classificação de informação dentro de uma empresa, uma vez que isso acaba por aumentar a complexidade da forma como se manipula os dados.

Na realidade, por meio de sistemas de informação e controles de acesso, é muito simples pôr em prática a classificação, sem nenhum tipo de prejuízo à produtividade da empresa — pelo contrário, é possível que haja ganhos ao se restringir o acesso.

Além disso, o maior ganho é no campo da segurança da informação, pois são minimizadas as chances de pessoas não autorizadas terem contato com dados sensíveis ao mesmo tempo em que são diminuídos os riscos de vazamentos que possam vir a prejudicar o negócio.

Quais os cuidados a serem tomados?

Na hora de aplicar a classificação de informação, a norma ISO 27001 nos dá algumas diretrizes e orientações a serem seguidas para garantir o sucesso da operação. Existem outras práticas, porém, as mais importantes você confere a seguir.

Inventário de ativos de dados
O primeiro passo é a criação de um inventário de ativos, que deve contar com todas as informações presentes na empresa no momento da classificação. O inventário deve contar com o tipo de dado, os documentos e os arquivos eletrônicos, os documentos físicos, os e-mails, entre outros, e quem são os respectivos responsáveis.

De acordo com as orientações da norma, o responsável é quem deve classificar a informação, utilizando-se, para isso, de uma avaliação de riscos para verificar a sensibilidade ao vazamento de cada dado.

Rótulo das informações
Após classificar todas as informações, elas devem ser, então, rotuladas. Dessa forma, sempre que um usuário entrar em contato com aquele dado, antes mesmo de acessá-lo, já poderá ter uma ideia do nível de sensibilidade que ele apresenta. Há várias formas de se rotular a informação, como com uma ante-capa ou uma nota de rodapé.

Manuseio de ativos de dados
Por último, toda e qualquer política de classificação de informação deve ter regras claras acerca do manuseio de dados por parte dos usuários e de acordo com o nível de confidencialidade dos ativos. Por exemplo, informações confidenciais devem ser transmitidas apenas com o uso de criptografia.

Essas regras determinarão e orientarão acerca de como cada usuário deve se comportar em relação a cada informação de acordo com a sua classificação e para evitar problemas de interpretação ou enganos.

Os ataques cibernéticos têm se tornado cada vez mais frequentes, exigindo que as empresas busquem alternativas para se proteger, como a própria classificação da informação, sendo que as demais técnicas, como firewall, monitoramento de rede, criptografia, entre outros, também devem ser aplicadas para atingir um maior nível de segurança.

Gostou deste conteúdo? Então, confira outros posts incríveis como este assinando agora mesmo a nossa newsletter!

Anteriores

Fale com a Aon

Nossos especialistas estão prontos para ouvi-los e conversar sobre os Riscos Cibernéticos
e as possíveis soluções que o mercado de seguros pode oferecer.

A Aon e outras empresas do grupo usarão suas informações pessoais para contatá-lo eventualmente sobre produtos, serviços e eventos que acreditamos ser de seu interesse. Toda informação coletada é usada de acordo com nossa Política de Privacidade.

Ao preencher os dados, você autoriza expressamente a Aon a coletar, usar, armazenar, transferir e processar seus dados pessoais conforme previsto em tal Política de Privacidade. Por favor assinale este campo caso NÃO deseje receber estes comunicados.