Estudo de Caso sobre a Implementação de uma Política de Classificação da Informação Renan de Faria Huguenin
[email protected] Claudinei Di Nuno, !c professorclaudinei"uol#com#br
Curso de Pós-Graduação Lato Sensu em Gestão Estratégica de Tecnologia da Informação Estácio de á Resumo
Conhecimento é !oder" e as informaç#es deri$adas dos dados são os %ens mais $aliosos de &ual&uer organi'ação. (ma série de e$entos de alto n)$el de $a'amento de dados recentemente trou*e esta &uestão aos olhos do !+%lico. , aumento da &uantidade de dados &ue são !rodu'idos atra$és do uso de dis!ositi$os mó$eis aumenta o risco de &ue terceiros não autori'ados !ossam o%ter acesso a dados sens)$eis. uitos giga%tes de dados !odem" literalmente /caminhar/ !ara fora da em!res em!resa a em um pendrive ou smartphone de um em!regado ou ainda atra$és de ata&ues e*ternos" !odendo tam%ém ser interce!tadas &uando en$iado atra$és do Computing 01u$em2 ou e-mail !articular. Para isso" de$e-se ser$ ser$iç iços os de Cloud Computing ela%orar metodicamente um ciclo de $ida da informação" a%rangendo estágios desde o momento de sua criação" ca!tação ou geração" transmissão" com!artilhamento" guarda e" finalmente" descarte ou eliminação. 3s informaç#es tanto em meio f)sico &uanto eletr4nico !ossuem necessidades de !roteção &uanto 5 confidencialidade" integridade e dis!oni%ilidade. Em geral" a classificação dada 5 informação é uma maneira de determinar como esta informação $ai ser tratada e !rotegida. 6esde 78 de de'e de'em% m%ro ro de 7997 7997"" há em $igo $igorr no :ras :rasilil o 6ecr 6ecret etoo-;e ;eii n< =.>> =.>>?" ?" &ue &ue regulamenta a criação de !rocedimentos e !rocessos !ara a guarda de dados" inform informaç# aç#es" es" docum document entos os e materi materiais ais sigilo sigilosos sos de intere interesse sse da segura segurança nça da sociedade e do Estado. , !rinci!al o%eti$o deste tra%alho é a!resentar em detalhes os !rocessos necessários !ara se im!lementar uma Pol)tica de Classificação da Inform Informaçã ação o dentro dentro das organi organi'aç 'aç#es #es"" seam seam elas elas !+%lic !+%licas as ou !ri$a !ri$adas das"" com a finalidade de a!oiá-las na definição de n)$eis e critérios ade&uados de !roteção 5s info inform rmaç aç#e #es" s" %usc %uscan ando do esta estarr alin alinha hada da com com as !rin !rinci ci!a !ais is reco recome mend ndaç aç#e #ess do 6ecreto-;ei n< =.>>?" assim como a I, 78997. Pala$ras-Cha$esA Pala$ras-Cha$esA egurança da Informação" Classificação da Informação" Confidencialidade" Integridade e 6is!oni%ilidade" I, 78997 $# Int Introd rodução ução
3 info inform rmaç ação ão é um ati$ ati$o o &ue" &ue" como como &ual &ual&u &uer er outr outro" o" tem tem $alo $alorr !ara !ara a organi organi'aç 'ação ão e" conse& conse&uen uentem tement ente" e" necess necessita ita ser ade&ua ade&uadam dament ente e !roteg !rotegida ida.. 3 segurança da informação !rotege a informação de di$ersos ti!os de ameaças" garantindo a continuidade dos negócios" minimi'ando os danos e ma*imi'ando o retorno dos in$estimentos e das o!ortunidades.
2
3o mesmo tem!o em &ue as informaç#es são consideradas os !rinci!ais !atrim4nios de uma organi'ação" elas estão so% constante risco" como nunca esti$eram antes. Com isso" a segurança da informação tornou-se !onto crucial !ara a so%re$i$Bncia das organi'aç#es e seus negócios. Confidencialidade" integridade e dis!oni%ilidade são os !rinci!ais atri%utos &ue" atualmente" orientam a análise" o !laneamento e a im!lementação da segurança !ara um determinado gru!o de informaç#es &ue se desea !roteger. 3 egurança da Informação refere-se 5 !roteção e*istente so%re as informaç#es de uma determinada em!resa ou !essoa" isto é" a!lica-se tanto 5s informaç#es cor!orati$as &uanto 5s !essoais. Entende-se !or informação todo e &ual&uer conte+do ou dado &ue tenha $alor !ara alguma organi'ação ou !essoa. Ela !ode estar guardada !ara uso restrito ou e*!osta ao !+%lico !ara consulta ou a&uisição. , o%eti$o da Classificação da Informação é criar mecanismos !ara &ue os ati$os da informação rece%am um n)$el ade&uado de !roteção e esteam em conformidade com os !ilares da segurança da informação. 3 informação de$e ser classificada !ara indicar a im!ortncia" a !rioridade e o n)$el de !roteção. Podem ser esta%elecidas métricas 0com o uso ou não de ferramentas2 !ara a definição do n)$el de segurança e*istente e" com isso" serem esta%elecidas as %ases !ara análise da melhoria ou !iora da situação de segurança e*istente. 3 segurança de uma determinada informação !ode ser afetada !or fatores com!ortamentais e !elo uso da&ueles &ue se em!regam dela !elo am%iente ou !ela infraestrutura &ue a cerca ou !or !essoas mal intencionadas &ue tBm o o%eti$o de furtar" destruir ou modificar tal informação. Esses atri%utos são alcançados atra$és de um !rograma de segurança da informação" no &ual $ários !rocessos de segurança da informação atuam em conunto !ara ad&uirir esses o%eti$os. E*em!los dos !rocessos e !rocedimentos deste !rograma !odem serA 3nálise de Discos" Plano de Continuidade de 1egócios" Pol)tica de egurança" Classificação da Informação" Conscienti'ação de (suários" Controle de 3cessos" Tecnologias" Procedimentos etc. , o%eti$o deste tra%alho é a!resentar detalhes de um !rocesso da área de segurança da informação" denominado classificação da informação" cuo o%eti$o é a!oiar o tra%alho da organi'ação na definição dos n)$eis e critérios ade&uados de !roteção das informaç#es" com $istas a garantir a sua confidencialidade" conforme a im!ortncia da organi'ação. %#
Fundamentação &e'rica
%#$# (a)amento da Informação
,s incidentes de segurança da informação $Bm aumentando considera$elmente ao longo dos +ltimos anos e assumem as formas mais $ariadas" tendo como as mais im!ortantes as infecç#es !or $)rus" o acesso não autori'ado e os ata&ues de diferentes formas" sea ela !ara o%tenção de informaç#es ou até acesso a sistemas cr)ticos !ara o%tenção de informaç#es confidenciais ou sens)$eis 5 organi'ação. (m dos !rinci!ais moti$adores desse aumento é a difusão do uso da Internet" &ue cresceu de alguns milhares de usuários no in)cio da década de F9 !ara centenas de milh#es de usuários ao redor do glo%o nos dias atuais. 3o mesmo tem!o em &ue cola%orou com a democrati'ação da informação e se tornou um canal on-line !ara fa'er negócios" tam%ém $ia%ili'ou a atuação dos ladr#es do mundo digital e a !ro!agação de códigos maliciosos 0$)rus" worms" trojans etc.2" s!am e
3
outros in+meros incon$enientes &ue colocam em risco a segurança de uma cor!oração. 3lém disso" a facilidade da reali'ação de ata&ues atra$és da Internet aumentou significati$amente com a !o!ulari'ação de ferramental a!ro!riado es!alhado ao longo da rede mundial de com!utadores" ha%ilitando desde hackers até leigos mal-intencionados a !raticarem in$estidas contra sistemas de informação cor!orati$os 0H3P3TED E (H(I" 799>2. Juntamente com a difusão da Internet" outros fatores contri%u)ram !ara im!ulsionar o crescimento dos incidentes de segurança. (m deles é o aumento do n+mero de $ulnera%ilidades nos sistemas e*istentes" como" !or e*em!lo" as %rechas de segurança nos sistemas o!eracionais utili'ados em ser$idores e estaç#es de tra%alho. ,utro fator é o &uão tra%alhoso e custoso !ode se tornar o !rocesso de mitigar tais $ulnera%ilidades com a a!licação de correç#es no sistema" reali'adas muitas $e'es de forma manual e indi$idual 0de má&uina em má&uina2. Por +ltimo" a com!le*idade e a sofisticação dos ata&ues tam%ém contri%u)ram de maneira direta !ara o aumento dos incidentes. 1ão são a!enas as ameaças e*ternas &ue re!resentam riscos a uma cor!oração. ,s !ró!rios funcionários re!resentam alto risco &uando mal-intencionados ou mesmo &uando não conscientes dos riscos en$ol$idos na mani!ulação da informação 0H3P3TED E (H(I" 799>2. %#%# I!* %+%
3 I, 78997 su%stitui a I, 88FFA799> 0Código de :oas Práticas2 e esta%elece as diretri'es e os !rinc)!ios gerais !ara iniciar" im!lementar" manter e melhorar a gestão da segurança da informação em uma organi'ação. ,s o%eti$os delineados $isam fornecer orientaç#es gerais so%re as metas geralmente aceitas de gerenciamento de segurança da informação. Já a I,KIEC 78997A799> contém as melhores !ráticas de o%eti$os de controle nas seguintes áreas de gestão de segurança da informação 0I,KIEC 78997"799>2A − Pol)tica de segurançaL − ,rgani'ação da segurança da informaçãoL − Gestão de ati$osL − egurança dos recursos humanosL − egurança f)sica e am%ientalL − Comunicação e gestão de o!eraç#esL − Controle de acessoL − 3&uisição de sistemas de informação e manutençãoL − Informaç#es de gerenciamento de incidentes de segurançaL − Gestão de continuidade de negóciosL − Conformidade. , o%eti$o dos controles da I,KIEC 78997A799> é ser im!lementados !ara satisfa'er os re&uisitos identificados !or uma a$aliação de risco. Já a I,KIEC 78997A799> é conce%ida como uma %ase comum e orientação !rática !ara o desen$ol$imento de normas de segurança organi'acional e !ráticas efica'es de gestão de segurança e !ara audar a construir a confiança em ati$idades interorgani'acionais 0I,KIEC 78997"799>2. %#-# Necessidade de Implementar um Processo de !egurança da Informação
4
, desen$ol$imento da tecnologia da informação e de am%ientes informati'ados com alta dis!oni%ilidade tem !ro$ocado alteraç#es no !anorama organi'acional das em!resas. 3tualmente é im!rescind)$el se !ossuir um %om funcionamento da infraestrutura de TI" do contrário isso !assa a ser um !onto cr)tico !ara o negócio 0M,;3" 799?2. 3 !ró!ria estrutura de tecnologia é utili'ada como $etor e facilitadora !ara $a'amento de informaç#es" seam !or funcionários insatisfeitos" incorreta mani!ulação de dados ou ação intencional de es!ionagem ou frade cor!orati$a. (m $a'amento de informaç#es ocorre &uando dados confidenciais são distri%u)dos internamente ou !ara fora da rede cor!orati$a $iolando regulamentaç#es ou !ol)ticas de segurança 0M,;3" 799?2. 1o :rasil e*iste o Centro de Estudos" Des!osta e Tratamento de Incidentes de egurança no :rasil 0CEDT.%r2" &ue dis!oni%ili'a a todos os usuários da Internet uma %ase de dados com informaç#es rele$antes so%re os incidentes de segurança mensais desde FFF. ,s incidentes mais comuns são a disseminação de $)rus" worms" ata&ues a ser$idores web" negação de ser$iços" $arreduras de !ortas" tentati$as de in$asão e fraude 0CEDT.%r" 7992. ,s casos de $a'amento de informaç#es $Bm aumentando !otencialmente a cada ano &ue !assa. Nuanto maior o n+mero de controles im!lementados no com!utador de sua casa ou do seu escritório" no$as técnicas serão utili'adas !ara %urlar os sistemas de segurança. (m $a'amento de informaç#es no m%ito cor!orati$o !ode ser igualmente tem)$el" sea !or&ue informaç#es estratégicas irão !ara as mãos de um com!etidor ou !or&ue informaç#es financeiras de clientes !odem estar sendo o%tidas !or fraudadores 0M,;3" 799?2. ,s ti!os de ata&ues chamados fraudes ou engenharia social" como é comumente conhecido" tem assom%rado os es!ecialistas em segurança. Esse ti!o de ata&ue se caracteri'a !or utili'ar de técnicas sociais" nas &uais o indi$)duo aca%a se en$ol$endo na situação !ro!osta !elo atacante como se tal fato fosse $er)dico" e dessa forma" !assa ao atacante todas as informaç#es &ue ele necessita 06ias" 79992. %#.# Políticas de Classificação da Informação
3 Pol)tica de Classificação da Informação e a metodologia são as !eçascha$es !ara a im!lementação de todo o !rocesso. Essa !ol)tica de$e !ossuir regras e diretri'es !ara o !rocesso e de$e ser acom!anhada de $ários !rocedimentos !ara orientar a classificação da informação dentro das organi'aç#es de!endendo da forma como a informação se a!resente 0I;O3" 7992. 6ois conceitos são fundamentais em &ual&uer !rocesso de ela%oração de uma !ol)tica de classificação da informação 0I;O3" 7992A Need-to-Know 6efine a necessidade &ue uma !essoa !ossui" de$ido 5
rotina diária de tra%alho e desem!enho de suas funç#es" de acessar determinadas informaç#es. Essa terminologia foi criada no am%iente militar e de go$erno e !odemos utili'á-las !ara fa'er referBncia. Least Privilege Q conceder ao usuário o m)nimo de acesso !oss)$el !ara &ue ele !ossa e*ecutar suas tarefas diárias. 1ada mais" nada menos. Isso não &uer di'er &ue a segurança estará com!leta" mas tra' um %om n)$el de conforto. (ma Pol)tica de Classificação da Informação de$e contem!lar" !elo menos" a a%ordagem dos seguintes as!ectos 0I,KIEC 78997"799>2A
5
− − − − − −
6efinição dos Pa!éis e Des!onsa%ilidadesL 6efinição de ,%eti$os e 3%rangBnciasL 6efinição das 6iretri'esL 6efinição das Categorias de (suáriosL 6efiniç#es so%re Tratamento da InformaçãoL Ti!os de Dótulos 6is!on)$eis na Em!resa.
%#/# Pap0is e Responsabilidades
(ma das !rinci!ais funç#es da classificação da informação é definir e atri%uir res!onsa%ilidades relacionadas 5 segurança a di$ersas !essoas dentro de uma organi'ação. Esses !a!éis e res!onsa%ilidades $ariam de acordo com a relação &ue a !essoa tem com a informação em &uestão. Em relação aos ti!os de usuários" !or e*em!lo" !odem ser categori'ados da seguinte forma 0OI1ICI(" 7992A 1su2rio Propriet2rio , dono da informação. Q sua res!onsa%ilidade
atri%uir os n)$eis de classificação &ue a informação demanda. Geralmente é o !a!el desem!enhado !elo gerente da área. 1su2rio Custodiante Q a&uele &ue" de alguma forma" 'ela !elo arma'enamento e !ela !reser$ação de informaç#es &ue não lhe !ertencem. E*em!losA !essoas res!onsá$eis !ela administração dos %ancos de dados. Esse ti!o de usuário" a!ós o%ter autori'ação do 1su2rio Propriet2rio" !ode conceder direitos de acesso !ara outros usuários" além de e*ercer outros direitos delegados !elo 1su2rio Propriet2rio. E3uipe45estor de !egurança Q res!onsá$el !or ser o !onto de a!oio das unidades de negócio de forma a desen$ol$er" im!lementar e monitorar estratégias de segurança &ue atendam aos o%eti$os da organi'ação. Ca%e a eles selecionar os melhores controles e conscienti'ar os usuários. 1su2rio Cliente Possui unicamente o direito de utili'ar as informaç#es de acordo com os limites definidos !elo 1su2rio Propriet2rio ou Custodiante e com a 1orma de Classificação da Informação. Q o &ue desem!enha o !a!el mais cr)tico do !onto de $ista de segurança. Q &uem tem mais contato com a informação. Q ele" então" &uem será efeti$amente o res!onsá$el !elo real seguimento das recomendaç#es de segurança. Em relação 5s res!onsa%ilidades" de$em ser claramente definidos os !a!éis dos cola%oradores da em!resa em relação 5 classificação da informação" ao !a!el da TI" da 3uditoria etc. Já os rótulos de$em ser definidos de acordo com o n)$el de autoridade. %#6# Classificação, Desclassificação, Reclassificação e Categori)ação
,s !rocedimentos %ásicos da classificação da informação são a classificação" a reclassificação e a desclassificação das informaç#es 0C33DG," 7992A Classificação 3tri%uir um n)$el de classificação a uma informação fa' com
&ue as informaç#es !assem a se sueitar 5s !roteç#es es!ec)ficas !elo n)$el de classificação escolhido. 3lgumas organi'aç#es o!tam !or criar um n)$el de classificação em &ue a !artir da im!lementação do !rograma de CI" todas as
6
informaç#es da organi'ação !assam a se en&uadrar nesse n)$el. 1ão e*iste o estado Rnão classificadoS" eliminando o !rocesso de classificaç#es e desclassificação. 1esse caso" o !rocedimento de reclassificação é !ermitido. Reclassificação Q a alteração no n)$el de classificação de uma informação. Ela é utili'ada &uando há necessidade de aumentar ou diminuir a !roteção da informação" de forma a e$itar o com!rometimento da confidencialidade. Desclassificação Q a remoção do n)$el de !roteção. Q a!licá$el a!enas &uando o estado Rnão classificadoS for !re$isto. Caso sea feita de forma automática" o !ra'o cairá" em alguns anos" !ara os n)$eis mais %ai*os de classificação e" em décadas" !ara os mais altos no setor go$ernamental. egue a%ai*o um e*em!lo de categori'ação 0C33DG," 7992A Informação Confidencial ão documentos ou informaç#es &ue !ossuem
alto grau de im!ortncia e &ue são essenciais !ara os o%eti$os de negócios e estratégicos da em!resa. e re$elados inade&uadamente" !odem gerar im!actos negati$os como" !or e*em!lo" em%araços administrati$os" !reu)'os financeiros" !erda de !artici!ação" imagem ou com!etiti$idade no mercado. ó de$e ser di$ulgada !elo seu !ro!rietário ou !or !essoa de$idamente autori'ada" assim como aos cola%oradores &ue necessitam conhecB-la em função da demanda de tra%alho. Informação Reser7ado 8Restrita9 : 6ocumentos ou informaç#es &ue" geralmente" são limitadas a um gru!o restrito de !essoas em função do n)$el de im!ortncia. Esta classificação é a!licá$el !ara informaç#es &ue interessam e são +teis a um ou mais gru!os de tra%alho" &ue as utili'arão !ara tarefas relacionadas a seus !a!éis dentro da organi'ação. Informação P;blica : 6ocumentos ou informaç#es &ue não necessitam de sigilo" !ois sua di$ulgação não gera &ual&uer im!acto negati$o !ara a em!resa. Possuem" geralmente" caráter estritamente informati$o ou !romocional. -# ateriais e 0todos
, o%eti$o desta seção é analisar a situação atual da em!resa Tro inance com a finalidade de $erificar como as !ro!ostas a!resentadas neste tra%alho !odem ser im!lementadas" de forma a iniciar o !rocesso de classificação da informação. -#$# !ituação
João Cesar" 6iretor de Decursos Uumanos da em!resa Tro inance" a!ós reunião com a área de segurança da informação" solicitou &ue o seu !rocesso de contratação de e*ecuti$os e folha de !agamento rece%esse a metodologia de classificação da informação. Preocu!ado com o sigilo das suas informaç#es" João solicitou uma maior integração dos seus cola%oradores com a área de segurança da informação. Por ter sido criada recentemente" todos os seus funcionários !recisariam ser treinados de maneira ade&uada !ara mani!ular os dados sens)$eis do de!artamento de recursos humanos da em!resa. -#$#$# Necessidades
6urante o !rocesso de le$antamento de informaç#es da Tro inance" os !rinci!ais !ontos foram a entre$ista aos usuários-cha$es dos !rocessos de folha de !agamento e a contratação de e*ecuti$os !ara uma con$ersa inicial com o o%eti$o
7
de entender o cotidiano de algumas áreas cr)ticas da em!resa. uitos usuários reclamaram da falta de es!aço !ara arma'enamento de ar&ui$os na rede" das limitaç#es do correio eletr4nico e" até mesmo" da falta de cri!tografia !ara ar&ui$os confidenciais dos Decursos Uumanos. -#$#%# Fal=as Encontradas
6entre as !rinci!ais falhas encontradas nos dados le$antados !ara este tra%alho !odemos destacarA a2 3usBncia de treinamento es!eciali'ado so%re segurança da informação no de!artamento. %2 3lta &uantidade de Informaç#es confidenciais so%re e*ecuti$os e estratégias do DU trocada !or correio eletr4nico sem cri!tografia. c2 Informaç#es da folha de !agamento trocadas !or correio eletr4nico sem cri!tografia. d2 (so de pen-drive !essoal no !rocesso de folha de !agamento sem cri!tografia. e2 (so de !asta !articular !ara ar&ui$amento de informaç#es confidenciais" facilitando o $a'amento da informação durante as aç#es de manutenção dos e&ui!amentos. f2 alta de fragmentadora de !a!el. g2 Informaç#es confidenciais em Notebook sem de$ida !roteção contra !erda ou rou%o. h2 3usBncia de rastrea%ilidade na mani!ulação de ar&ui$os na rede. i2 3usBncia de rastrea%ilidade no sistema de folha de !agamento. Oários outros !ontos foram le$antados" !orém" os citados acima são os mais cr)ticos dentro da lista de !ro%lemas. -#%# In7ent2rio das Informaç>es
3!ós o le$antamento inicial" foi necessário reali'ar reuni#es com os l)deres de cada !rocesso de negócio !ara identificar &uais informaç#es estão dentro do !rocesso de classificação 0indicar citação2. (m as!ecto im!ortante e &ue !recisa ser ressaltado é &ue esse le$antamento de$e sem!re le$ar em consideração todo o ciclo de $ida da informação. Como resultado das reuni#es" foi !oss)$el consolidar um in$entário das informaç#es e os ati$os &ue a su!ortam" como descrito na Ta%ela n< .
8
Ta%ela - In$entário de Informaç#es
Informação
Processo
Origem dos
TABELA DE INVENTÁRIOS A!i%o (!i"i#ação Des!ino
Dados
e
(Criação e
Arma#enamen!o$
Descrição de
Cargos e
!i"i#ação$ Gestor da
Documento
Cargos
Salários
Unidade
A!i%o
(Trans&or!e$
RH
O'ser%açes )erais
Documento
In!orma"#o
Eletrônico (Word)
Eletrônico
Gerada $ora da
(Respons.
na Rede e
(Word)
%rea de Recursos
pelo cargo)
Documento
Documento
Humanos
Impresso
Impresso Correio
Planilha de
$ol&a de
Gestor da
Documento
RH Gestor
Eletrônico. Documento
Salário
Salários
'agamento
Unidade RH
Eletrônico (Ecel)
Unidade
Eletrônico
Implementado de
(Ecel)
acordo com o
Sistema de
ercado
RH Documento
Eecuti*o Rece+e
Eletrônico ('D$)
Eletrônico
por email o
na Rede e
('D$) na
Contrato, -ssina e
Documento
Rede e
De*ol*e para o RH
Impresso
Documento
Sistema de RH
Contratos de
Contrata"#o
Executivos
de Eecuti*os
RH
Documento
Impresso Documento
-ps Inser"#o no
Eletrônico (Ecel)
Eletrônico
Sistema, Diretor
Correio
(Ecel)
de RH apro*a
Eletrônico
Correio
Tabela de
o*imenta"#o
Gestor da
Documento
Evolução
de 'essoal
Unidade RH
Salarial
Eecuti*o
RH
Eletrônico Sistema de Cartas de
Epatria"#o
RH
Propostas
Informativos de !
In!orma"#o
RH
RH Documento
Eecuti*o Rece+e
Eletrônico ('D$)
Eletrônico
por email a /!erta
na Rede e
('D$) na
de Emprego no
Documento
Rede e
Eterior, -ssina e
Impresso
Documento
De*ol*e para o RH
Correio Eletrônico
0odos os
Impresso Intranet
In!orma"1es
$uncionários
Correio
-rma2enadas na
Eletrônico
Intranet para
Documento
Eecuti*o
Di*ulga"#o a todos os $uncionários
9
-#-# Classificação das Informaç>es
Começar frase com efetuadoV3!ós ter sido conclu)do o le$antamento das informaç#es" a !ró*ima ati$idade" em conunto com o 6iretor de DU" foi a de classificar a informação de acordo com a !ol)tica em $igor. definir definida e definirVVVV &uais eram os usuários !ro!rietários" &ue são os res!onsá$eis !or autori'ar o acesso a uma determinada informação. Para o !rocesso de classificação da informação" foram definidos os seguintes rótulosA Confidencial" Deser$ado e P+%lico. Detirar linhas em %ranco Com %ase nessa descrição de a!oio" a classificação foi reali'ada conforme Ta%ela n< 7A Ta%ela 7 - Ta%ela de Classificação
Informação Descrição de Cargos Planilha de Salários Contratos de Executivos Tabela de Evolução Salarial Cartas de Propostas Informativos de !
TABELA DE CLASSI*ICA+,O C"assificação Pro&rie!-rio da Informação Reser*ada -ndr3 Santos (Gerente de RH) Con!idencial 4o#o Cesar (Diretor de RH) Con!idencial 4o#o Cesar (Diretor de RH) Con!idencial 4o#o Cesar (Diretor de RH) Con!idencial 4o#o Cesar (Diretor de RH) '5+lica -ndr3 Santos (Gerente de RH)
-#.# onitoramento do Processo
, !rocesso de classificação da informação de$e seguir um ciclo cont)nuo" sendo inclu)do nos controles e com um forte treinamento !ara os usuários. 6e$emse tam%ém esta%elecer !arcerias com a área de 3uditoria !ara &ue" nas ati$idades !eriódicas nas áreas de negócio" seam inclu)das as $erificaç#es da eficácia do !rocesso de classificação das informaç#es" o%rigando os gestores a com!rar a causa do tra%alho. 3lém disso" o tra%alho de$e ser re$isado nas áreas num !er)odo m)nimo de 7 anos. .# Resultados ou Discussão
3 área de egurança da Informação em conunto com os l)deres do !rocesso de DU definiram os controles com %ase nos !rocedimentos o!eracionais !ara classificação da informação. 3%ai*o seguem alguns e*em!los !ara )dias Eletr4nicas" Correio Eletr4nico e Pa!elA
10
!egurança nas ídias Eletr?nicas
Ta%ela ? - Desultado e controle !ara m)dias eletr4nicas CONTROLE PARA ./DIA ELETR0NICA O 12e 3 Necess-rio Pro!eger
Como Pro!eger
1 - As mídias devem possuir rótulos que
Fornecimento à Diretoria de Recursos Humanos do
identifiquem claramente o nível de sigilo, o
padrão de rótuos para utii!a"ão e manipua"ão correta
normativo, a restrição, a versão e a data do
dos ar#ui$os eetr%nicos&
documento na qual a informação está contida. 2 - O acesso aos documentos críticos deve ser
'mpementa"ão na óptica de cassi(ica"ão da in(orma"ão
controlado&
da se)re)a"ão e do controe de acesso dos documentos con(idenciais em acordo com a de(ini"ão do propriet*rio da in(orma"ão&
+er* utii!ado um SharePoint da Microsoft para arma!enamento e controe de acesso de todos os ar#ui$os de RH& - O acesso aos documentos críticos deve ser
'mpementa"ão de auditoria no ser$idor de ar#ui$os para
registrado.
track das a",es reai!adas -eitura. )ra$a"ão. escrita/&
+er* impementado o recurso de D - Data Loss Prevention/ para as in(orma",es con(idenciais& on(orme
soicitado peo Diretor de RH. nesse primeiro momento. serão somente auditadas as (ormas de como essas in(orma",es tra(e)am na rede da empresa& ! - Os equipamentos para a guarda dos
+er* impementado o recurso de ripto)ra(ia de Disco de
documentos devem ser isolados e protegidos contra
todos os notebooks e desktops da *rea de RH&
acessos indevidos.
odos os ar#ui$os arma!enados no SharePoint serão cripto)ra(ados&
s ar#ui$os receerão a tecnoo)ia de 'R -erenciamento de Documentos/ para sua prote"ão caso os mesmos $a!em da empresa ou seam en$iados de (orma não intenciona&
11
" - As informaç#es devem ser descartadas de forma
ara todos os notebooks. dispositi$os mó$eis ou desktops
irrecuperável.
#ue (orem descartados ou doados. ser* utii!ado software para )ra$a"ão de 0s e 1s. con(orme padrão americano DoD 522&5&
!egurança no e@mail
Ta%ela = - Controle !ara E-mail CONTROLE PARA E4.AIL O 12e 3 Necess-rio Pro!eger
Como Pro!eger
1 - Os equipamentos que geram e transportam e-
Fornecimento para o pico da cassi(ica"ão da
mails devem ser dispostos de forma a impedir
in(orma"ão #ue ida com in(orma",es con(idenciais da
acessos indevidos.
tecnoo)ia de erti(ica"ão Di)ita& :sse processo incui um Token de +e)uran"a para ;ssinatura e ripto)ra(ia de e
!egurança no Documento Impresso
Ta%ela > - Controle !ara 6ocumentos Im!ressos CONTROLE PARA DOC.ENTOS I.PRESSOS O 12e 3 Necess-rio Pro!eger
Como Pro!eger
1 - Os documentos impressos devem possuir rótulos
Fornecimento à Diretoria de Recursos Humanos do
que identifiquem claramente o nível de sigilo, o
padrão de rótuos para utii!a"ão e manipua"ão correta
normativo, a restrição, versão e a data do
dos ar#ui$os eetr%nicos&
documento na qual a informação está contida. 2 - O acesso aos documentos críticos deve ser
+er* ad#uirido co(re eetr%nico para )uarda dos
controlado&
contratos e documento cr>ticos do RH&
- Os documentos impressos $confidenciais% e suas
;#uisi"ão de (ra)mentadora e incineradora de pape
cópias devem ser destruídos de forma irrecuperável.
dedicada ao processo do RH&
/# Conclusão Final
3 classificação da informação é uma forma de !roteção contra o seu $a'amento ou a sua utili'ação não autori'ada. 6efinir e manter tais controles é de
12
fato com!le*o em função das in+meras formas e mecanismos de como a informação é mani!ulada. Oárias áreas dentro de uma em!resa 0!+%lica ou !ri$ada2 se !reocu!am ou de$eriam se !reocu!ar direta ou indiretamente com os efeitos de $a'amentos de informaç#esA egurança de Informaç#es" 3uditoria" 3ntifraude" Disco" Decursos Uumanos" Go$ernança e Compliance !ara citar algumas. , !rinc)!io é sim!lesA e$itar &ue informaç#es estratégicas eKou $aliosas da em!resa caiam em mãos erradas" a fim de e$itar a diminuição da lucrati$idade e da credi%ilidade da em!resa. 3lcançar um controle so%re este !rocesso" !orém" é uma tarefa muito dif)cil. e fosse fácil" fre&uentemente" não $er)amos sendo noticiado $a'amento de informaç#es im!ortantes como" !or e*em!lo" o caso da rede de loas norte americana Target ou até mesmo da Ingresso.com nos &uais dados de cart#es de crédito de $ários clientes foram e*!ostos na Internet. Oirtualmente todas as normas regulatórias de compliance, como ar%anes ,*le" PCI" UIP33" :asiléia e G;:3" e*igem &ue as em!resas tenham controle so%re suas informaç#es sens)$eis. Estar em conformidade com essas recomendaç#es é a!enas o começo e" o%$iamente" não garante &ue a organi'ação estea imune a !ro%lemas de $a'amento de informaç#es. Nuando isso acontece é altamente !reudicial !ara a imagem da organi'ação" sea !or&ue informaç#es estratégicas irão $oar !ara as mãos de um com!etidor ou !or&ue informaç#es financeiras de clientes !odem estar sendo o%tidas !or fraudadores como no caso da Ueart;and. Para conseguir iniciar um !rocesso de classificação de informaç#es é necessário conhecerK classificar e controlar !rofundamente o estado e as alteraç#es em suas a!licaç#es e dados cr)ticos. , !rocesso de classificação da informação nas em!resas de$e seguir um ciclo P6C3 e se %eneficiar das tecnologias e*istentes" como 6;P" ID e etc." !ara alcançar o seu o%eti$o. Im!lementá-lo nas áreas cr)ticas da em!resa é fator de sucesso no !rocesso de gestão de segurança da informação.
13
Aibliografia
3:1T I,KIEC 78997. &ecnologia da Informação : &0cnicas de !egurança : C'digo de Pr2tica para a 5estão da !egurança da Informação. 1orma :rasileira 3:1T 1:D. Primeira Edição. ?9K9FK799>. C33DG," rancisco. Camin=o do DBP : Data Loss Prevention . 6is!on)$el em htt!AKKWWW.tineWs.com.%rKneWsK799K98K?Kcaminhos-do-dl!-data-loss-!re$entionK . 3cessado em 7> de etem%ro de 79?. CEDT.:D. Centro de Estudos, Respostas e &ratamentos de !egurança no Arasil. 6is!on)$el em htt!AKKWWW.cert.%rK. 3cessado em de etem%ro de 79?. 6ecreto n< =.>>?" de 78 de de'em%ro de 7997 # 6is!on)$el em htt!AKKWWW.!lanalto.go$.%rKcci$ilX9?KdecretoK7997K6=>>?.htm. 3cessado em > de etem%ro de 799. 6I3" Cláudia. !egurança e
de 3gosto de 79?. M,;3" arcos. 5estão da !egurança da Informação : 1ma 7isão Eecuti7a . Editora Cam!us. Dio de Janeiro" 799?. I;O3" 3ldo :ene$ides. 5estão em !egurança da Informação# Classificação da Informação. 6is!on)$el em htt!AKKsecuritofficer.Word!ress.comK799K9?K?9Kclassificacao-da-informacaoZE7Z9ZF?-!arte-7.3cessado em > de etem%ro de 79?. OI1ICI(" Elger. Classificação da Informação. 6is!on)$el em htt!AKKWWW.securithacYer.orgKartigosK799K7K9>Kclassificacao-da-informacao . 3cessado em 97 de e$ereiro de 79=. H3P3TED" arcio e (H(I" Dodrigo. !egurança da Informação : 1m diferencial Determinante na Competiti7idade das Corporaç>es. Promon :usiness [ Technolog De$ieW. 6is!on)$el em htt!AKKWWW.!romon.com.%rK!ortuguesKnoticiasKdoWnloadKegurancaX=\e%.!df . 3cessado em F de setem%ro de 79?.
