Classificação da Informação

O fato de algumas informações demandarem mais proteções que outras cria dois cenários indesejáveis  que as organizações buscam evitar:

• Informações sensíveis ou críticas sem níveis de proteção adequado,  geralmente incidentes de segurança que trazem prejuízos e comprometem a eficácia das operações;
• Informações que não precisam de proteção, sendo protegidas de forma excessiva, consumindo recursos de forma desnecessária e direcionando erroneamente o escasso orçamento de segurança

1.1 - Proteção

Quando adotamos uma visão de proteção focada unicamente nas ameaças e nas vulnerabilidades que um local o um sistema possuem, corremos um grande risco de não estarmos protegendo a informação mais criticas e sensíveis ao longo de todo o seu ciclo de vida. Esses ciclos possuem diversas fases, desde a criação e o descarte, passando pela manipulação, processamento, armazenamento etc. A melhor forma de protegermos as informações é justamente pela adoção de uma abordagem que analisa as demandas de segurança pela ótica do próprio ativo e suas necessidades. Dessa forma, podemos combinar diversos mecanismos e obtermos níveis de proteção uniformes independentes da forma como a informação está sendo usada

1.2 - Economia

Quando maior o nível de proteção que um controle oferece. Maiores são os custos financeiros em termos de aquisição e manutenção. Controles costumam trazer custos indiretos como perda de produtividade e outras inconveniências.

1.3 - Benefícios

O Processo de classificação da Informação traz diversos benefícios para uma organização. Dos benefícios mais tangíveis e mensuráveis podemos dizer :

1.3.1   Conscientização – O Programa de Classificação da Informação requer o envolvimento de praticamente de todas as pessoas dentro da organização. Esse envolvimento faz com que as pessoas tenham uma dimensão maior das dificuldades de proteger os ativos de informação e da infinidade de situações que podem comprometer essa proteção

1.3.2  Responsabilidades – A Classificação da Informação necessita de uma divisão e atribuição de responsabilidades para poder trabalhar. Essas responsabilidades dizem a respeito a quem deve classificar, quem deve proteger e que cuidados os usuários devem tomar , entre outras coisas. A definição desses papeis distribui o peso da proteção entre os colaboradores de uma organização, fazendo com que todos fiquem responsáveis por ela.

1.3.3   Níveis de proteção – A atribuição de responsabilidades e melhora da consciência dos colaboradores faz com que eles mesmos tragam situações que demandam proteção e que , muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteção. Ninguém conhece melhor o fluxo das informações que as pessoas que fazem uso delas

1.3.4   Tomadas de decisões – Quando as informações são bem categorizados no ponto de vista da segurança, o processo de tomada de decisões, sejam relacionadas ‘a Gestão de SI ou ‘a própria organização, é extremamente beneficiado.

1.3.5  Uso dos recursos – Recursos desperdiçado em um controle normalmente fazem falta em um outro lugar no qual, a organização terá uma situação inversa, isto é , falta de controle de informações criticas que estão armazenadas junto com outras que não precisam de proteção.

1.4 - Exemplos

As informações são classificadas mediante sua necessidade de sigilo. Porém uma organização também pode elaborar procedimentos para classificá-las perante suas necessidades de integridades e disponibilidades

Decreto 4.553 – Casa Cível níveis de classificação em nível federal

Cada nível de classificação é criado visando a um tipo de informação, temos que desenvolver critérios para avaliar uma informação

Exemplos de Rótulos

Governo Brasileiro	Empresas Privadas
Ultra-Secreto	Interna
Secreto	Pública
Confidencial	Restrita
Reservado	Privada

2 - Conceitos

2-1 - Política de Classificação da Informação

A Classificação da Informação deve ser constituída por uma política , nesse caso a Politica de Classificação da informação é o nome utilizado para refenciar o conjunto de normas , procedimento e instruções existente na política de Segurança da Informação

Por meio do uso dessa poliitca é que definimos quais os tipos de classificação existentes, com seus respectivos critérios de avaliação e proteção, além das responsabilidades associados ao processo como um todo. O conjunto de documentos que tem apoio direto de alta direção da organização , permitira mostrar comprometimento e definirá todo o funcionamento das atividades relacionadas à Classificação da informação

2.1.1 – Need-to-Know – Define a necessidade que uma pessoa possui , devido à rotina diária de trabalho e desempenho de suas funções, de acessar determinadas informações. Essa terminologia foi criado no ambiente militar / governo, podemos utiliza-las para fazer referência .  A necessidade que usuários de uma organização possuem de acessar certas informações. Esse conceito é fundamental para entendermos Least privilege

2.1.2 – Least Privilege – São todas as pessoas devem ter todos os direitos de acesso necessários para o  desempenho de suas funções . Porém , nada mais que o mínimo deve ser permitido , Quando maior a exposição  maiores serão os riscos associados a ela.  O conceito de need-to-know , postulando que o conceito de privilégio mínimo é garantir a todos os usuários que não tenham acesso a nada que não faça parte de seu nedd-to-know.

2.2 - Classificação

Desclassificação e Reclassificação

Os dois procedimentos básicos da Classificação da Informações são a Classificação e a Desclassificação das informações

2.2.1 – Classificações – Atribuir um nível de classificação a um informação , Faz com que as informações passe a se sujeitar às proteções especificas pelo nível de classificação escolhido . Algumas organizações optam por criar um nível de classificação onde, a partir da implementação do progrma de CI, todas as informações da organização passam a se enquadrar nesse nível.  Não existe o estado “ não-classificado” , eliminando o processo de classificaçõe e desclassificação. Nesse caso o procedimento de reclassificação é permitido.

2.2.2 – Reclassificação – Alteração no nível classificação de um informação . São nível de proteção mais baixa, de forma a evitar o comprometimento da confidencialidade

2.2.3 – Desclassificação – Remoção do nível de proteção. Aplicável apenas quando o estado “não-classificado” for previsto . Pode ser feita de forma automática, o prazo cairia de alguns anos para o níveis mais baixos de classificação até décadas para os mais altos no setor governamental

2-3 - Papéis de Responsabilidades

Uma das principais funções da Classificação  da informação é definir e atribuir responsabilidades relacionadas a segurança diversas pessoas dentro de uma organização . Esses papeis e responsabilidades  variam de acordo com a relação que a pessoa tem com a informação em questão.

2.3.1 – Proprietário da Informação – É responsabilidade do proprietário atribuir os níveis de classificação que uma informação demanda. Dessa forma ele também será participado do processo de escolha dos níveis de proteção e será também exposto ao processo de balancear as necessidades de proteção, com a facilidade de uso e o orçamento disponível para se investir em controles.

Exemplo : O papel de dono normalmente deve ser exercido por um gerente da área cujas informações são de sua responsabilidade direta

Umas das responsabilidades do dono são a classificação /reclassificação /desclassificação das informações, definir requisitos de proteção para cada nível de classificação,, autorizar pedidos de acesso a informações de sua propriedade e autorizar a divulgação de informações

2.3.2 – Custodiante – É aquele que zela pelo armazenamento e preservação de informações que não lhe pertencem Exemplos : Administradores de Banco de Dados , Servidores de Arquivos ou cofres para armazenamento de ativos valiosos .

Existe dois tipos de Custodiante :

-  O proprietário de Aplicação – Um profissional de perfil técnico responsável pela administração e funcionamento de algum sistema , cabe a ele protegê-las e garantir que enquanto eles se encontrem sob sua responsabilidade os requisitos da classificação em termos de proteção estejam sendo obedecidos.

-  O proprietário do Processo - É a pessoa responsável pelo processo de negócio, um exemplo é um processo de emissão de nota fiscal , que são informações sendo geradas e processadas ao longo do seu funcionamento.

2.3.3 – Equipe de segurança – é o ponto de apoio das unidades de negócios de forma de desenvolver, implementar e monitorar estratégias de segurança que atendem aos objetivos da organização, responsável pela avaliação e seleção de controles apropriados para oferecer as informações os níveis de proteção exigidos por cada classificação .  Esse equipe não pode assumir a total responsabilidade pela proteção, já que deve ser compartilhada por todos. Cabe ela sim selecionar os melhores controles, conscientizar os usuários a respeito do seu uso, administrá-los e monitorá-las, além de verificar se todos na organização colaboram com as medidas.

2.3.2 – Gerente de Usuários – Responde pela ação de grupos de usuários de sua responsabilidade, além dos funcionários reponde pela ação dos visitantes, prestadores de serviços que fazem o uso de informações da organização

Desempenha outro papel fundamental que é a solicitação, transferência e revogação de IDs de acesso para os seus funcionários.

2.3.4 – Usuário oFinal – Pessoal que faz uso constante das informações e o que mais tem contato com elas , é o responsável pelo seguimento das recomendações de segurança

3 - Implementação

Vamos dar uma olhada agora  nos aspectos práticos ligados a sua implementações

3.1 - Identificando a situação atual

O primeiro passo é identificar quais os tipos de documentos que farão parte do escopo dos nossos trabalhos muitas das vezes esse é o primeiro problema que nos deparamos na implementação  : Falta uma definição clara dentro da organização do que é ou não um documento. Nem todas as informações podem se enquadrar na categoria “documento” o programa de classificação se aplica aos documentos formais :  relatórios , planos, projetos , atas etc ..

Devemos também identificar as proteções existentes hoje implantadas, bem como as pessoas que interagem com essas informações e seus respectivos papéis e responsabilidade

A identificação das proteções atuais permitirá a elaboração posterior de um gap analysis no qual serão mapeados todos os controles faltantes para cada nível de classificação. Essa análise será feita após a classificação das informações pelos seus proprietários

Além disso, as pessoas envolvidas também devem ser mapeadas, o que permitirá a divisão correta de responsabilidades bem como a conscientização

3.2 - Levantamentos de requisitos

Uma vez identificados os ativos, devemos levantar os requisitos de proteção aos quais esses ativos estão sujeitos. Além dos aspectos legais devemos levar em conta uma série de outros detalhes que veremos a seguir:

a)      Requisitos legais – Fator importante na identificação dos requisitos de proteção que uma dada informação precisa atender é olhar a legislação / regulamentação à qual a organização está sujeita, analisando-a em detalhes em busca de determinações específicas sobre certos tipos de informações

b)      Analise de Riscos – A Analise de riso, depois dos aspectos legais, é o passo mais importante no levantamento dos requisitos de proteção. Os aspectos legais são inegociáveis. Já os aspectos mapeados na Analise e Avaliação de Riscos dependem de nosso discernimento, o que traz mais responsabilidades na tomada de decisões. Durante analise, temos uma idéia das principais ameaças às quais as informações estão sujeitas além do conjunto de proteções como um todo. Outro fator extremamente importante levantado nesta etapa é a quantificação de certos riscos, melhorando a eficiência do processo de tomada de decisão sobre as proteções contra eles

c)       (BIA – Business Impact Analysis ou Analise de impacto de negócios ) – é um processo executado  normalmente durante a elaboração e um BCP/PCN    (Business Continuity Plan ou Plano de continuidade de negócios) Sua finalidade é avaliar única e exclusividade os estragos causados por um evento indesejado., normalmente de grandes proporções como um furação ,  uma inundação ou um apagão . A principal diferença do BIA para uma analise de Riscos é o fato  que o primeiro não leva um conta a probabilidade de um evento ocorrer e sim as conseqüências que ele traria, bem como as necessidades do negócios termos de continuidades , enquanto as necessidades do negócios em termos de continuidade , enquanto que a Analise de Risco considera tanto a conseqüência quanto a probabilidade

A respeito “a classificação da informação, O BIA é importante por nos ajudar a avaliar os requisitos em termos de disponibilidade

d)      Valorização – Pelo nome não precisa nem comentar muito , é tudo aquilo que tem valor para a empresa , exemplo o balanço financeiro antes da sua publicação , ele tem o valor importante para os acionistas. É difícil obter uma valorização precisa, quase sempre, apenas uma estimativa já é suficiente escolher proteções adequadas.

Custo de Aquisição: São informações que podem ser adquiridas, isto é comprada

Custo de recriação: É custo para produzir novamente uma documentação, como um relatório, caso ele tenha sido perdido de uma maneira definitiva

Vantagem competitiva:Permite que uma organização tenha vantagem sobre outra em uma situação de competição. Situações que pode ser uma lançamento de um produto, um Home Site, pesquisa de mercado etc.. Nesse caso o valor da informação é normalmente avaliado perante o comprimento de sua confidencialidade. Existem muitas formas de estimar os prejuízos da divulgação não autorizada

3.3 - Desenvolvendo a Política de Classificação da Informação

Uma vez levantados os requisitos que auxiliam na elaboração das classificações, o passo seguinte é elaborar a Política de CI, Ao elaborarmos a política, convém analisar as recomendações da NBR ISSO /IEC  17799:2005 no que tange ‘A classificação da informação , Essas recomendações se encontram na Seção 7.2

Segue o trecho da norma

7.2 Classificações da informação

Objetivo: Assegurar que a informação receba um nível adequado de proteção.

Convém que a informação seja classificada para indicar a necessidade, prioridades e o nível esperado de proteção quando do tratamento da informação.

A informação possui vários níveis de sensibilidade e criticidade. Alguns itens podem necessitar um nível adicional de proteção ou tratamento especial. Convém que um sistema de classificação da informação seja usado para definir um conjunto apropriado de níveis de proteção e determinar a necessidade de medidas especiais de tratamento.

7.2.1 Recomendações para classificação

Controle

Convém que a informação seja classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para a organização.

Diretrizes para implementação

Convém que a classificação da informação e seus respectivos controles de proteção levem em consideração as necessidades de compartilhamento ou restrição de informações e os respectivos impactos nos negócios, associados com tais necessidades.

Convém que as diretrizes para classificação incluam convenções para classificação inicial e reclassificação ao longo do tempo, de acordo com algumas políticas de controle de acesso predeterminadas (ver 11.1.1)

Convém que seja de responsabilidade do proprietário do ativo (ver 7.1.2) definir a classificação de um ativo, analisando-o criticamente a intervalos regulares, e assegurar que ele está atualizado e no nível apropriado.

Convém que a classificação leve em consideração a agregação do efeito mencionado em 10.7.2.

Convém que cuidados sejam tomados com a quantidade de categorias de classificação e com os benefícios obtidos pelo seu uso. Esquemas excessivamente complexos podem tornar o uso incômodo e ser inviáveis economicamente ou impraticáveis. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.

Informações adicionais

O nível de proteção pode ser avaliado analisando a confidencialidade, a integridade e a disponibilidade da informação, bem como quaisquer outros requisitos que sejam considerados.

A informação freqüentemente deixa de ser sensível ou crítica após um certo período de tempo, por exemplo quando a informação se torna pública. Convém que estes aspectos sejam levados em consideração, pois uma classificação superestimada pode levar à implementação de custos desnecessários, resultando em despesas adicionais.

Considerar, conjuntamente, documentos com requisitos de segurança similares, quando da atribuição dos níveis de classificação, pode ajudar a simplificar a tarefa de classificação.

Em geral, a classificação dada à informação é uma maneira de determinar como esta informação vai ser tratada e protegida.

7.2.2 Rótulos e tratamento da informação

Controle

Convém que um conjunto apropriado de procedimentos para rotulação e tratamento da informação seja definido e implementado de acordo com o esquema de classificação adotado pela organização.

Diretrizes para implementação

Os procedimentos para rotulação da informação precisam abranger tanto os ativos de informação no formato físico quanto no eletrônico.

Convém que as saídas de sistemas que contêm informações classificadas como sensíveis ou críticas tenham o rótulo apropriado da classificação da informação (na saída).

Convém que o rótulo reflita a classificação de acordo com as regras estabelecidas em 7.2.1. Itens que devem ser considerados incluem relatórios impressos, telas, mídias magnéticas (fitas, discos, CD), mensagens eletrônicas e transferências de arquivos

Convém que sejam definidos, para cada nível de classificação, procedimentos para o tratamento da informação que contemplem o processamento seguro, a armazenagem, a transmissão, a reclassificação e a destruição.

Convém que isto também inclua os procedimentos para a cadeia de custódia e registros de qualquer evento de segurança relevante.

Convém que acordos com outras organizações, que incluam o compartilhamento de informações, considerem procedimentos para identificar a classificação daquela informação e para interpretar os rótulos de classificação de outras organizações.

Informações adicionais

A rotulação e o tratamento seguro da classificação da informação é um requisito-chave para os procedimentos de compartilhamento da informação. Os rótulos físicos são uma forma usual de rotulação. Entretanto, alguns ativos de informação, como documentos em forma eletrônica, não podem ser fisicamente rotulados, sendo necessário usar um rótulo eletrônico. Por exemplo, a notificação do rótulo pode aparecer na tela ou no display.

Onde a aplicação do rótulo não for possível, outras formas de definir a classificação da informação podem ser usadas, por exemplo, por meio de procedimentos ou metadados.

3.3.2 - Estruturação

O conjunto de documentos que determina e especifica a forma que a SI é tratada na organização é dividido em três níveis diretrizes, normas e procedimentos/Instruções .

A forma como a Classificação da Informação é implementada em uma organização depende das diretrizes da Políticas de SI e precisa esta alinhada com elas, sempre lembrar que a finalidade SI é suportar o negócio da organização , as diretrizes foram elaboradas pela alta direção em parceria com a área de segurança justamente para deixar claro o que é esperado

O nível mais alto de documento que compõe a Política de CI é a norma que define aspectos genéricos como funcionará o programa e seus objetivos . Pelo Fato  de ser uma norma , não devemos entrar muito em detalhes de como rotular uma informação , apenas informar os aspectos que constituem o programa , como por exemplo :

• Níveis de classificação – Detalham quais os níveis de existentes e quais os critérios a serem analisados para a aplicação de um deles a uma dada informação
• Controles por classificação – Detalham quais os controles devem existir para proteger as informações classificadas sob um dado nível.
• Duração – Prazo de validade de cada um das classificações
• Reclassificação – Requisitos e permissões para a mudança nos níveis de classificação
• Papeis e mudanças – Responsabilidades assumidas durante o trato das informações
• Referencia aos procedimentos e instruções – Na norma, referenciamos todos os procedimentos e instruções existentes que auxiliarão nos aspectos práticos e operacionais do programa de classificação

3.3.3 - Pontos de Atenção

Existem alguns pontos que devem ser considerados, o primeiro é o nível padrão de classificação para documentos não classificados. é comum adotar uma estratégia na qual, os documentos não são analisados e  classificados adequadamente, eles passam a se enquadrar em um nível padrão de classificação a parir da publicação da norma.

Dessa forma, tão logo o programa de classificação seja iniciado, todas as informações estarão classificadas em um nível intermediário, a não seque alguém analise e as tornem publicas ou então atribua a elas um nível de classificação ainda maior. Normalmente esse nível de classificação-padrão não exige maiores proteções e tem por objetivos apenas definir todas as informações como sendo não publicas até que alguém diga ao contrário

3.3.4 - Material de apoio para usuários

Por fim, toda política só é efetiva se for claramente comunicada às pessoas de uma organização

Quando o programa é elaborado e as normas redigidas, devemos sempre ter em mente que a praticidade e a viabilidade  são as coisas que devem termina mente perseguidas

3.3.5 - Treinamento de usuários

O  Treinamento de usuários é a ultima fase da implementação , devemos ter em mente que diferentes pessoas desempenham papeis diferentes papéis e possuem diferentes  responsabilidades no processo  classificação , por isso essa pessoal sejam treinadas de forma separada , pois a perspectiva do programa para um proprietário de informação é completamente diferente da de um custodiante ou usuário.

Devemos, inclusive, iniciar a conscientização por aqueles que têm as maiores responsabilidades e interesses associados ao programa, que são os proprietários.

4 - Implementação das classificações e dos controles

Abaixo  veremos alguns exemplos de controles disponíveis para que possamos das ás informações classificadas o nível de proteção que elas requerem

4.1 - Proteção de Dados

Por proteção de dados entendemos a proteção de informações que estão armazenadas em sistemas  Tecnológicas da Informação . Vale lembrar que as proteções não são exclusivamente ligadas à questão da confidencialidade, sendo a disponibilidade e a integridade também fatores importantes que merecem atenção e controle.

4.1.1  – Criptografia – Umas das principais tecnologias existentes hoje a serviço da segurança da informação. Por meio do ouso de tecnologias criptográficas é possível disponibilizar, de forma segura e eficaz, uma série de serviços. Os mas importantes são confidencialidade, integridade, autenticação , autenticidade e irretratabilidade (Não – repúdio) . Além disso, tecnologias de Digital Watermarking usam técnicas de estenografia  para permitir o rastreamento de um documento eletrônico que tenha vazado da organização.

4.1.2   – DRM – (Digital Rights Management) – Os sistemas de DRM são uma tecnologia relativamente recente e tem por finalidade a proteção de conteúdo protegido por diretos autorais. A maioria dos sistemas de DRM faz com que a informação seja codificada de forma que apenas as pessoas autorizadas possam lê-la, por meio de uso de criptografia assimétrica. O DRM nada mais é do que um conjunto de tecnologias implantadas em arquivos de computador para impedir que o usuário faça cópias do conteúdo. Ele pode ser utilizado tanto em músicas ou filmes digitais quanto em discos como CDs ou DVDs.

As lojas virtuais de mídia costumam usar o padrão Windows Media para arquivos de áudio ou vídeo, que usam um sistema DRM desenvolvido pela Microsoft. Quem compra mídia pela loja da Apple, a iTunes, costuma baixar músicas no padrão AAC, que usa a tecnologia DRM FairPlay, da Apple. A proteção fica codificada dentro do arquivo —ele consegue, por exemplo, reconhecer se foi copiado de um PC para outro, ou para um player digital, e a partir daí restringir o número de cópias.

4.1.3  – Backup – Proteção contra problema de disponibilidade e integridade, Como maioria já Sab saio copia de segurança que têm por finalidade permitir que as informações de um sistema possam ser armazenadas de maneira off-line, criando um mecanismo que permite recuperá-la  em caso de falha

4.1.4   –Sistemas Redundantes-  descreve a capacidade de um sistema em superar a falha de um de seus componentes através do uso de recursos redundantes, ou seja, um sistema redundante possui um segundo dispositivo que está imediatamente disponível para uso quando da falha do dispositivo primário do sistema.,Uma rede de computadores redundante caracteriza-se, pois, por possuir componentes como sistemas de ventilação e ar condicionado, sistemas operacionais, unidades de disco rígido, servidores de rede, links de comunicação e outros, instalados para atuarem como backups das fontes primárias no caso delas falharem.

4.1.5  – Controle de Acessos – Tecnologia que protegem os dados contra problemas de segurança relacionados á quebra de confidencialidade e integridade, finalidade é garantir que apenas usuários e processos autorizados tenham acesso a determinadas informações e que possam executar apenas as ações previamente definidas

4.2 - Proteção Física

Além de proteger a informação no formato eletrônico, devemos protegê-lo também no formato físico, guardando papéis que contém informações importantes, mídias etc.. Em locais protegidos e controlados. Abaixo  os principais mecanismo de proteções

4.2.1  – Controle Acesso Físico – São dispositivos como catracas e portas de acesso inteligentes Server par controlar quais são as pessoal têm acesso a um determinado ambiente. Exemplo: Departamento financeiro no quais vários analistas precisam ter acesso alguns processos que ambos analisam, mas não podem permitir que outras pessoas tenha conhecimento desses documentos

4.2.2  –Cofres – Dispositivos que controlam o cesso aos objetos que são armazenados dentro deles , ainda podem servir como um dispositivos de proteção contra eventos de segurança que prejudicam a disponibilidade de uma determinada informação

4.2.3   –CFTV – Circuito Fechado de TV pode ser usado para monitorar a eficiência de outrois dispositivos de controles de acess, além de  gerar imagens que podem ser utilizadas após um incidente de segurança

4.2.4  –Transporte Seguro – Existe diferente tipo de categorização de transporte vai de carro forte até um moto boy , só não podemos esquecer que também durante o transporte físico , as informações devem ser protegidas com mecanismos  tão seguros quanto aqueles que escolhemos para protegê-los quando as mesmas estão armazenadas em um sistema ou são transmitidas eletronicamente

4.3 - Controles Administrativos

Como o procedimento devem ser executados e as necessidades de interação entre pessoas com diferentes responsabilidades para que esses procedimentos possam ser executados de forma segura e controlada .

4.3.1  – Políticas – O principal controle administrativo relacionado á SI é a Política de Segurança da Informação e, conseqüentemente , a Política de Classificação da Informação.

As Políticas também são responsável pela criação de dispositivos de proteção jurídica, garantindo á organização direito de realizar legalmente ações não autorizadas. Por causa disso, possuem um forte efeito desencorajador.

4.3.2  –Revisão e Aprovação – Qualquer ação individual que tenha uma maior relevância do ponto de vista de segurança dever ser feita em mais de um passo, com responsabilidade de execução e revisão distintas, incluído autorização para concretização. Dessa forma, criamos mecanismos naturais de proteção e obrigamos as pessoas a se monitorarem, criando assim uma cadeia de proteção administrativa.

4.3.3  –Separação de tarefas – Alguns procedimentos, como comentado anteriormente, podem possuir sérios problemas de segurança se uma divisão não for feita entre seus passos, incluído a divisão de certas responsabilidades. Esse principio recebe o nome de operação de tarefas.. Em uma empresa, a pessoa que faz uma despesas não é a mesma que aprova. Para que algum prejuízo seja causado através da aprovação de uma  despesa fraudulentas, é normal que muitas pessoas tenham que estar dispostas a cometer a fraude . Dessa forma, forçamos a coerção de diversas pessoas, o que é um forte mecanismo desencorajador, além de estruturar as proteções (os diversos cargos e em áreas diferentes)

4.3.4  – Monitoramento – A revisão manual periódica  de logs, transações , resultados de procedimentos, autorizações etc. é u mecanismo importante em busca de falhas , mas , mais que isso, é um dos principais mecanismos desencorajadores . Não há necessidade de se monitorar tudo, há apenas a necessidade de se monitorar de forma não regular, porém eficiente

4.4 - Aspectos práticos

Uma das maiores dificuldades enfrentadas por quem implanta um programa de classificação não é a elaboração das políticas ou definição de como elas devem funcionar, e sim os aspectos práticos ligados á efetiva implementação no dia-a-dia das operações

4.4.1   – Rotulação – Rotular os níveis de classificação nas informações , uma vez que eles forma escolhidos . Segue alguns casos :

• Arquivos eletrônicos – podem ter a classificação sendo  mostrada dentro de seu conteúdo. Caso não seja possível recomenda-se o armazenamento das informações nas propriedades do arquivos que são , extensíveis permitindo que a organização as personalize de acordo com sua necessidade . Outra recomendação para armazenar arquivos em servidores de rede, é usar nomenclatura padronizada que inclua referencia Á classificação
• E-mail – Classificação no corpo do email da mensagens
• Sistema e aplicativos – Devem ser metadados pára que os níveis de classificação possam ser armazenados junto com as informações
• Mídia – Dever ser rotuladas visualmente com etiquetas como os documentos impressos.

4.5 - Controle de acesso

No contexto de segurança de rede, o controle de acesso é a habilidade de limitar ou controlar o acesso aos computadores hospedeiros ou aplicações através dos enlaces de comunicação e do controle de acesso físico.

Para tal, cada entidade que precisa obter acesso ao recurso, deve primeiramente ser identificada, ou autenticada e de forma a que os direitos e permissões de acesso sejam atribuídos ao usuário.

4.5.1 – Acesso  lógico – O Controle de Acesso Lógico permite que os sistemas de TI verifiquem a identidade dos usuários que tentam utilizar seus serviços.Como exemplo mais comum, temos o “logon” de um usuário em um computador. O processo realizado é o de Identificação e Autenticação.

A identificação do usuário corresponde à entrada de um índice único que “aponta” aquele usuário. Por exemplo, a digitação de um “username” ou a colocação de um “smartcard”. O usuário diz quem ele é.

A autenticação do usuário é o processo no qual ele “prova quem diz ser”. Tradicionalmente, isso é feito digitando uma senha ou é simplesmente ignorado. A tecnologia biométrica autentica o usuário baseando-se no que ele realmente é, e não no que ele sabe ou carrega.

O controle biométrico de acesso lógico é a solução ideal para os sistemas de informação de uma empresa preocupada em segurança de suas informações.

4.5.2 – Acesso Físico – Atualmente, os sistemas de controle de acesso físico possibilitam a integração de outras funcionalidades, como integração com leitores biométricos, controle de estacionamento, controle de elevadores, integração com alarmes de incêndio, controle de ronda, emissão de crachás para visitantes e integração com CFTV.

Outra tendência é o Acesso Universal, isto é, a integração do controle de acesso físico com controle de acesso lógico.

Isso permite a criação de regras especiais, como permitir o acesso à estação de trabalho apenas a usuários que se autenticaram na entrada do departamento e a utilização da mesma credencial biométrica para todos os dispositivos.

5 - Auditoria e Monitoramento

Auditar e monitorar o ambiente são as etapas que fecham o ciclo de implementação e proteção.

5.1 - Monitoramentos periódicos

Uma vez implementado em programa de CI e suas práticas ao dia-a-dia de uma organização, seu efetivo funcionamento só pode ser garantido por meio de um monitoramento periódico. Mais do que procurar violações , a responsabilidades do monitamento  é avaliar o funcionamento do programa como um todo.

O dinamismo e as mudançs são uma constante nos dias atuais. Por isso devemos  sempre estar atentos se não há espaços para aprimoramento ou adaptação das praticas , em busca da melhora continua

O constante surgimento de novas ameaças e tecnológicas demanda persevernça na reativação constante de nossas decisões e, principalmente, proteções.

5.2 - Aspectos de Auditoria

A auditoria é complementar ao monitoramento, A auditoria da uma visão independente do funcionamento do programa de Classificação da Informação, checando se seus objetivos estão sendo compridos, incluindo os aspectos legais ligados ao programa. Também é responsável por detectar prejuízos financeiros causados pela ineficiência do programa ou por fraudes associados ao seu uso.

Para que tenha real validade e independência, deve ser realizado por pessoas que tenham pouca ou nenhuma relação com aqueles que foram responsáveis por implementar o programa.

Podemos usar auditoria interna, externas ou ambas, sendo essas abordagens, muitas vezes, regidas por legislações e regulamentação especificas , dependendo da atividade da organização

RESUMO

A Classificação da informação envolve a criação de rótulos para esses possam ser atribuídas aos diversos documentos de uma organização. O propósito desses rótulos é definir as características do documento no que diz a respeitos as suas necessidades de proteção.

Cada rótulo é constituído por critérios que definirão se um documento deve ou não ser classificado sob ele, e por requisitos de proteção, que definem quais controles precisam ser aplicados em documentos classificados com a sua denominação

Para que o processo funcione de maneira adequada, devemos elaborar uma política que determinará o seu funcionamento , facilitando a adoção e a padronização em toda organização. Durante a definição dessa política, convém analisar todos os requisitos, como necessidades legais , características dos documentos e demandas em termos de proteção, para que os rótulos cridos atendam às necessidades. Alem disso, a política definirá as responsabilidades de todos os envolvidos no processo

Uma vez definida a política, ela deve ser divulgada e os colaborados devem ser treinados para quem possam segui-las de forma adequado.

Por fim, devemos verificar a existência de controles na organização. Conforme os requisitos dos rótulos, para proteção dos documentos de forma como foi previamente definido.

Por Aldo Silva.