Nem todas as informações possuem o mesmo valor para uma organização. Informações estratégicas são nitidamente críticas enquanto que determinadas informações operacionais são menos significantes em termos de valor e importância. Todos concordamos que proteger as informações é prática de mercado. Entretando, proteção significa controle e controlar requer investimento. Porém este investimento deve ser focado, otimizado. Algumas empresas investem mais na proteção de ativos físicos do que na proteção de suas informações digitais: é desnecessário comentar que certas informações digitais podem ser inúmeras vezes mais valiosas que ativos físicos.
Para proteger as informações de forma racional é preciso reconhecer o valor de cada informação. Proteger todas as informações com o máximo rigor é investir de forma incorreta. Reconhecer o valor das informações permite tratá-las de forma adequada e conseqüentemente otimizar os recursos de proteção. Imagine o custo relacionado ao emprego de criptografia a todas as informações de uma empresa. É realmente necessário criptografar todas as informações importantes?
Classificar as informações é uma prática direcionada à proteção racional das informações. Classificar significa enquadrar as informações em diferentes categorias de acordo com sua importância e criticidade para a empresa, e, através da categorização das informações aplicar controles de segurança diferentes para cada nível de segurança existente. Dessa forma pode-se exigir maior rigor e proteção no tratamento de informações críticas e minimizar o custo de proteção de informações sensíveis mas não tão importantes para a empresa.
O atual sistema de classificação utilizado pela maioria das empresas é em grande parte direcionado à proteção da confidencialidade das informações. Estes esquemas de classificação possuem níveis de segurança como confidencial, restrito, institucional, privado, público, secreto e outras denominações semelhantes. Esta nomenclatura, bem como o direcionamento à proteção da confidencialidade, são conseqüências diretas da grande influência das normas governamentais norte-americanas bem como influência do exército norte-americano. Quem nunca viu um filme onde o exército lida com informações confidenciais ou classificadas como top-secret.?
Entretanto é importante lembrar que a disciplina de segurança da informação evoluiu e não está mais focada apenas na garantia de confidencialidade das informações, mas também visa preservar a integridade e a disponibilidade destes ativos. Quando uma empresa utiliza níveis como confidencial, secreto, público e outros, apenas a questão da confidencialidade é destacada e isto gera um senso comum de proteção exclusivamente deste aspecto, deixando a integridade e a disponibilidade em segundo plano. É importante observar que as informações possuem diferentes requisitos de confidencialidade de integridade e de disponibilidade. Considerando este contexto, as diversas sistemáticas não deveriam utilizar níveis de segurança cujos nomes apontam exclusivamente à manutenção da confidencialidade. É fundamental que a nomenclatura utilizada para cada nível represente a segurança através dos seus três aspectos principais. Uma alternativa seria utilizar uma sistemática de classificação que indicasse os três níveis. Por exemplo, um determinado relatório poderia apresentar a seguinte classificação: C2-I3-D1 – este código indica que a informação possui requisitos individuais para confidencialidade, integridade e disponibilidade.
As regras e procedimentos existentes para o tratamento das informações devem indicar os requisitos mínimos de proteção associado de acordo com o valor atribuído à confidencialidade, integridade e disponibilidade. Por exemplo, informações com índice três para confidencialidade devem ser armazenadas de forma criptografada; informações com nível três para integridade devem ser validadas antes de inseridas em bases de dados; informações com nível três de disponibilidade devem estar armazenadas em seus pontos de uso, evitando a indisponnibilidade por falhas nos links de comunicação. É importante observar que são requisitos independentes e as informações serão tratadas de acordo com a real necessidade.
Uma alternativa mais simples seria classificar as informações com um qualificador único. Este pode ser numérico, ou pode estar associado a um nome. Porém os nomes utilizados não devem transparecer a preservação exclusiva da confidencialidade. É interessante utilizar nomes como importante, crítico, vital, sensível, público. Esta nomenclatura teria a mesma função dos nomes utilizados nos sistemas convencionais, porém os usuários estariam mais atentos a garantia não apenas da confidencialidade, mas da integridade e da disponibilidade das informações ao enquadrá-las em um dos níveis existentes.
Como resultado final teremos a evolução do processo de classificação das informações de acordo com a evolução da disciplina de segurança. Garantir apenas a confidencialidade não mais suficiente para a maioria das empresas. É evidente a necessidade de mudança nos atuais esquemas de classificação utilizados. Independentemente da nomenclatura e sistemática utilizada, a idéia é não focar apenas a confidencialidade, mas garantir que o processo irá considerar também a integridade e a disponibilidade das informações.
Para proteger as informações de forma racional é preciso reconhecer o valor de cada informação. Proteger todas as informações com o máximo rigor é investir de forma incorreta. Reconhecer o valor das informações permite tratá-las de forma adequada e conseqüentemente otimizar os recursos de proteção. Imagine o custo relacionado ao emprego de criptografia a todas as informações de uma empresa. É realmente necessário criptografar todas as informações importantes?
Classificar as informações é uma prática direcionada à proteção racional das informações. Classificar significa enquadrar as informações em diferentes categorias de acordo com sua importância e criticidade para a empresa, e, através da categorização das informações aplicar controles de segurança diferentes para cada nível de segurança existente. Dessa forma pode-se exigir maior rigor e proteção no tratamento de informações críticas e minimizar o custo de proteção de informações sensíveis mas não tão importantes para a empresa.
O atual sistema de classificação utilizado pela maioria das empresas é em grande parte direcionado à proteção da confidencialidade das informações. Estes esquemas de classificação possuem níveis de segurança como confidencial, restrito, institucional, privado, público, secreto e outras denominações semelhantes. Esta nomenclatura, bem como o direcionamento à proteção da confidencialidade, são conseqüências diretas da grande influência das normas governamentais norte-americanas bem como influência do exército norte-americano. Quem nunca viu um filme onde o exército lida com informações confidenciais ou classificadas como top-secret.?
Entretanto é importante lembrar que a disciplina de segurança da informação evoluiu e não está mais focada apenas na garantia de confidencialidade das informações, mas também visa preservar a integridade e a disponibilidade destes ativos. Quando uma empresa utiliza níveis como confidencial, secreto, público e outros, apenas a questão da confidencialidade é destacada e isto gera um senso comum de proteção exclusivamente deste aspecto, deixando a integridade e a disponibilidade em segundo plano. É importante observar que as informações possuem diferentes requisitos de confidencialidade de integridade e de disponibilidade. Considerando este contexto, as diversas sistemáticas não deveriam utilizar níveis de segurança cujos nomes apontam exclusivamente à manutenção da confidencialidade. É fundamental que a nomenclatura utilizada para cada nível represente a segurança através dos seus três aspectos principais. Uma alternativa seria utilizar uma sistemática de classificação que indicasse os três níveis. Por exemplo, um determinado relatório poderia apresentar a seguinte classificação: C2-I3-D1 – este código indica que a informação possui requisitos individuais para confidencialidade, integridade e disponibilidade.
As regras e procedimentos existentes para o tratamento das informações devem indicar os requisitos mínimos de proteção associado de acordo com o valor atribuído à confidencialidade, integridade e disponibilidade. Por exemplo, informações com índice três para confidencialidade devem ser armazenadas de forma criptografada; informações com nível três para integridade devem ser validadas antes de inseridas em bases de dados; informações com nível três de disponibilidade devem estar armazenadas em seus pontos de uso, evitando a indisponnibilidade por falhas nos links de comunicação. É importante observar que são requisitos independentes e as informações serão tratadas de acordo com a real necessidade.
Uma alternativa mais simples seria classificar as informações com um qualificador único. Este pode ser numérico, ou pode estar associado a um nome. Porém os nomes utilizados não devem transparecer a preservação exclusiva da confidencialidade. É interessante utilizar nomes como importante, crítico, vital, sensível, público. Esta nomenclatura teria a mesma função dos nomes utilizados nos sistemas convencionais, porém os usuários estariam mais atentos a garantia não apenas da confidencialidade, mas da integridade e da disponibilidade das informações ao enquadrá-las em um dos níveis existentes.
Como resultado final teremos a evolução do processo de classificação das informações de acordo com a evolução da disciplina de segurança. Garantir apenas a confidencialidade não mais suficiente para a maioria das empresas. É evidente a necessidade de mudança nos atuais esquemas de classificação utilizados. Independentemente da nomenclatura e sistemática utilizada, a idéia é não focar apenas a confidencialidade, mas garantir que o processo irá considerar também a integridade e a disponibilidade das informações.
No comments:
Post a Comment