Classificao da informao

A organizao de qualquer item de informao deve passar primeiramente

por uma analise de seu grau de importncia e que determina isso sempre o
seu proprietrio, ningum largaria o seu diploma universitrio abandonado em
um local que certamente seria destrudo, porm, outra pessoa com certeza no
ligaria para isso.
Segundo, Kovacich 1998, apesar de no existir uma forma padronizada de
classificar a informao de uma organizao numerasse trs categorias.

Na prtica o processo de classificao da informao consiste em organizar

as informaes pelo seu grau de importncia e a partir da definir quais os
nveis de proteo que cada ativo de informao requer, dessa forma evitasse
a implantao desnecessria de mecanismos de proteo para ativos de pouca
importncia e tambm que sejam aplicados mecanismos inferiores para ativos
sensveis ou extremamente importantes o que os deixaria vulnerveis.
Podemos mensurar os objetivos bsicos da classificao da informao
como sendo dois:
Proteo: as organizaes manipulam diversos ativos de informao e esses
ativos podem estar passando por qualquer fase do ciclo de vida, por essa
razo necessrio avaliar cada ativo para saber em que fase ele esta e qual o
nvel de proteo que ser aplicado dessa forma atingindo o mximo de
eficcia possvel no uso do mecanismo da proteo.
Economia: de forma que quanto maior a necessidade de proteo para o
ativo maior ser o investimento financeiro em mecanismos de proteo, na
prtica isso quer dizer que se a classificao das informaes representarem a
realidade isso representar economia para organizao, uma vez, que estar
aplicando seu dinheiro em mecanismos que estaro protegendo seus ativos
mais importantes.

O processo de classificar as informaes traz diversos benefcios para uma

organizao dos benefcios tangveis podemos mencionar.

A classificao da informao no imutvel pelo contrrio, assim como a

informao passa por um ciclo de vida a classificao da informao pode
mudar conforme seu estado e importncia, a exemplo, do balano patrimonial
de uma empresa que inicia seu ciclo de vida classificado no nvel mais alto de
classificao e termina seu ciclo de vida publicada nas mdias com o menor
nvel de classificao possvel.
No existe um modelo padro para a classificao da informao
recomendado que sejam definidos ao menos trs nveis de classificao e
tambm no muitos mais para no dificultar a organizao. A definio dos
nveis auxilia na identificao e implantao dos critrios e dos mecanismos de
proteo.
Assim a classificao da informao pode ter diversas formas dependendo
de qual dos princpios ela pretende atender e sua rotulao deve seguir o ponto
de vista determinado e suas exigncias.
Para o princpio de confidencialidade as informaes dependendo de sua
importncia devem preservar o seu sigilo afim de que apenas as pessoas
autorizadas tenham acesso a tais informaes, para alguns casos manter a
confidencialidade das informaes uma exigncia legal.
Algumas questes devem ser respondidas para aqueles que determinam a
classificao da informao sob o aspecto da confidencialidade como por
exemplo: o que aconteceria se algum que no poderia ter acesso a
informao de repente obtenha tal acesso?.

As organizaes podem seguir diversos esquemas de classificao para

suas informaes no que se refere confidencialidade, muitas atribuem
apenas trs categorias para facilitar a analise e a implantao de mecanismos
de proteo que so, confidencial, restrita e pblica.
Para o princpio de disponibilidade a preocupao e de como recuperar as
informaes e como manter essas informaes sempre disponveis para o
acesso aos usurios autorizados a acessar essas informaes.
Diante desse princpio a classificao dos ativos de informao
estabelecida pelo tempo que informao pode ficar inacessvel aos usurios
legitimados, sendo assim, quanto menor o tempo que a informao pode ficar
inacessvel maior vai ser a sua categoria de classificao.
O princpio de integridade tem como objetivo classificar os ativos de
informao afim de que a integridade seja preserva e que sobre hiptese
alguma seja modificada ou adulterada.
Por ultimo o princpio de autenticidade que deriva do principio de integridade
e que tem como objetivo:
A garantia de que a informao legtima, criada por algum com
autoridade para faz-lo e oriunda da fonte qual atribuda (BEAL, 2008, p.
69).
Os exemplos mais comuns so de informaes que sero destinadas ao
pblico externo que requerem por si a verificao da autenticidade.

A classificao dos ativos fsicos, softwares e de servios no uma tarefa

das mais fceis, geralmente pode ser feita com a criao de grupos de ativos
levando em conta limites pr-estabelecidos por caractersticas comuns como
exemplo o tipo de usurios, a segmentao dos ativos proporciona a
oportunidade de criao de estratgias diferenciadas de proteo.

impossvel estabelecer um modelo nico de segmentao de

ativos fsicos, de software e de servios capaz de atender s
necessidades de todos os tipos de organizao. Os esforos
gastos no desenvolvimento de uma forma de classificao e
segmentao desses ativos adapta s caractersticas e
necessidades prprias do negcio, so recompensados pelo

entendimento claro dos diferentes requisitos associados aos

diferentes objetivos de segurana (BEAL, 2008, p.70).

A responsabilidade pela classificao dos ativos de informao recai sobre

alguns fatores que so fundamentais no processo de classificao dos ativos
de informao nas organizaes.
O fato de classificar a informao recai em sujeitar as informaes a
determinados mecanismos de proteo e assim investir financeiramente na
proteo desses ativos, algumas organizaes preverem criar um nvel bsico
de proteo para todas as informaes classificadas e nenhum nvel de
proteo para informaes que no foram classificadas.
A informao tem vida por isso s vezes necessria sua reclassificao
importante que as organizaes tenham processos formalizados e
padronizados de reclassificao dos ativos de informao.
A desclassificao das informaes acontece no ciclo final de vida em seu
descarte onde por fim a informao ser devidamente apagada por no mais
ser til a organizao.
Os processos de classificao, reclassificao, desclassificao e da
introduo e manuteno dos mecanismos de proteo para os ativos de
informao que devem ser elaborados e mantidos exclusivamente pelo
proprietrio da informao, essa atribuio geralmente recai sobre os gerentes
de rea.
Logo abaixo do proprietrio da informao vem o chamado custodiante da
informao que aquele que de alguma forma zela pelo armazenamento e
preveno de informaes que no lhe pertencem, mas que dela faz uso em
suas atividades cotidianas. Existem dois tipos de custodiantes: o primeiro so
aqueles profissionais de perfil tcnico responsvel pela administrao e
funcionamento de algum sistema. O outro o proprietrio de processo que a
pessoa responsvel por um processo de negcio que, faz uso de informaes
que no lhe pertencem, mas que fazem parte do processo sob sua
responsabilidade.
A equipe de segurana responsvel por ser o ponto de apoio das reas de
negocio de forma a desenvolver, implementar e monitorar estratgias de
segurana que atentam os objetivos propostos de proteo dos ativos de
informao.
Os gerentes de usurios tm a responsabilidade de responder sobre a ao
dos membros de sua equipe e tambm a funo de multiplicar o conceito de
classificao determinado pela organizao.
Por sua vez os usurios finais dos ativos de informao so os principais
responsveis pela execuo das recomendaes de classificao da
informao uma vez que esto diretamente ligados ao operacional.

A classificao da informao por si prpria no consegue proteger as

informaes, essa tarefa dada aos mecanismos de proteo, mas como
aplicar os mecanismos apropriados se no sei o que importante proteger,
essa a tarefa da classificao da informao.
A implantao de mecanismos de controles aps o processo de
classificao da informao visa assegurar a proteo dos ativos de
informao. Os mecanismos mais comuns so aqueles que visam proteger a
confidencialidade das informaes das organizaes, mas a integridade e a
disponibilidade tambm devem ser protegidas, podemos dividir os mecanismos
de proteo sobre as esferas da proteo dos dados, proteo fsica e
controles administrativos.

A proteo na esfera de dados destacada: o uso da criptografia que uma

das principais tecnologias existentes para proteger as informaes, por meio
desse mecanismo possvel disponibilizar, de forma segura e eficaz uma serie
de servios mantendo a confidencialidade, a disponibilidade e a integridade das
informaes.
Detalhes sobre o que , tipos e onde se aplica um processo criptogrfico ser
disposto no decorrer da disciplina.
O uso de cpias de segurana, tambm conhecidas como backups tem a
finalidade de permitir que as informaes de um sistema possam ser
armazenadas de maneira arquivada, criando um mecanismo de recuperao
em caso de falha na informao original.

Os sistemas redundantes apesar de semelhantes os backups tem como

finalidade ser utilizados em situaes nas quais as informaes processadas
so ainda mais crticas, no podendo a organizao dispor delas mesmo por
um perodo curto de tempo. Seria deixar um sistema secundrio e semelhante
parado esperando que o sistema principal por algum motivo venha a parar de
funcionar e assim assuma o lugar dele sem interrupes.
A implantao de controle de acesso tem como misso proteger os dados
contra problemas de segurana relacionados quebra, principalmente, de
confidencialidade e integridade, sua funo garantir que apenas usurios e
processos autorizados tenham acesso a determinadas informaes e que
possam executar apenas as aes previamente definidas.
Na esfera fsica temos os seguintes mecanismos: o controle de acesso
fsico, onde podemos destacar o uso de catracas, portas de acesso
inteligentes, em fim, dispositivos que impedem a entrada fsica de pessoas em
ambientes dos quais o acesso restrito a pessoas autorizadas.
O uso de cofres tem duas finalidades a proteo dos ativos de informao
fsicos como contratos e fitas de backup contra furtos e roubos bem como para
alguns tipos especiais de cofres a proteo em caso de incndios.
Os circuitos fechados de TV tm como objetivo o monitoramento de reas
para resoluo de incidentes em caso de furto de informaes e tambm tem
carter desencorajador.
Quando a informao vai ser transportada fisicamente ela corre uma serie
de ameaas, o transporte seguro de informaes visa reduzir as
vulnerabilidades do transporte de informaes, tais protees vo desde um
envelope com um lacre inviolvel at o uso de um carro forte.
Na esfera dos controles administrativos entendemos como as medidas
relacionadas forma como os procedimentos devem ser executados e as
necessidades de interao entre as pessoas com diversas responsabilidades e
podemos destacar: as polticas so o principal controle administrativo
relacionado segurana da informao e, consequentemente atravs da
poltica de classificao da informao, definem padres de conduta, que so
os passos necessrios para a execuo segura dos procedimentos, alm
alinhar os mecanismos de proteo, a legislao e estabelecem relao
jurdica para punio legalmente aes no autorizadas.
O processo de reviso e aprovao tem como objetivo estabelecer que
qualquer ao individual que tenha maior importncia do ponto de vista da
segurana deva ser realizada em mais de um passo, ressaltando assim a
responsabilidade da execuo e reviso distintas, incluindo a autorizao para
concretizao.
Diante do processo de separao de tarefas podemos destacar que nesse
modelo devido importncia dos ativos de informao exigida a necessidade
de incluir a diviso de responsabilidades dessa forma as pessoas que executa
uma atividade no pode ser a mesma que a aprova, coibindo assim a ao ou
a tentativa de fraude.

O monitoramento das atividades tambm considerado um mecanismo de

proteo importante para o descobrimento de falhas de segurana e tambm
possui o papel de desencorajar.
A classificao das informaes na prtica esta ligada ao dia a dia das
operaes e esta ai o maior desafio, para auxiliar nesse processo temos alguns
mecanismos que so teis.

Quando o assunto rotulao de documentos visando a classificao da

informao a primeira coisa que surge em nossa mente so os documentos
impressos, realmente os documentos impressos so mais fceis de rotular. A
rotulao visa inibir a ao de algum fraudador, mas principalmente
salvaguardar a organizao no caso de violao da segurana da informao
naquele nvel de classificao.
Para rotular papis o uso de etiquetas, carimbos e outras marcas visuais so
recomendados pode tambm ser inclusa no rodap dos documentos ou at
mesmo como marca dgua.
A rotulao de documentos eletrnicos requer maior ateno e a marca da
classificao dever ser mostrada dentro do contedo do documento como, por
exemplo: e-mails devem conter informaes de classificao no corpo da
mensagem ou no campo de assunto.
Sistemas e aplicativos como base de dados de sistemas e aplicativos devem
mostrar visualmente o nvel da classificao de um registro quando esse
acessado.
As mdias podem ser rotuladas visualmente com etiquetas assim como os
documentos impressos.
A segunda forma de criar mecanismos cotidianos o controle de acesso e
isso pode ser realizado atravs dos nveis de classificao, essa forma de
controle o principal beneficio buscado pela Classificao da Informao.
O controle de acesso lgico nos remete ao controle de acesso a redes e a
dados uma exemplo claro de controle de acesso lgico seria o login de rede
onde temos que possuir um usurio valido e uma senha pessoal e intransfervel

de acesso para aquele segmento de rede, bem como o controle de acesso as

pastas e diretrios dentro dos servidores.
O controle de acesso fsico esta ligado ao uso de ferramentas criptogrficas
como os certificados digitais que esto cada vez mais ganhado espao entre as
tecnologias para controle de acesso, o uso de biometria tambm se mostra
bem til no controle de acesso fsico.