Classificar é preciso, e assim prossegue a epopéia da nau corporativa chamada ‘Segurança’, trilhando mares bravios em busca da qualificação de seu patrimônio informático, ao melhor modelo “conhecer para então proteger”. Com a evolução dos dados e sistemas, a informação ganhou mobilidade, inteligência e real capacidade de gestão. A informação é substrato da inteligência competitiva; deve ser administrada em seus particulares, diferenciada e salvaguardada. Quem é quem neste mundo da informação? Quais são as melhores práticas para sua classificação? Como atuam as organizações líderes em seus respectivos setores?
A organização moderna é um grande organismo; tende ao crescimento, alimentada pela produção e operada pelo seu corpo funcional. Pense em uma analogia com o corpo humano: o grupo executivo como a mente – arquitetando objetivos e metas, em equilíbrio e sintonia com os órgãos, respeitando seus limites e suas funções. Como é que este organismo se comunica? Seu fluído vital, é a informação. Seguindo esta linha, a interrupção do fluído circulante significa paralisação das funções deste organismo e de seus processos de negócio. Em tempos de gestão integrada, onde ponteiros “suiços” indicam resultados, garantir a disponibilidade, a integridade e a confidencialidade da informação é um compromisso com resultados.
Para que o processo de classificação possa ser guiado com êxito, não dependendo exclusivamente da avaliação do consultor de segurança, faz-se necessário o envolvimento dos criadores, gestores, curadores e usuários da informação. Estes devem estar habilitados a responder aos seguintes questionamentos.
A. Qual a utilidade da informação?
Aparentemente simples, a resposta para esta pergunta deve ser consolidada base a uma visão holística – a informação é parte de um todo muitas vezes indecomponível. A informação que suporta o departamento comercial tem diferente utilidade quando confrontada com as informações provenientes da engenharia. Quando justificar utilidade, lembre sempre dos fins: suporte, operação, estratégia e etc.
B. Qual o valor da informação?
Existem diferentes métodos para a valoração da informação. São abordagens qualitativas, quantitativas e mistas; algumas compostas de cálculos e fórmulas herméticas - por vezes tão confusas que causam suspeita aos homens de espírito prático. Acredito que tão ou mais eficiente que o aparato analítico informatizado seja a avaliação pessoal do dono da informação. Ele saberá qualificar sua munição: qual o prejuízo caso esta informação seja revelada ou comprometida? Caso haja dificuldade em compor o resultado através de um indicador financeiro preciso, vale também a descrição através de escalas de classificação.
C. Qual a validade da informação?
Salvo exceções justificadas, toda a informação deve possuir um período de validade – manter informações desatualizadas, redundantes ou de integridade duvidosa, quando não por imposição legal, significa espaço em disco, leia-se “custo adicional”.
D. Quem é responsável pela manutenção da classificação da informação?
Em algumas organizações, o criador da informação é responsável pela sua classificação inicial nos quesitos da tríade da segurança – confidencialidade, integridade e disponibilidade. Esta classificação deve ser acompanhada pela definição de grupos, perfis ou usuários individuas com permissão para o acesso.
Classificação Comercial
Usualmente a informação comercial é classificada dentro das categorias: (1) sensível – requer precauções especiais; (2) confidencial – caso seja revelada pode afetar seriamente a companhia; (3) privada – informação sobre o corpo funcional; (4) proprietária – caso seja revelada, pode reduzir a margem competitiva; e (5) pública - informação que não se enquadra nas categorias anteriores, caso revelada não afetará a organização. É sempre importante que este formato seja adaptado às particularidades da sua organização.
Uma pequena tasklist que poderá servir de suporte para o trabalho de classificação:
>• Identifique quem é o dono da informação;
• Especifique quais critérios serão utilizados para sua classificação
• Converse com o dono da informação – esta deve ser enquadrada em alguma das categorias indicadas acima;
• Indique qual o nível de segurança necessário para proteger cada categoria;
• Documente exceções;
• Crie rótulos para a informação impressa e digital;
• Defina o método que será utilizado para transferir a custódia da informação;
• Indique um procedimento a desclassificação da informação;
• Treine e conscientize os usuários – é importante que todos saibam como classificar e manusear diferentes tipos de informação.
A classificação é uma poderosa ferramenta para salvaguardar a informação: através da identificação, classificação e rotulagem, pode-se aplicar diferentes métodos de proteção – guiado sempre pelo indicador de segurança. Isso evita investimentos inadequados, caracterizados pelo já conhecido jargão de segurança que canta “Não faz sentido um cofre mais valioso que o conteúdo protegido”. Será que o nosso “cofre” não está sobrecarregado com outro papel, que não o papel moeda? Devemos permitir e incentivar a circulação da informação, atentando à diferença entre distribuir informações vitais para a gestão inteligente do seu negócio à exposição incontinente da massa crítica em circulação. Então, o que é crítico? Classifique.
A organização moderna é um grande organismo; tende ao crescimento, alimentada pela produção e operada pelo seu corpo funcional. Pense em uma analogia com o corpo humano: o grupo executivo como a mente – arquitetando objetivos e metas, em equilíbrio e sintonia com os órgãos, respeitando seus limites e suas funções. Como é que este organismo se comunica? Seu fluído vital, é a informação. Seguindo esta linha, a interrupção do fluído circulante significa paralisação das funções deste organismo e de seus processos de negócio. Em tempos de gestão integrada, onde ponteiros “suiços” indicam resultados, garantir a disponibilidade, a integridade e a confidencialidade da informação é um compromisso com resultados.
Para que o processo de classificação possa ser guiado com êxito, não dependendo exclusivamente da avaliação do consultor de segurança, faz-se necessário o envolvimento dos criadores, gestores, curadores e usuários da informação. Estes devem estar habilitados a responder aos seguintes questionamentos.
A. Qual a utilidade da informação?
Aparentemente simples, a resposta para esta pergunta deve ser consolidada base a uma visão holística – a informação é parte de um todo muitas vezes indecomponível. A informação que suporta o departamento comercial tem diferente utilidade quando confrontada com as informações provenientes da engenharia. Quando justificar utilidade, lembre sempre dos fins: suporte, operação, estratégia e etc.
B. Qual o valor da informação?
Existem diferentes métodos para a valoração da informação. São abordagens qualitativas, quantitativas e mistas; algumas compostas de cálculos e fórmulas herméticas - por vezes tão confusas que causam suspeita aos homens de espírito prático. Acredito que tão ou mais eficiente que o aparato analítico informatizado seja a avaliação pessoal do dono da informação. Ele saberá qualificar sua munição: qual o prejuízo caso esta informação seja revelada ou comprometida? Caso haja dificuldade em compor o resultado através de um indicador financeiro preciso, vale também a descrição através de escalas de classificação.
C. Qual a validade da informação?
Salvo exceções justificadas, toda a informação deve possuir um período de validade – manter informações desatualizadas, redundantes ou de integridade duvidosa, quando não por imposição legal, significa espaço em disco, leia-se “custo adicional”.
D. Quem é responsável pela manutenção da classificação da informação?
Em algumas organizações, o criador da informação é responsável pela sua classificação inicial nos quesitos da tríade da segurança – confidencialidade, integridade e disponibilidade. Esta classificação deve ser acompanhada pela definição de grupos, perfis ou usuários individuas com permissão para o acesso.
Classificação Comercial
Usualmente a informação comercial é classificada dentro das categorias: (1) sensível – requer precauções especiais; (2) confidencial – caso seja revelada pode afetar seriamente a companhia; (3) privada – informação sobre o corpo funcional; (4) proprietária – caso seja revelada, pode reduzir a margem competitiva; e (5) pública - informação que não se enquadra nas categorias anteriores, caso revelada não afetará a organização. É sempre importante que este formato seja adaptado às particularidades da sua organização.
Uma pequena tasklist que poderá servir de suporte para o trabalho de classificação:
>• Identifique quem é o dono da informação;
• Especifique quais critérios serão utilizados para sua classificação
• Converse com o dono da informação – esta deve ser enquadrada em alguma das categorias indicadas acima;
• Indique qual o nível de segurança necessário para proteger cada categoria;
• Documente exceções;
• Crie rótulos para a informação impressa e digital;
• Defina o método que será utilizado para transferir a custódia da informação;
• Indique um procedimento a desclassificação da informação;
• Treine e conscientize os usuários – é importante que todos saibam como classificar e manusear diferentes tipos de informação.
A classificação é uma poderosa ferramenta para salvaguardar a informação: através da identificação, classificação e rotulagem, pode-se aplicar diferentes métodos de proteção – guiado sempre pelo indicador de segurança. Isso evita investimentos inadequados, caracterizados pelo já conhecido jargão de segurança que canta “Não faz sentido um cofre mais valioso que o conteúdo protegido”. Será que o nosso “cofre” não está sobrecarregado com outro papel, que não o papel moeda? Devemos permitir e incentivar a circulação da informação, atentando à diferença entre distribuir informações vitais para a gestão inteligente do seu negócio à exposição incontinente da massa crítica em circulação. Então, o que é crítico? Classifique.