Classificação das informações: como definir níveis de segurança?

Classificacao das Informacoes

Não pode ler agora? Ouça o artigo clicando no player:

A classificação das informações é uma prática muito mais antiga do que a segurança dos dados como conhecemos hoje. Muito antes da era digital, governos e empresas já davam tratamento especial às informações consideradas confidenciais para evitar vazamento de dados.

Agora, em tempos de troca de dados de maneira instantânea usando a internet e com o armazenamento de um volume de informações jamais visto, a prática se torna ainda mais importante. Fazer a classificação das informações é um dos passos da segurança da informação que sua empresa precisa tomar.

Mas, afinal, o que significa fazer a classificação da informação e como isso pode ajudar na segurança dos dados? Quais são as principais recomendações e como começar? Entenda agora!

O que é e para que serve a classificação de informações?

A classificação das informações consiste na definição de níveis de proteção que cada dado deve receber. Por exemplo, os relatórios financeiros da empresa devem ter um nível de proteção maior do que a lista de números de telefone internos dos setores.

Ela serve para garantir que nenhum dado seja divulgado indevidamente e que apenas as pessoas que têm direito recebam acesso à informação. A classificação da informação faz parte das exigências da ISO 27001.

A norma é considerada a principal diretriz de segurança da informação e recomenda que as informações sejam classificadas de acordo com seu valor, requisitos legais, criticidade e sensibilidade.

Níveis de classificação das informações

A norma não determina os níveis necessários, apenas fala que eles devem fazer sentido no contexto da organização. Uma das formas mais usadas é tratar a informação como confidencial, restrita, de uso interno ou pública.

Confidencial

É o nível mais alto de segurança dentro deste padrão. As informações confidenciais são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da empresa. São protegidas, por exemplo, por criptografia.

Restrita

É o nível médio de confidencialidade. São informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Podem ser protegidas, por exemplo, restringindo o acesso à uma pasta ou diretório da rede.

Uso interno

Representa baixo nível de confidencialidade. Informações de uso interno são aquelas que não podem ser divulgadas para pessoas de fora da organização, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.

Pública

São dados que não necessitam de proteção sofisticada contra vazamentos, pois podem ser de conhecimento público. No entanto, sempre cabe lembrar dos outros dois pilares: a disponibilidade e a integridade.

Como colocar em prática

Além da classificação das informações de acordo com níveis adequados, existem outras práticas recomendadas na norma ISO 27001. Veja o que fazer!

Inventário de ativos de dados

Antes mesmo de fazer a classificação das informações, você deve fazer um inventário de ativos de dados, isto é, enumerar todos os dados pertencentes a empresa. O inventário deve conter o tipo de informação (documentos eletrônicos, documentos em papel, e-mail etc.) e quem é responsável por ela.

De acordo com a norma, o responsável pela informação deve fazer a classificação dela. Geralmente, faz-se uma avaliação de riscos e aplica-se os níveis de classificação da informação definidos pela empresa.

Rótulo das informações

Depois de classificadas, as informações precisam ser rotuladas. Toda vez que uma pessoa receber um documento, um e-mail ou qualquer outro dado, ela precisa saber sobre o seu nível de confidencialidade. O rótulo de um documento pode ser apresentado, por exemplo, no cabeçalho de cada página.

Manuseio de ativos de dados

Por fim, a sua política de segurança da informação deve contar regras sobre o manuseio de dados de acordo com o nível de confidencialidade. Por exemplo, “informações confidenciais não podem ser transmitidas por e-mail sem criptografia” pode ser uma dessas regras.

O manuseio de ativos dá informações claras sobre o que fazer e como tratar cada informação de acordo com seu nível de segurança.

Como vimos, a classificação das informações serve para garantir que todas as pessoas envolvidas na organização tenham consciência sobre a necessidade de manter sigilo sobre determinadas informações. Essa é uma das principais armas da equipe de TI na busca por maior segurança da informação.

Quer começar agora mesmo a classificação das informações na sua empresa? Nós podemos ajudar! Entre em contato e solicite apoio para esta ação! E não deixe de acessar o nosso conteúdo sobre os benefícios da automação de Segurança da Informação para a sua empresa! Clique no banner abaixo para acessar o conteúdo!

automatizacao_seguranca_informacao

Compartilhe

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *