A importância da classificação e padronização da informação na política de segurança

Por: Lindamir do Carmo Secchi Gadler & Roseli Rocha Moterle

Na elaboração da política de segurança da informação, considere o seguinte
questionamento:

Qual o valor da informação para a sua organização?

A informação, independentemente de seu formato, é um ativo importante para a
organização. Na verdade, sem informação a organização não realiza seu negócio.
Por isto, os ambientes e os equipamentos utilizados para seu processamento,
armazenamento e transmissão devem ser protegidos.

Assim, é conveniente que a organização identifique todos os ativos de informação que possui e documente a importância deles. O quadro a seguir especifica os tipos de ativos que podem existir em uma empresa.

Natureza do ativo Descrição
Informação bases de dados e arquivos, contratos e acordos, documentação de sistema, informações sobre pesquisa, manuais de usuário, material
de treinamento, procedimentos de suporte ou operação, planos
de continuidade do negócio, procedimentos de recuperação
trilhas de auditorias e informações armazenadas.
Software aplicativos, sistemas, ferramentas de desenvolvimento e utilitários.
Físico equipamentos computacionais, equipamentos de comunicação,
mídias removíveis e outros equipamentos.
Serviços serviços de computação e comunicações, utilidades gerais, por
exemplo, aquecimento, iluminação, eletricidade e refrigeração.
Pessoas empregados, estagiários, terceiros e fornecedores com suas
respectivas qualificações, habilidades e experiências.
Intangíveis reputação e a imagem da organização.

Quadro 1- Tipos de ativos.
Fonte: Adaptado de Associação Brasileira de Normas Técnicas (2005) e Ferreira e Araújo (2006).

A NBR 27002 : 2005 indica que, na gestão dos seus ativos e antes de elaborar a
política de segurança, a organização realize um inventário deles. O inventário deve incluir “[…] todas as informações necessárias que permitam recuperar a empresa Ativos de informação e segurança em recursos humanos de um desastre (incêndio, inundação, desabamento, explosão, entre outros),
incluindo o tipo do ativo, formato, localização, informações sobre cópias de
segurança, informações sobre licenças e a importância do ativo para o negócio.”
(ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2005).

Importante
Com base no inventário, as informações serão classificadas a partir
das necessidades e particularidades de cada organização, por isso é
necessário conhecer o negócio, os processos e atividades que realiza.

Classificação da informação

A classificação da informação é uma atividade específica, de acordo com o tipo
de negócio da organização a que pertence e do grau de importância da própria
informação para aquela.

A NBR 27002:2005 recomenda que, na classificação da informação, a organização leve em consideração o seu valor, requisitos legais, sensibilidade e criticidade, bem como os controles de proteção necessários (compartilhamento ou restrição de acesso) à informação. A norma também recomenda que o proprietário do ativo defina a classificação deste e assegure que o mesmo esteja atualizado e no nível apropriado.

Nesta atividade, será determinado o tipo de controle necessário para cada tipo de ativo da informação e o nível de classificação de cada um deles. Ferreira e Araújo  (2006, p. 52) sugerem três níveis de classificação:
informação pública: não exige sigilo e pode ser divulgada para o
ambiente interno e externo, sem impactos para os negócios. Por
exemplo: folders, panfletos, demonstrações financeiras após a validação
e fechamento da contabilidade e direção da organização;
informação interna: é vital manter sua integridade. As informações
internas não são críticas, mas o acesso externo dos dados que compõem
esse tipo de informação deve ser evitado. Por exemplo: benefícios que a
organização oferece aos colaboradores;
informação confidencial: pode comprometer as operações da
organização, tanto em nível financeiro como em competitividade.
Por exemplo: dados pessoais de colaboradores e clientes, salários,
estratégias de mercados, senhas, etc.

A partir da classificação da informação, é possível determinar os processos de
armazenamento ou descarte desta, conforme se apresenta no quadro a seguir.

Processo de armazenamento e descarte informaçãoA classificação da informação fornece subsídios para a gestão dos ativos e, por
consequência, aos indicadores de controle necessários à elaboração das diretrizes na política de segurança. Além disto, essa atividade e o inventário permitem fazer um raio-x da organização, identificando todos os processos e necessidades de informação. É uma das etapas mais demoradas na elaboração de uma política de segurança da informação.

De outro lado, a área responsável pela segurança da informação e o respectivo
proprietário da organização devem prever, ao longo do tempo, momentos para
reclassificação das informações e, também, dos privilégios e direitos de acesso
dos usuários. Esse procedimento também deve ser descrito no documento da
política de segurança.

Padronização da informação

Assim, como no Sistema de Gestão em Segurança da Informação (SGSI), também aplicamos o ciclo de desenvolvimento de melhoria contínua, conhecido como modelo “Plan-Do-Check-Act” (PDCA), para se obter padronização e indicadores de controle na elaboração da política de segurança.

O ciclo PDCA é uma ferramenta da Gestão da Qualidade Total, proposto por
Deming (apud CAMPOS, 2002), mas que também é aplicado pela NBR 27001:2006
para estruturar todos os processos que envolvem a área de segurança da
informação.

Ativos de informação e segurança em recursos humanos

O esquema “[…] considera as entradas de requisitos de segurança de informação e as expectativas das partes interessadas, e como as ações necessárias e processos de segurança da informação produzidos resultam no atendimento a estes requisitos e expectativas.” (ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS, 2006).

Modelo PDCA aplicado aos processos do SGSI

Com base no Ciclo PDCA, de acordo com a NBR 27001: 2006, as atividades do
Sistema de Gestão em Segurança da Informação podem ser organizadas do
seguinte modo:

• planejar(Plan): estabelecer a política, objetivos, processos e
procedimentos relevantes para a gestão de riscos e a melhoria da
segurança da informação;
• fazer(Do): implementar e operar a política, controles, processos e
procedimentos;
• verificar(Check): avaliar e, quando aplicável, medir o desempenho de
um processo frente à política, objetivos e experiência prática do SGSI; e
apresentar os resultados para a análise crítica pela direção;
• agir(Act): executar as ações corretivas e preventivas com base nos
resultados da auditoria interna do SGSI e nos resultados da análise crítica
efetuada pela direção, ou outra informação pertinente. O objetivo é
alcançar a melhoria contínua do SGSI.

Importante

O PDCA possibilita a transmissão do conhecimento e facilita as
atividades de treinamento de pessoal, assegurando uniformidade e
previsibilidade de resultados dos processos que envolvem o Sistema
de Gestão em Segurança da Informação.

Com a finalidade de identificar os ativos a serem protegidos, os riscos a que a
organização está exposta, os objetivos e controles necessários para proteger
as informações da organização e garantir a continuidade do negócio, podemos

implantar o ciclo PDCA em todas as etapas do processo.

Para a elaboração do documento de inventário e classificação dos ativos
de informação, propomos a aplicação do ciclo PDCA para padronização
da informação como forma de avaliação dos requisitos e processos; e,
posteriormente, a elaboração do documento da política de segurança da
informação. O quadro a seguir descreve as fases do ciclo PDCA a serem aplicadas nesse processo.

Aplicação do ciclo PDCA para padronização da informação

O processo de padronização da informação para elaboração dos documentos de
inventário e classificação da informação com aplicação do ciclo PDCA é realizado
em doze passos.

1º passo: definir o objetivo
Identificada a necessidade de se estabelecer um padrão interno para determinado processo ou atividade, por exemplo, para cadastro de colaboradores ou lançamentos a pagar na folha de pagamento, deve-se definir, de forma clara, os limites, o objetivo e a abrangência de sua aplicação e certificar-se de que não haja duplicação de registros, com mais de uma origem para os mesmos dados.

2º passo: definir os responsáveis pelo desenvolvimento do padrão
Os documentos que estabelecem padrões devem ser elaborados por pessoal
representante e conhecedor das atividades relacionadas. É conveniente que os
proprietários dos ativos também integrem o grupo que analisa os padrões dos
ativos de informação a serem estabelecidos.

3º passo: identificação dos usuários
Quando estamos padronizando um processo ou uma atividade, devemos ter
em mente o quanto as pessoas que irão utilizar-se deste padrão sabem sobre o
assunto e a razão pela qual necessitam dele. Por exemplo: padronizar o processo
de lançamento em Contas a Pagare a Receberpara um processo conduzido por
técnicos em Contabilidade parece que seria necessário?

4º passo: coleta de informações
Devem ser reunidas todas as informações documentadas já existentes e demais
informações transmitidas informalmente e consideradas relevantes para o
desempenho da atividade. Tais informações devem ser obtidas diretamente com o pessoal que realiza as atividades ou está envolvido com elas.

5º passo: seleção do formato do documento
O formato dos documentos deve ser adaptado à realidade de cada empresa. É
importante que cada organização defina-o conforme sua necessidade. Mas deve-se manter um padrão gráfico que apresente a data de emissão e numeração de páginas correspondentes.

6º passo: redação da minuta
Inicialmente, o documento que estabelece os padrões dos ativos de informação,
bem como o nível de classificação das informações deve formalizar os objetivos
e a abrangência do processo. Depois, apresentar textos explicativos para cada
atividade prevista, de forma que fique claro o que é feito, quem faz (função),
como, quando, onde e por que é feito. Nem sempre será necessário que o texto
responda a todas estas perguntas. Mas o documento deve deixar claro ao usuário como se iniciam, executam e finalizam as diversas atividades descritas nele. No caso da segurança da informação: a natureza do ativo, o responsável e o nível de classificação.

7º passo: análise crítica e redação final
A minuta do documento deve circular entre os responsáveis pela sua aprovação,
a fim de submeter sua redação inicial à análise crítica. As correções e alterações
podem ser anotadas na própria minuta. Após as críticas e alterações, o documento poderá receber a redação final.

8º passo: aprovação do documento
Após analisados criticamente pelo pessoal responsável pelo processo, o qual
o documento padroniza, deve ser registrada a aprovação, por assinatura ou
por outro meio, conforme o tipo de documento e abrangência. É importante
que a direção da empresa também assine este e outros documentos, ou tenha
conhecimento deles.

Importante
A análise crítica e a aprovação das alterações dos documentos devem
ser realizadas pelas mesmas funções que examinam e aprovam os
documentos originais.

9º passo: emissão e revisão dos documentos
O controle das emissões e revisões dos documentos que padronizam a informação deve evidenciar todos os documentos que a compõem e a situação atual dos documentos. O procedimento de controle de documentos deve conter um código de identificação, o nº de revisão e a descrição dos documentos que compõem o sistema de padronização da organização, de modo a evidenciar a situação da revisão atual, tanto para novos documentos emitidos como para as alterações dos remanescentes.

10º passo: distribuição de cópias
Os documentos devem ser distribuídos a todas as funções ou departamentos que
necessitam daquele padrão. A distribuição deve ser controlada para facilitar a
coleta dos documentos obsoletos, quando das revisões e alterações.

11º passo: treinamento
Para a padronização atingir seus objetivos, é necessário o treinamento do pessoal envolvido no processo. Pode ser realizado na seguinte sequência:
1. a pessoa a ser treinada lê o documento padrão;
2. o documento é explicado pelo instrutor do treinamento;
3. o treinando observa o processo ou a atividade sendo executada;
4. o treinando executa o processo ou atividade, destacando os principais
pontos daquilo a que assistiu o seu instrutor fazer, até o entendimento
completo do procedimento ou atividade.

12º e último passo: revisões e cancelamentos
Quando for necessário alteração no documento relacionado ao Sistema de Gestão da Segurança da Informação, deve-se avaliar o impacto dessas alterações nos demais documentos do sistema. Caso as alterações, exclusão ou reedição afetem outros documentos, as pessoas devem ser informadas para as providências cabíveis. A natureza das alterações deve ser mantida no próprio documento revisado.

Os documentos cancelados devem ser identificados para evitar seu uso
inadvertidamente.

Os passos indicados para a padronização da informação podem ser aplicados em
qualquer processo organizacional que tenha necessidade de padrão e registro,
especialmente na elaboração e implementação – no próprio documento – da
política de segurança.

Se você trabalha em empresa já padronizada, confirmou essas informações, o
próprio sistema e conseguiu, certamente, ampliar sua visão do processo, que,
geralmente, fica restrita ao grupo de pessoas que coordenam o Sistema. Mas, se
você trabalha em empresa que ainda não caminhou no processo de padronização, já tem informações úteis para planejá-lo e executá-lo.

Padronização da informação pode ser considerada um projeto que tem início,
meio e “finalidade”, ou seja, não termina jamais. As organizações, assim como
tudo mais, são dinâmicas, latentes, nelas pulsa a vida e a vida é um processo de
amadurecimento e melhorias.

Referências
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27002: Tecnologia da Informação – Técnicas de Segurança – Código de prática para a gestão de segurança da informação, 2005. 120 p.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Sistemas de gestão da segurança da informação – Requisitos, 2006. 44 p.
CAMPOS, Vicente Falconi. Gerenciamento da rotina do trabalho do dia-a-dia. 8. ed. Belo Horizonte: Desenvolvimento Gerencial, 2002. 266 p.
FERREIRA, Fernando Nicolau Freitas; ARAÚJO, Márcio Tadeu de. Política de segurança da informação: guia prático para elaboração e implementação. 2.ed. Rio de Janeiro: Ciência Moderna, 2008.

Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.

Deixe um comentário

O seu endereço de e-mail não será publicado.