A organizao de qualquer item de informao deve passar primeiramente
por uma analise de seu grau de importncia e que determina isso sempre o seu proprietrio, ningum largaria o seu diploma universitrio abandonado em um local que certamente seria destrudo, porm, outra pessoa com certeza no ligaria para isso. Segundo, Kovacich 1998, apesar de no existir uma forma padronizada de classificar a informao de uma organizao numerasse trs categorias.
Na prtica o processo de classificao da informao consiste em organizar
as informaes pelo seu grau de importncia e a partir da definir quais os nveis de proteo que cada ativo de informao requer, dessa forma evitasse a implantao desnecessria de mecanismos de proteo para ativos de pouca importncia e tambm que sejam aplicados mecanismos inferiores para ativos sensveis ou extremamente importantes o que os deixaria vulnerveis. Podemos mensurar os objetivos bsicos da classificao da informao como sendo dois: Proteo: as organizaes manipulam diversos ativos de informao e esses ativos podem estar passando por qualquer fase do ciclo de vida, por essa razo necessrio avaliar cada ativo para saber em que fase ele esta e qual o nvel de proteo que ser aplicado dessa forma atingindo o mximo de eficcia possvel no uso do mecanismo da proteo. Economia: de forma que quanto maior a necessidade de proteo para o ativo maior ser o investimento financeiro em mecanismos de proteo, na prtica isso quer dizer que se a classificao das informaes representarem a realidade isso representar economia para organizao, uma vez, que estar aplicando seu dinheiro em mecanismos que estaro protegendo seus ativos mais importantes.
O processo de classificar as informaes traz diversos benefcios para uma
organizao dos benefcios tangveis podemos mencionar.
A classificao da informao no imutvel pelo contrrio, assim como a
informao passa por um ciclo de vida a classificao da informao pode mudar conforme seu estado e importncia, a exemplo, do balano patrimonial de uma empresa que inicia seu ciclo de vida classificado no nvel mais alto de classificao e termina seu ciclo de vida publicada nas mdias com o menor nvel de classificao possvel. No existe um modelo padro para a classificao da informao recomendado que sejam definidos ao menos trs nveis de classificao e tambm no muitos mais para no dificultar a organizao. A definio dos nveis auxilia na identificao e implantao dos critrios e dos mecanismos de proteo. Assim a classificao da informao pode ter diversas formas dependendo de qual dos princpios ela pretende atender e sua rotulao deve seguir o ponto de vista determinado e suas exigncias. Para o princpio de confidencialidade as informaes dependendo de sua importncia devem preservar o seu sigilo afim de que apenas as pessoas autorizadas tenham acesso a tais informaes, para alguns casos manter a confidencialidade das informaes uma exigncia legal. Algumas questes devem ser respondidas para aqueles que determinam a classificao da informao sob o aspecto da confidencialidade como por exemplo: o que aconteceria se algum que no poderia ter acesso a informao de repente obtenha tal acesso?.
As organizaes podem seguir diversos esquemas de classificao para
suas informaes no que se refere confidencialidade, muitas atribuem apenas trs categorias para facilitar a analise e a implantao de mecanismos de proteo que so, confidencial, restrita e pblica. Para o princpio de disponibilidade a preocupao e de como recuperar as informaes e como manter essas informaes sempre disponveis para o acesso aos usurios autorizados a acessar essas informaes. Diante desse princpio a classificao dos ativos de informao estabelecida pelo tempo que informao pode ficar inacessvel aos usurios legitimados, sendo assim, quanto menor o tempo que a informao pode ficar inacessvel maior vai ser a sua categoria de classificao. O princpio de integridade tem como objetivo classificar os ativos de informao afim de que a integridade seja preserva e que sobre hiptese alguma seja modificada ou adulterada. Por ultimo o princpio de autenticidade que deriva do principio de integridade e que tem como objetivo: A garantia de que a informao legtima, criada por algum com autoridade para faz-lo e oriunda da fonte qual atribuda (BEAL, 2008, p. 69). Os exemplos mais comuns so de informaes que sero destinadas ao pblico externo que requerem por si a verificao da autenticidade.
A classificao dos ativos fsicos, softwares e de servios no uma tarefa
das mais fceis, geralmente pode ser feita com a criao de grupos de ativos levando em conta limites pr-estabelecidos por caractersticas comuns como exemplo o tipo de usurios, a segmentao dos ativos proporciona a oportunidade de criao de estratgias diferenciadas de proteo.
impossvel estabelecer um modelo nico de segmentao de
ativos fsicos, de software e de servios capaz de atender s necessidades de todos os tipos de organizao. Os esforos gastos no desenvolvimento de uma forma de classificao e segmentao desses ativos adapta s caractersticas e necessidades prprias do negcio, so recompensados pelo
entendimento claro dos diferentes requisitos associados aos
diferentes objetivos de segurana (BEAL, 2008, p.70).
A responsabilidade pela classificao dos ativos de informao recai sobre
alguns fatores que so fundamentais no processo de classificao dos ativos de informao nas organizaes. O fato de classificar a informao recai em sujeitar as informaes a determinados mecanismos de proteo e assim investir financeiramente na proteo desses ativos, algumas organizaes preverem criar um nvel bsico de proteo para todas as informaes classificadas e nenhum nvel de proteo para informaes que no foram classificadas. A informao tem vida por isso s vezes necessria sua reclassificao importante que as organizaes tenham processos formalizados e padronizados de reclassificao dos ativos de informao. A desclassificao das informaes acontece no ciclo final de vida em seu descarte onde por fim a informao ser devidamente apagada por no mais ser til a organizao. Os processos de classificao, reclassificao, desclassificao e da introduo e manuteno dos mecanismos de proteo para os ativos de informao que devem ser elaborados e mantidos exclusivamente pelo proprietrio da informao, essa atribuio geralmente recai sobre os gerentes de rea. Logo abaixo do proprietrio da informao vem o chamado custodiante da informao que aquele que de alguma forma zela pelo armazenamento e preveno de informaes que no lhe pertencem, mas que dela faz uso em suas atividades cotidianas. Existem dois tipos de custodiantes: o primeiro so aqueles profissionais de perfil tcnico responsvel pela administrao e funcionamento de algum sistema. O outro o proprietrio de processo que a pessoa responsvel por um processo de negcio que, faz uso de informaes que no lhe pertencem, mas que fazem parte do processo sob sua responsabilidade. A equipe de segurana responsvel por ser o ponto de apoio das reas de negocio de forma a desenvolver, implementar e monitorar estratgias de segurana que atentam os objetivos propostos de proteo dos ativos de informao. Os gerentes de usurios tm a responsabilidade de responder sobre a ao dos membros de sua equipe e tambm a funo de multiplicar o conceito de classificao determinado pela organizao. Por sua vez os usurios finais dos ativos de informao so os principais responsveis pela execuo das recomendaes de classificao da informao uma vez que esto diretamente ligados ao operacional.
A classificao da informao por si prpria no consegue proteger as
informaes, essa tarefa dada aos mecanismos de proteo, mas como aplicar os mecanismos apropriados se no sei o que importante proteger, essa a tarefa da classificao da informao. A implantao de mecanismos de controles aps o processo de classificao da informao visa assegurar a proteo dos ativos de informao. Os mecanismos mais comuns so aqueles que visam proteger a confidencialidade das informaes das organizaes, mas a integridade e a disponibilidade tambm devem ser protegidas, podemos dividir os mecanismos de proteo sobre as esferas da proteo dos dados, proteo fsica e controles administrativos.
A proteo na esfera de dados destacada: o uso da criptografia que uma
das principais tecnologias existentes para proteger as informaes, por meio desse mecanismo possvel disponibilizar, de forma segura e eficaz uma serie de servios mantendo a confidencialidade, a disponibilidade e a integridade das informaes. Detalhes sobre o que , tipos e onde se aplica um processo criptogrfico ser disposto no decorrer da disciplina. O uso de cpias de segurana, tambm conhecidas como backups tem a finalidade de permitir que as informaes de um sistema possam ser armazenadas de maneira arquivada, criando um mecanismo de recuperao em caso de falha na informao original.
Os sistemas redundantes apesar de semelhantes os backups tem como
finalidade ser utilizados em situaes nas quais as informaes processadas so ainda mais crticas, no podendo a organizao dispor delas mesmo por um perodo curto de tempo. Seria deixar um sistema secundrio e semelhante parado esperando que o sistema principal por algum motivo venha a parar de funcionar e assim assuma o lugar dele sem interrupes. A implantao de controle de acesso tem como misso proteger os dados contra problemas de segurana relacionados quebra, principalmente, de confidencialidade e integridade, sua funo garantir que apenas usurios e processos autorizados tenham acesso a determinadas informaes e que possam executar apenas as aes previamente definidas. Na esfera fsica temos os seguintes mecanismos: o controle de acesso fsico, onde podemos destacar o uso de catracas, portas de acesso inteligentes, em fim, dispositivos que impedem a entrada fsica de pessoas em ambientes dos quais o acesso restrito a pessoas autorizadas. O uso de cofres tem duas finalidades a proteo dos ativos de informao fsicos como contratos e fitas de backup contra furtos e roubos bem como para alguns tipos especiais de cofres a proteo em caso de incndios. Os circuitos fechados de TV tm como objetivo o monitoramento de reas para resoluo de incidentes em caso de furto de informaes e tambm tem carter desencorajador. Quando a informao vai ser transportada fisicamente ela corre uma serie de ameaas, o transporte seguro de informaes visa reduzir as vulnerabilidades do transporte de informaes, tais protees vo desde um envelope com um lacre inviolvel at o uso de um carro forte. Na esfera dos controles administrativos entendemos como as medidas relacionadas forma como os procedimentos devem ser executados e as necessidades de interao entre as pessoas com diversas responsabilidades e podemos destacar: as polticas so o principal controle administrativo relacionado segurana da informao e, consequentemente atravs da poltica de classificao da informao, definem padres de conduta, que so os passos necessrios para a execuo segura dos procedimentos, alm alinhar os mecanismos de proteo, a legislao e estabelecem relao jurdica para punio legalmente aes no autorizadas. O processo de reviso e aprovao tem como objetivo estabelecer que qualquer ao individual que tenha maior importncia do ponto de vista da segurana deva ser realizada em mais de um passo, ressaltando assim a responsabilidade da execuo e reviso distintas, incluindo a autorizao para concretizao. Diante do processo de separao de tarefas podemos destacar que nesse modelo devido importncia dos ativos de informao exigida a necessidade de incluir a diviso de responsabilidades dessa forma as pessoas que executa uma atividade no pode ser a mesma que a aprova, coibindo assim a ao ou a tentativa de fraude.
O monitoramento das atividades tambm considerado um mecanismo de
proteo importante para o descobrimento de falhas de segurana e tambm possui o papel de desencorajar. A classificao das informaes na prtica esta ligada ao dia a dia das operaes e esta ai o maior desafio, para auxiliar nesse processo temos alguns mecanismos que so teis.
Quando o assunto rotulao de documentos visando a classificao da
informao a primeira coisa que surge em nossa mente so os documentos impressos, realmente os documentos impressos so mais fceis de rotular. A rotulao visa inibir a ao de algum fraudador, mas principalmente salvaguardar a organizao no caso de violao da segurana da informao naquele nvel de classificao. Para rotular papis o uso de etiquetas, carimbos e outras marcas visuais so recomendados pode tambm ser inclusa no rodap dos documentos ou at mesmo como marca dgua. A rotulao de documentos eletrnicos requer maior ateno e a marca da classificao dever ser mostrada dentro do contedo do documento como, por exemplo: e-mails devem conter informaes de classificao no corpo da mensagem ou no campo de assunto. Sistemas e aplicativos como base de dados de sistemas e aplicativos devem mostrar visualmente o nvel da classificao de um registro quando esse acessado. As mdias podem ser rotuladas visualmente com etiquetas assim como os documentos impressos. A segunda forma de criar mecanismos cotidianos o controle de acesso e isso pode ser realizado atravs dos nveis de classificao, essa forma de controle o principal beneficio buscado pela Classificao da Informao. O controle de acesso lgico nos remete ao controle de acesso a redes e a dados uma exemplo claro de controle de acesso lgico seria o login de rede onde temos que possuir um usurio valido e uma senha pessoal e intransfervel
de acesso para aquele segmento de rede, bem como o controle de acesso as
pastas e diretrios dentro dos servidores. O controle de acesso fsico esta ligado ao uso de ferramentas criptogrficas como os certificados digitais que esto cada vez mais ganhado espao entre as tecnologias para controle de acesso, o uso de biometria tambm se mostra bem til no controle de acesso fsico.