Para inaugurar esta seção do meu blog sobre Segurança da Informação, irei falar sobre a classificação das informações, que ajuda a definir o quão importante uma informação é para alguém, em especial para as organizações. Esta classificação se baseia em níveis e critérios para a proteção destas informações para que garantam a confidencialidade de acordo com sua importância.
Independente do tipo de informação que se tenha, seja ela em papel ou em um arquivo de computador, existe uma necessidade de proteção quanto a sua confidencialidade, integridade e disponibilidade. É através destas classificações que são determinados os procedimentos para a proteção da informação.
Classificando a Informação
Para classificarmos uma informação, precisamos saber o quão importante ela é para nós, para aí sim nós decidirmos quais os critérios iremos adotar para que haja uma proteção e um cuidado a ser tomado ao manipulá-la. É preciso que entenda os três critérios principais da classificação de uma informação, que são:
- Integridade – Propriedade de salvaguarda da exatidão e completeza de ativos;
- Confidencialidade – Propriedade de que a informação não esteja disponívle ou revelada a indivíduos, entidades ou processos não autorizado;
- Disponibilidade – Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada.
Um outro fator importante para classificar suas informações, é você ter um olhar crítico sobre eles e se perguntar baseado nestas três propriedades citadas acima, como por exemplo: Se alguém conseguir estas informações, irei sofrer prejuízos consideráveis? Esta informação é dispensável? Caso haja uma alteração em algum documento por alguém não autorizado, poderá afetar outros documentos ou decisões que serão tomadas no futuro? Como e onde guardar estas informações sem que haja acesso de terceiros?
São perguntas deste tipo que auxiliam a perceber a importância de cada informações que possuímos. Você pode classificá-las baseada em níveis, como eu disse anteriormente, sendo:
- Baixo, Médio e Alta;
- Níveis numéricos de 0 (zero) a 10 (dez);
- Verde, amarelo e vermlho;
O importante é que essa classificação seja visível para uma identificação de quem tem competência ou não para manipular, guardar, ler ou alterar as informações contidas no documento. É importante informar também a quem pertence a informação, quem são os responsáveis ou autores, assim como quem poderá ter acesso determinado por estes responsáveis.
Lembre-se que toda mudança gera uma certa resistência inicial, e para isso deve haver uma concientização de todos os envolvidos na organização para que não haja falhas neste processo de segurança da informação.
Espero que tenham entendido e fico aberto a críticas e sugestões para os próximos tópicos sobre Segurança da Informação.
Grande abraço!
Diego Macêdo
Sou bacharel em Sistemas de Informação pela Estácio de Sá (Alagoas), especialista em Gestão Estratégica da Tecnologia da Informação pela Univ. Gama Filho (UGF) e pós-graduando em Gestão da Segurança da Informação pela Univ. do Sul de Santa Catarina (UNISUL). Certificações que possuo: EC-Council CEH, CompTIA (Security+, CySA+ e Pentest+), EXIN (EHF e ISO 27001), MCSO, MCRM, ITIL v3. Tenho interesse por todas as áreas da informática, mas em especial em Gestão e Governança de TI, Segurança da Informação e Ethical Hacking.