Classificação da Informação – Conceito e objetivo
De acordo com a ISO 27001, a classificação da informação tem o objetivo de assegurar o nível adequado de proteção para a informação. A classificação tem como base o seu valor, criticidade para a organização e requisitos legais.
A classificação da informação surgiu como forma de mitigar o vazamento de informações ou o acesso indevido por falta de conhecimento do tipo de dado que se encontra disponível.
Como e quem deve classificar
Uma dúvida que sempre aparece quando é necessário classificar a informação, é quem deve classifica-la? Pensamos que como o conceito de segurança vem da área de Tecnologia, ela deve ser a responsável pela classificação, mas na realidade isto está incorreto, pois quem classifica é o proprietário.
Imagine em uma situação onde um chefe de cozinha cria uma receita revolucionária. Você quando ver a receita, vai ser só mais um jeito de fazer aquele prato, mas para o chefe de cozinha é uma oportunidade de ser reconhecido e ganhar muito dinheiro. Você provavelmente classificaria como público a informação, mas o chefe de cozinha classificaria com o nível mais alto de confidencialidade.
Neste exemplo demonstramos que a classificação é importante para a empresa e que o colaborador que cria e manipula a informação é o responsável pela classificação. A alteração do nível de classificação fica a critério do proprietário ou responsável da informação, podendo alterá-la a qualquer momento oportuno.
Nas boas práticas, a classificação e rotulagem da informação deve ser feita antes de começar a ser manipulada (Acessada e distribuída para outros).
Os níveis de classificação devem ser definidos e apresentados na política de segurança da informação da empresa para conhecimento de todos, e estar disponível para consulta a qualquer momento.
Níveis de classificação da informação
Cada empresa define o nível de classificação que desejar, não há um critério e nem a quantidade que deve ser utilizada, porém os mais comuns são:
Público
Pode ser disponibilizado e acessível a qualquer pessoa.
Interno
Acessado apenas por colaboradores da empresa.
Confidencial
Acessível para um grupo de pessoas.
Restrito
Acessível apenas para pessoas selecionadas.
Caso ainda tenha dúvidas nos níveis ou como classificar a informação, pode-se realizar as seguintes perguntas baseada nos níveis exemplificados acima.
- Pode enviar para fora da empresa? Se sim, Pública, se não Interno.
- Pode enviar para todos da empresa? Se sim, Interna, se não Confidencial.
- Pode enviar para um colaborador que faz parte da minha equipe de trabalho? Se sim, confidencial, se não Restrito.
Por que é importante classificar a informação?
O intuito de classificarmos a informação, é evitar que ela seja acessada por pessoas não autorizadas e que possam de alguma forma utilizar esta informação para prejudicar a empresa, seja por vontade própria ou involuntariamente. Devemos sempre ter cuidado sobre o que falamos e onde falamos, pois, o vazamento de dados pode ocorrer em uma simples conversa com um colega de trabalho em um elevador coletivo do prédio ou em um almoço em lugar público. Lembrando que a classificação não protege a informação em si, mas auxilia o colaborador no entendimento se pode compartilhá-la seja para fora ou dentro da empresa, ou com colaboradores em específico.
A Tripla como empresa que preza pela segurança da informação, possui ferramentas e parceiros, como a Boldon James que podem auxiliar sua empresa na classificação e/ou proteção da informação, e na divulgação da conscientização da Segurança da Informação.
Clique aqui e fale com nossos especialistas sobre essas ferramentas.
Aproveitando a oportunidade, gostaria de sugerir a leitura de outro artigo, em que explico sobre uma ferramenta líder de mercado que ajuda na prevenção da perda de dados. Acesse e conheça formas eficazes de proteger suas informações e evitar vazamentos de dados significativos do seu negócio.
Comments