Hoje em dia, com o mercado cada vez mais competitivo, as empresas guardam, ou tentam guardar seus segredos a setes chaves.
Estes segredos podem variar muito , desde projetos de engenharia que contem cálculos para produção de peças automotivas, ou uma receita para produção de pães, ou ainda uma formula para composição de um perfume.
A verdade é que a informação , é um ativo que deve ser muito bem protegido , empresas gastam milhões em campanhas de conscientização e treinamentos, e no desenvolvimento de sistemas, para que seus colaboradores sejam capazes de interpretar e guardar o segredo das organizações.
Espionagem, erros nos procedimentos, falhas técnicas , ou simples falta de atenção, podem acarretar em milhões em prejuízos, sem contar o desgaste da imagem de uma organização após um incidente.
Imaginem o que pode ocorrer quando um vendedor externo tem o seu laptop furtado, com os dados de alguns clientes de grande porte, ou um banco ter os dados de seus clientes divulgados de maneira indevida.
Mas como um profissional de TI , ou segurança da informação pode contribuir para que estes riscos sejam minimizados?
É extremamente importante que as organizações aprendam a classificar suas informações, com o apoio de normas como a ISO 27001, 27002 .
Estas normas para o gerenciamento de Segurança da Informação , contem alguns exemplos de melhores praticas , como por exemplo, o gerenciamento do ciclo de vida destas informações e o estabelecimento, de rótulos para classificação destas informações:
Decreto 4.553 – Casa Cível níveis de classificação em nível federal
Cada nível de classificação é criado visando a um tipo de informação, temos que desenvolver critérios para avaliar uma informação
Exemplos de Rótulos
Governo Brasileiro | Empresas Privadas |
Ultra-Secreto | Interna |
Secreto | Pública |
Confidencial | Restrita |
Reservado | Privada |
E quais seriam os benefícios que estas atividades trariam a organização?
Conscientização – O Programa de Classificação da Informação requer o envolvimento de praticamente de todas as pessoas dentro da organização. Esse envolvimento faz com que as pessoas tenham uma dimensão maior das dificuldades de proteger os ativos de informação e da infinidade de situações que podem comprometer essa proteção
Responsabilidades – A Classificação da Informação necessita de uma divisão e atribuição de responsabilidades para poder trabalhar. Essas responsabilidades dizem a respeito a quem deve classificar, quem deve proteger e que cuidados os usuários devem tomar , entre outras coisas. A definição desses papeis distribui o peso da proteção entre os colaboradores de uma organização, fazendo com que todos fiquem responsáveis por ela.
Níveis de proteção – A atribuição de responsabilidades e melhora da consciência dos colaboradores faz com que eles mesmos tragam situações que demandam proteção e que , muitas vezes, fogem aos olhos daqueles que devem se responsabilizar pela proteção. Ninguém conhece melhor o fluxo das informações que as pessoas que fazem uso delas
Tomadas de decisões – Quando as informações são bem categorizados no ponto de vista da segurança, o processo de tomada de decisões, sejam relacionadas ‘a Gestão de SI ou ‘a própria organização, é extremamente beneficiado.
Uso dos recursos – Recursos desperdiçado em um controle normalmente fazem falta em um outro lugar no qual, a organização terá uma situação inversa, isto é , falta de controle de informações criticas que estão armazenadas junto com outras que não precisam de proteção.
Até a próxima!