Tuesday, July 31, 2007

Classificação da Informação

Bom pessoal, este é um dos mais controversos controles do anexo A da ISO 27001. Literalmente você pode montar uma iniciativa complexa para classificar sua informação ou algo simples. Neste controle mais do que em qualquer outro é importante estar bem focado no negócio, para não criar um monstro capaz de devorar o próprio Security Officer.

Em primeiro lugar, creio que o termo correto, ao invés de CLASSIFICAÇÃO DA INFORMAÇÃO, deveria ser TRATAMENTO DA INFORMAÇÃO. Explico o porquê. Bom, em primeiro lugar entendo que a classificação da informação é apenas uma das facetas do tratamento da informação, que também deve considerar o "rótulo".

Vamos deixar isso mais simples. O que entendemos por Classificação da Informação é um processo que se divide em "Criação de Categorias de Informação" e "Definição de como rotular as informações". Isso tudo para tratar a informação considerada confidencial de maneira diferente da informação pública.

Exemplo: minha empresa pode ter três categorias de classificação, sendo (a) informação confidencial; (b) informação de uso interno; (c) informação pública. O bacana a partir da classificação é poder determinar como será tratada a informação confidencial quando for enviada por e-mail (na maioria dos casos só pode ser enviada se criptografada), ou até mesmo métodos de descarte de informações confidenciais em papel (que só será feito através de fragmentadora de papeis).

Mas para que serve a tal da classificação? Sabemos que proteção da informação é um recurso caro, classificar é uma forma racional de proteger melhor aquilo que é mais importante :-)

No comments: