Estudo de Caso sobre a Implementao de uma Poltica de

Classificao da Informao
Renan de Faria Huguenin
renanhuguenin@gmail.com
Claudinei Di Nuno, !c
professorclaudinei"uol#com#br
Curso de Ps-Graduao Lato Sensu em Gesto Estratgica de Tecnologia da
Informao
Estcio de
Resumo
Conhecimento !oder" e as informa#es deri$adas dos dados so os %ens mais
$aliosos de &ual&uer organi'ao. (ma srie de e$entos de alto n)$el de $a'amento
de dados recentemente trou*e esta &uesto aos olhos do !+%lico. , aumento da
&uantidade de dados &ue so !rodu'idos atra$s do uso de dis!ositi$os m$eis
aumenta o risco de &ue terceiros no autori'ados !ossam o%ter acesso a dados
sens)$eis. -uitos giga%.tes de dados !odem" literalmente /caminhar/ !ara fora da
em!resa em um pendrive ou smartphone de um em!regado ou ainda atra$s de
ata&ues e*ternos" !odendo tam%m ser interce!tadas &uando en$iado atra$s do
ser$ios de Cloud Computing 01u$em2 ou e-mail !articular. Para isso" de$e-se
ela%orar metodicamente um ciclo de $ida da informao" a%rangendo estgios desde
o momento de sua criao" ca!tao ou gerao" transmisso" com!artilhamento"
guarda e" finalmente" descarte ou eliminao. 3s informa#es tanto em meio f)sico
&uanto eletr4nico !ossuem necessidades de !roteo &uanto 5 confidencialidade"
integridade e dis!oni%ilidade. Em geral" a classificao dada 5 informao uma
maneira de determinar como esta informao $ai ser tratada e !rotegida. 6esde 78
de de'em%ro de 7997" h em $igor no :rasil o 6ecreto-;ei n< =.>>?" &ue
regulamenta a criao de !rocedimentos e !rocessos !ara a guarda de dados"
informa#es" documentos e materiais sigilosos de interesse da segurana da
sociedade e do Estado. , !rinci!al o%@eti$o deste tra%alho a!resentar em detalhes
os !rocessos necessrios !ara se im!lementar uma Pol)tica de Classificao da
Informao dentro das organi'a#es" se@am elas !+%licas ou !ri$adas" com a
finalidade de a!oi-las na definio de n)$eis e critrios ade&uados de !roteo 5s
informa#es" %uscando estar alinhada com as !rinci!ais recomenda#es do
6ecreto-;ei n< =.>>?" assim como a I, 78997.
Pala$ras-Cha$esA egurana da Informao" Classificao da Informao"
Confidencialidade" Integridade e 6is!oni%ilidade" I, 78997
$# Introduo
3 informao um ati$o &ue" como &ual&uer outro" tem $alor !ara a
organi'ao e" conse&uentemente" necessita ser ade&uadamente !rotegida. 3
segurana da informao !rotege a informao de di$ersos ti!os de ameaas"
garantindo a continuidade dos negcios" minimi'ando os danos e ma*imi'ando o
retorno dos in$estimentos e das o!ortunidades.
2
3o mesmo tem!o em &ue as informa#es so consideradas os !rinci!ais
!atrim4nios de uma organi'ao" elas esto so% constante risco" como nunca
esti$eram antes. Com isso" a segurana da informao tornou-se !onto crucial !ara
a so%re$i$Bncia das organi'a#es e seus negcios.
Confidencialidade" integridade e dis!oni%ilidade so os !rinci!ais atri%utos
&ue" atualmente" orientam a anlise" o !lane@amento e a im!lementao da
segurana !ara um determinado gru!o de informa#es &ue se dese@a !roteger.
3 egurana da Informao refere-se 5 !roteo e*istente so%re as
informa#es de uma determinada em!resa ou !essoa" isto " a!lica-se tanto 5s
informa#es cor!orati$as &uanto 5s !essoais. Entende-se !or informao todo e
&ual&uer conte+do ou dado &ue tenha $alor !ara alguma organi'ao ou !essoa.
Ela !ode estar guardada !ara uso restrito ou e*!osta ao !+%lico !ara consulta ou
a&uisio.
, o%@eti$o da Classificao da Informao criar mecanismos !ara &ue os
ati$os da informao rece%am um n)$el ade&uado de !roteo e este@am em
conformidade com os !ilares da segurana da informao. 3 informao de$e ser
classificada !ara indicar a im!ortCncia" a !rioridade e o n)$el de !roteo.
Podem ser esta%elecidas mtricas 0com o uso ou no de ferramentas2 !ara a
definio do n)$el de segurana e*istente e" com isso" serem esta%elecidas as %ases
!ara anlise da melhoria ou !iora da situao de segurana e*istente. 3 segurana
de uma determinada informao !ode ser afetada !or fatores com!ortamentais e
!elo uso da&ueles &ue se em!regam dela !elo am%iente ou !ela infraestrutura &ue
a cerca ou !or !essoas mal intencionadas &ue tBm o o%@eti$o de furtar" destruir ou
modificar tal informao.
Esses atri%utos so alcanados atra$s de um !rograma de segurana da
informao" no &ual $rios !rocessos de segurana da informao atuam em
con@unto !ara ad&uirir esses o%@eti$os. E*em!los dos !rocessos e !rocedimentos
deste !rograma !odem serA 3nlise de Discos" Plano de Continuidade de 1egcios"
Pol)tica de egurana" Classificao da Informao" Conscienti'ao de (surios"
Controle de 3cessos" Tecnologias" Procedimentos etc.
, o%@eti$o deste tra%alho a!resentar detalhes de um !rocesso da rea de
segurana da informao" denominado classificao da informao" cu@o o%@eti$o
a!oiar o tra%alho da organi'ao na definio dos n)$eis e critrios ade&uados de
!roteo das informa#es" com $istas a garantir a sua confidencialidade" conforme a
im!ortCncia da organi'ao.
%# Fundamentao &e'rica
%#$# (a)amento da Informao
,s incidentes de segurana da informao $Bm aumentando
considera$elmente ao longo dos +ltimos anos e assumem as formas mais $ariadas"
tendo como as mais im!ortantes as infec#es !or $)rus" o acesso no autori'ado e
os ata&ues de diferentes formas" se@a ela !ara o%teno de informa#es ou at
acesso a sistemas cr)ticos !ara o%teno de informa#es confidenciais ou sens)$eis
5 organi'ao. (m dos !rinci!ais moti$adores desse aumento a difuso do uso da
Internet" &ue cresceu de alguns milhares de usurios no in)cio da dcada de EFG9
!ara centenas de milh#es de usurios ao redor do glo%o nos dias atuais. 3o mesmo
tem!o em &ue cola%orou com a democrati'ao da informao e se tornou um canal
on-line !ara fa'er negcios" tam%m $ia%ili'ou a atuao dos ladr#es do mundo
digital e a !ro!agao de cdigos maliciosos 0$)rus" worms" trojans etc.2" s!am e
3
outros in+meros incon$enientes &ue colocam em risco a segurana de uma
cor!orao. 3lm disso" a facilidade da reali'ao de ata&ues atra$s da Internet
aumentou significati$amente com a !o!ulari'ao de ferramental a!ro!riado
es!alhado ao longo da rede mundial de com!utadores" ha%ilitando desde hackers
at leigos mal-intencionados a !raticarem in$estidas contra sistemas de informao
cor!orati$os 0H3P3TED E (H(II" 799>2.
Juntamente com a difuso da Internet" outros fatores contri%u)ram !ara
im!ulsionar o crescimento dos incidentes de segurana. (m deles o aumento do
n+mero de $ulnera%ilidades nos sistemas e*istentes" como" !or e*em!lo" as %rechas
de segurana nos sistemas o!eracionais utili'ados em ser$idores e esta#es de
tra%alho. ,utro fator o &uo tra%alhoso e custoso !ode se tornar o !rocesso de
mitigar tais $ulnera%ilidades com a a!licao de corre#es no sistema" reali'adas
muitas $e'es de forma manual e indi$idual 0de m&uina em m&uina2. Por +ltimo" a
com!le*idade e a sofisticao dos ata&ues tam%m contri%u)ram de maneira direta
!ara o aumento dos incidentes. 1o so a!enas as ameaas e*ternas &ue
re!resentam riscos a uma cor!orao. ,s !r!rios funcionrios re!resentam alto
risco &uando mal-intencionados ou mesmo &uando no conscientes dos riscos
en$ol$idos na mani!ulao da informao 0H3P3TED E (H(II" 799>2.
%#%# I!* %+,,%
3 I, 78997 su%stitui a I, E88FFA799> 0Cdigo de :oas Prticas2 e
esta%elece as diretri'es e os !rinc)!ios gerais !ara iniciar" im!lementar" manter e
melhorar a gesto da segurana da informao em uma organi'ao. ,s o%@eti$os
delineados $isam fornecer orienta#es gerais so%re as metas geralmente aceitas de
gerenciamento de segurana da informao. J a I,KIEC 78997A799> contm as
melhores !rticas de o%@eti$os de controle nas seguintes reas de gesto de
segurana da informao 0I,KIEC 78997"799>2A
Pol)tica de seguranaL
,rgani'ao da segurana da informaoL
Gesto de ati$osL
egurana dos recursos humanosL
egurana f)sica e am%ientalL
Comunicao e gesto de o!era#esL
Controle de acessoL
3&uisio de sistemas de informao e manutenoL
Informa#es de gerenciamento de incidentes de seguranaL
Gesto de continuidade de negciosL
Conformidade.
, o%@eti$o dos controles da I,KIEC 78997A799> ser im!lementados !ara
satisfa'er os re&uisitos identificados !or uma a$aliao de risco. J a I,KIEC
78997A799> conce%ida como uma %ase comum e orientao !rtica !ara o
desen$ol$imento de normas de segurana organi'acional e !rticas efica'es de
gesto de segurana e !ara a@udar a construir a confiana em ati$idades
interorgani'acionais 0I,KIEC 78997"799>2.
%#-# Necessidade de Implementar um Processo de !egurana da Informao
4
, desen$ol$imento da tecnologia da informao e de am%ientes
informati'ados com alta dis!oni%ilidade tem !ro$ocado altera#es no !anorama
organi'acional das em!resas. 3tualmente im!rescind)$el se !ossuir um %om
funcionamento da infraestrutura de TI" do contrrio isso !assa a ser um !onto cr)tico
!ara o negcio 0M-,;3" 799?2.
3 !r!ria estrutura de tecnologia utili'ada como $etor e facilitadora !ara
$a'amento de informa#es" se@am !or funcionrios insatisfeitos" incorreta
mani!ulao de dados ou ao intencional de es!ionagem ou frade cor!orati$a. (m
$a'amento de informa#es ocorre &uando dados confidenciais so distri%u)dos
internamente ou !ara fora da rede cor!orati$a $iolando regulamenta#es ou !ol)ticas
de segurana 0M-,;3" 799?2.
1o :rasil e*iste o Centro de Estudos" Des!osta e Tratamento de Incidentes
de egurana no :rasil 0CEDT.%r2" &ue dis!oni%ili'a a todos os usurios da Internet
uma %ase de dados com informa#es rele$antes so%re os incidentes de segurana
mensais desde EFFF. ,s incidentes mais comuns so a disseminao de $)rus"
worms" ata&ues a ser$idores web" negao de ser$ios" $arreduras de !ortas"
tentati$as de in$aso e fraude 0CEDT.%r" 79E92.
,s casos de $a'amento de informa#es $Bm aumentando !otencialmente a
cada ano &ue !assa. Nuanto maior o n+mero de controles im!lementados no
com!utador de sua casa ou do seu escritrio" no$as tcnicas sero utili'adas !ara
%urlar os sistemas de segurana. (m $a'amento de informa#es no Cm%ito
cor!orati$o !ode ser igualmente tem)$el" se@a !or&ue informa#es estratgicas iro
!ara as mos de um com!etidor ou !or&ue informa#es financeiras de clientes
!odem estar sendo o%tidas !or fraudadores 0M-,;3" 799?2.
,s ti!os de ata&ues chamados fraudes ou engenharia social" como
comumente conhecido" tem assom%rado os es!ecialistas em segurana. Esse ti!o
de ata&ue se caracteri'a !or utili'ar de tcnicas sociais" nas &uais o indi$)duo aca%a
se en$ol$endo na situao !ro!osta !elo atacante como se tal fato fosse $er)dico" e
dessa forma" !assa ao atacante todas as informa#es &ue ele necessita 06ias"
79992.
%#.# Polticas de Classificao da Informao
3 Pol)tica de Classificao da Informao e a metodologia so as !eas-
cha$es !ara a im!lementao de todo o !rocesso. Essa !ol)tica de$e !ossuir regras
e diretri'es !ara o !rocesso e de$e ser acom!anhada de $rios !rocedimentos !ara
orientar a classificao da informao dentro das organi'a#es de!endendo da
forma como a informao se a!resente 0I;O3" 79E92.
6ois conceitos so fundamentais em &ual&uer !rocesso de ela%orao de
uma !ol)tica de classificao da informao 0I;O3" 79E92A
Need-to-Know P 6efine a necessidade &ue uma !essoa !ossui" de$ido 5
rotina diria de tra%alho e desem!enho de suas fun#es" de acessar determinadas
informa#es. Essa terminologia foi criada no am%iente militar e de go$erno e
!odemos utili'-las !ara fa'er referBncia.
Least Privilege P Q conceder ao usurio o m)nimo de acesso !oss)$el !ara
&ue ele !ossa e*ecutar suas tarefas dirias. 1ada mais" nada menos. Isso no &uer
di'er &ue a segurana estar com!leta" mas tra' um %om n)$el de conforto.
(ma Pol)tica de Classificao da Informao de$e contem!lar" !elo menos" a
a%ordagem dos seguintes as!ectos 0I,KIEC 78997"799>2A
5
6efinio dos Pa!is e Des!onsa%ilidadesL
6efinio de ,%@eti$os e 3%rangBnciasL
6efinio das 6iretri'esL
6efinio das Categorias de (suriosL
6efini#es so%re Tratamento da InformaoL
Ti!os de Dtulos 6is!on)$eis na Em!resa.
%#/# Pap0is e Responsabilidades
(ma das !rinci!ais fun#es da classificao da informao definir e atri%uir
res!onsa%ilidades relacionadas 5 segurana a di$ersas !essoas dentro de uma
organi'ao. Esses !a!is e res!onsa%ilidades $ariam de acordo com a relao &ue
a !essoa tem com a informao em &uesto. Em relao aos ti!os de usurios" !or
e*em!lo" !odem ser categori'ados da seguinte forma 0OI1ICI(" 79E92A
1su2rio Propriet2rio P , dono da informao. Q sua res!onsa%ilidade
atri%uir os n)$eis de classificao &ue a informao demanda. Geralmente o !a!el
desem!enhado !elo gerente da rea.
1su2rio Custodiante P Q a&uele &ue" de alguma forma" 'ela !elo
arma'enamento e !ela !reser$ao de informa#es &ue no lhe !ertencem.
E*em!losA !essoas res!ons$eis !ela administrao dos %ancos de dados. Esse
ti!o de usurio" a!s o%ter autori'ao do 1su2rio Propriet2rio" !ode conceder
direitos de acesso !ara outros usurios" alm de e*ercer outros direitos delegados
!elo 1su2rio Propriet2rio.
E3uipe45estor de !egurana P Q res!ons$el !or ser o !onto de a!oio das
unidades de negcio de forma a desen$ol$er" im!lementar e monitorar estratgias
de segurana &ue atendam aos o%@eti$os da organi'ao. Ca%e a eles selecionar os
melhores controles e conscienti'ar os usurios.
1su2rio Cliente P Possui unicamente o direito de utili'ar as informa#es de
acordo com os limites definidos !elo 1su2rio Propriet2rio ou Custodiante e com a
1orma de Classificao da Informao. Q o &ue desem!enha o !a!el mais cr)tico do
!onto de $ista de segurana. Q &uem tem mais contato com a informao. Q ele"
ento" &uem ser efeti$amente o res!ons$el !elo real seguimento das
recomenda#es de segurana.
Em relao 5s res!onsa%ilidades" de$em ser claramente definidos os !a!is
dos cola%oradores da em!resa em relao 5 classificao da informao" ao !a!el
da TI" da 3uditoria etc. J os rtulos de$em ser definidos de acordo com o n)$el de
autoridade.
%#6# Classificao, Desclassificao, Reclassificao e Categori)ao
,s !rocedimentos %sicos da classificao da informao so a classificao"
a reclassificao e a desclassificao das informa#es 0C3-3DG," 79E92A
Classificao P 3tri%uir um n)$el de classificao a uma informao fa' com
&ue as informa#es !assem a se su@eitar 5s !rote#es es!ec)ficas !elo n)$el de
classificao escolhido. 3lgumas organi'a#es o!tam !or criar um n)$el de
classificao em &ue a !artir da im!lementao do !rograma de CI" todas as
6
informa#es da organi'ao !assam a se en&uadrar nesse n)$el. 1o e*iste o
estado Rno classificadoS" eliminando o !rocesso de classifica#es e
desclassificao. 1esse caso" o !rocedimento de reclassificao !ermitido.
Reclassificao P Q a alterao no n)$el de classificao de uma informao.
Ela utili'ada &uando h necessidade de aumentar ou diminuir a !roteo da
informao" de forma a e$itar o com!rometimento da confidencialidade.
Desclassificao P Q a remoo do n)$el de !roteo. Q a!lic$el a!enas
&uando o estado Rno classificadoS for !re$isto. Caso se@a feita de forma automtica"
o !ra'o cair" em alguns anos" !ara os n)$eis mais %ai*os de classificao e" em
dcadas" !ara os mais altos no setor go$ernamental.
egue a%ai*o um e*em!lo de categori'ao 0C3-3DG," 79E92A
Informao Confidencial P o documentos ou informa#es &ue !ossuem
alto grau de im!ortCncia e &ue so essenciais !ara os o%@eti$os de negcios e
estratgicos da em!resa. e re$elados inade&uadamente" !odem gerar im!actos
negati$os como" !or e*em!lo" em%araos administrati$os" !re@u)'os financeiros"
!erda de !artici!ao" imagem ou com!etiti$idade no mercado. de$e ser
di$ulgada !elo seu !ro!rietrio ou !or !essoa de$idamente autori'ada" assim como
aos cola%oradores &ue necessitam conhecB-la em funo da demanda de tra%alho.
Informao Reser7ado 8Restrita9 : 6ocumentos ou informa#es &ue"
geralmente" so limitadas a um gru!o restrito de !essoas em funo do n)$el de
im!ortCncia. Esta classificao a!lic$el !ara informa#es &ue interessam e so
+teis a um ou mais gru!os de tra%alho" &ue as utili'aro !ara tarefas relacionadas a
seus !a!is dentro da organi'ao.
Informao P;blica : 6ocumentos ou informa#es &ue no necessitam de
sigilo" !ois sua di$ulgao no gera &ual&uer im!acto negati$o !ara a em!resa.
Possuem" geralmente" carter estritamente informati$o ou !romocional.
-# ateriais e 0todos
, o%@eti$o desta seo analisar a situao atual da em!resa Tro. Tinance
com a finalidade de $erificar como as !ro!ostas a!resentadas neste tra%alho !odem
ser im!lementadas" de forma a iniciar o !rocesso de classificao da informao.
-#$# !ituao <tual
Joo Cesar" 6iretor de Decursos Uumanos da em!resa Tro. Tinance" a!s
reunio com a rea de segurana da informao" solicitou &ue o seu !rocesso de
contratao de e*ecuti$os e folha de !agamento rece%esse a metodologia de
classificao da informao. Preocu!ado com o sigilo das suas informa#es" Joo
solicitou uma maior integrao dos seus cola%oradores com a rea de segurana da
informao. Por ter sido criada recentemente" todos os seus funcionrios
!recisariam ser treinados de maneira ade&uada !ara mani!ular os dados sens)$eis
do de!artamento de recursos humanos da em!resa.
-#$#$# Necessidades
6urante o !rocesso de le$antamento de informa#es da Tro. Tinance" os
!rinci!ais !ontos foram a entre$ista aos usurios-cha$es dos !rocessos de folha de
!agamento e a contratao de e*ecuti$os !ara uma con$ersa inicial com o o%@eti$o
7
de entender o cotidiano de algumas reas cr)ticas da em!resa. -uitos usurios
reclamaram da falta de es!ao !ara arma'enamento de ar&ui$os na rede" das
limita#es do correio eletr4nico e" at mesmo" da falta de cri!tografia !ara ar&ui$os
confidenciais dos Decursos Uumanos.
-#$#%# Fal=as Encontradas
6entre as !rinci!ais falhas encontradas nos dados le$antados !ara este
tra%alho !odemos destacarA
a2 3usBncia de treinamento es!eciali'ado so%re segurana da informao no
de!artamento.
%2 3lta &uantidade de Informa#es confidenciais so%re e*ecuti$os e
estratgias do DU trocada !or correio eletr4nico sem cri!tografia.
c2 Informa#es da folha de !agamento trocadas !or correio eletr4nico sem
cri!tografia.
d2 (so de pen-drive !essoal no !rocesso de folha de !agamento sem
cri!tografia.
e2 (so de !asta !articular !ara ar&ui$amento de informa#es confidenciais"
facilitando o $a'amento da informao durante as a#es de manuteno dos
e&ui!amentos.
f2 Talta de fragmentadora de !a!el.
g2 Informa#es confidenciais em Notebook sem de$ida !roteo contra !erda
ou rou%o.
h2 3usBncia de rastrea%ilidade na mani!ulao de ar&ui$os na rede.
i2 3usBncia de rastrea%ilidade no sistema de folha de !agamento.
Orios outros !ontos foram le$antados" !orm" os citados acima so os mais
cr)ticos dentro da lista de !ro%lemas.
-#%# In7ent2rio das Informa>es
3!s o le$antamento inicial" foi necessrio reali'ar reuni#es com os l)deres de
cada !rocesso de negcio !ara identificar &uais informa#es esto dentro do
!rocesso de classificao 0indicar citao2.
(m as!ecto im!ortante e &ue !recisa ser ressaltado &ue esse le$antamento
de$e sem!re le$ar em considerao todo o ciclo de $ida da informao.
Como resultado das reuni#es" foi !oss)$el consolidar um in$entrio das
informa#es e os ati$os &ue a su!ortam" como descrito na Ta%ela n< E.
8
Ta%ela E - In$entrio de Informa#es
TABELA DE INVENTRIOS
Informao Processo Origem dos
Dados
(Criao e
!i"i#ao$
A!i%o (!i"i#ao
e
Arma#enamen!o$
Des!ino
(Trans&or!e$
A!i%o O'ser%a(es
)erais
Descrio de
Cargos
Cargos e
Salrios
Gestor da
Unidade
(Respons.
pelo cargo)
Documento
Eletrnico (Word)
na Rede e
Documento
Impresso
RH Documento
Eletrnico
(Word)
Documento
Impresso
Correio
Eletrnico.
In!orma"#o
Gerada $ora da
%rea de Recursos
Humanos
Planilha de
Salrios
$ol&a de
'agamento
Gestor da
Unidade RH
Documento
Eletrnico (E(cel)
Sistema de RH
RH Gestor
Unidade
Documento
Eletrnico
(E(cel)
Sistema de
RH
Salrio
Implementado de
acordo com o
)ercado
Contratos de
Executivos
Contrata"#o
de E(ecuti*os
RH Documento
Eletrnico ('D$)
na Rede e
Documento
Impresso
E(ecuti*o Documento
Eletrnico
('D$) na
Rede e
Documento
Impresso
E(ecuti*o Rece+e
por email o
Contrato, -ssina e
De*ol*e para o RH
Tabela de
Evoluo
Salarial
)o*imenta"#o
de 'essoal
Gestor da
Unidade RH
Documento
Eletrnico (E(cel)
Correio
Eletrnico
RH Documento
Eletrnico
(E(cel)
Correio
Eletrnico
Sistema de
RH
-p.s Inser"#o no
Sistema, Diretor
de RH apro*a
Cartas de
Propostas
E(patria"#o RH Documento
Eletrnico ('D$)
na Rede e
Documento
Impresso
E(ecuti*o Documento
Eletrnico
('D$) na
Rede e
Documento
Impresso
E(ecuti*o Rece+e
por email a /!erta
de Emprego no
E(terior, -ssina e
De*ol*e para o RH
Informativos
de !
In!orma"#o RH Correio Eletrnico 0odos os
$uncionrios
Intranet
Correio
Eletrnico
In!orma"1es
-rma2enadas na
Intranet para
Di*ulga"#o a todos
os $uncionrios
9
-#-# Classificao das Informa>es
Comear frase com efetuadoV3!s ter sido conclu)do o le$antamento das
informa#es" a !r*ima ati$idade" em con@unto com o 6iretor de DU" foi a de
classificar a informao de acordo com a !ol)tica em $igor. definir definida e
definirVVVV &uais eram os usurios !ro!rietrios" &ue so os res!ons$eis !or
autori'ar o acesso a uma determinada informao.
Para o !rocesso de classificao da informao" foram definidos os seguintes
rtulosA Confidencial" Deser$ado e P+%lico.
Detirar linhas em %ranco
Com %ase nessa descrio de a!oio" a classificao foi reali'ada conforme
Ta%ela n< 7A
Ta%ela 7 - Ta%ela de Classificao
TABELA DE CLASSI*ICA+,O
Informao C"assificao Pro&rie!-rio da Informao
Descrio de Cargos Reser*ada -ndr3 Santos (Gerente de RH)
Planilha de Salrios Con!idencial 4o#o Cesar (Diretor de RH)
Contratos de Executivos Con!idencial 4o#o Cesar (Diretor de RH)
Tabela de Evoluo Salarial Con!idencial 4o#o Cesar (Diretor de RH)
Cartas de Propostas Con!idencial 4o#o Cesar (Diretor de RH)
Informativos de ! '5+lica -ndr3 Santos (Gerente de RH)
-#.# onitoramento do Processo
, !rocesso de classificao da informao de$e seguir um ciclo cont)nuo"
sendo inclu)do nos controles e com um forte treinamento !ara os usurios. 6e$em-
se tam%m esta%elecer !arcerias com a rea de 3uditoria !ara &ue" nas ati$idades
!eridicas nas reas de negcio" se@am inclu)das as $erifica#es da eficcia do
!rocesso de classificao das informa#es" o%rigando os gestores a com!rar a
causa do tra%alho. 3lm disso" o tra%alho de$e ser re$isado nas reas num !er)odo
m)nimo de 7 anos.
.# Resultados ou Discusso
3 rea de egurana da Informao em con@unto com os l)deres do !rocesso
de DU definiram os controles com %ase nos !rocedimentos o!eracionais !ara
classificao da informao.
3%ai*o seguem alguns e*em!los !ara -)dias Eletr4nicas" Correio Eletr4nico e
Pa!elA
10
!egurana nas dias Eletr?nicas
Ta%ela ? - Desultado e controle !ara m)dias eletr4nicas
CONTROLE PARA ./DIA ELETR0NICA
O 12e 3 Necess-rio Pro!eger Como Pro!eger
1 - As mdias devem possuir rtulos que
identifiquem claramente o nvel de sigilo, o
normativo, a restrio, a verso e a data do
documento na qual a informao est contida.
Fornecimento Diretoria de Recursos Humanos do
padro de rtuos para utii!a"o e manipua"o correta
dos ar#ui$os eetr%nicos&
2 - O acesso aos documentos crticos deve ser
controlado&
'mpementa"o na ptica de cassi(ica"o da in(orma"o
da se)re)a"o e do controe de acesso dos documentos
con(idenciais em acordo com a de(ini"o do propriet*rio
da in(orma"o&
+er* utii!ado um SharePoint da Microsoft para
arma!enamento e controe de acesso de todos os ar#ui$os
de RH&
- O acesso aos documentos crticos deve ser
registrado.
'mpementa"o de auditoria no ser$idor de ar#ui$os para
track das a",es reai!adas -eitura. )ra$a"o. escrita/&
+er* impementado o recurso de D01 -Data Loss
Prevention/ para as in(orma",es con(idenciais& 2on(orme
soicitado peo Diretor de RH. nesse primeiro momento.
sero somente auditadas as (ormas de como essas
in(orma",es tra(e)am na rede da empresa&
! - Os equipamentos para a guarda dos
documentos devem ser isolados e protegidos contra
acessos indevidos.
+er* impementado o recurso de 2ripto)ra(ia de Disco de
todos os notebooks e desktops da *rea de RH&
3odos os ar#ui$os arma!enados no SharePoint sero
cripto)ra(ados&
4s ar#ui$os rece5ero a tecnoo)ia de 'R6
-7erenciamento de Documentos/ para sua prote"o caso
os mesmos $a!em da empresa ou se8am en$iados de
(orma no intenciona&
11
" - As informa#es devem ser descartadas de forma
irrecupervel.
1ara todos os notebooks. dispositi$os m$eis ou desktops
#ue (orem descartados ou doados. ser* utii!ado software
para )ra$a"o de 0s e 1s. con(orme padro americano
DoD 522&5&
!egurana no e@mail
Ta%ela = - Controle !ara E-mail
CONTROLE PARA E4.AIL
O 12e 3 Necess-rio Pro!eger Como Pro!eger
1 - Os equipamentos que geram e transportam e-
mails devem ser dispostos de forma a impedir
acessos indevidos.
Fornecimento para o p95ico da cassi(ica"o da
in(orma"o #ue ida com in(orma",es con(idenciais da
tecnoo)ia de 2erti(ica"o Di)ita& :sse processo incui
um Token de +e)uran"a para ;ssinatura e 2ripto)ra(ia
de e<mais no am5iente interno da 3ro= Finance
)arantindo a autenticidade. con(idenciaidade e
e)itimidade dos e<mais&
!egurana no Documento Impresso
Ta%ela > - Controle !ara 6ocumentos Im!ressos
CONTROLE PARA DOC.ENTOS I.PRESSOS
O 12e 3 Necess-rio Pro!eger Como Pro!eger
1 - Os documentos impressos devem possuir rtulos
que identifiquem claramente o nvel de sigilo, o
normativo, a restrio, verso e a data do
documento na qual a informao est contida.
Fornecimento Diretoria de Recursos Humanos do
padro de rtuos para utii!a"o e manipua"o correta
dos ar#ui$os eetr%nicos&
2 - O acesso aos documentos crticos deve ser
controlado&
+er* ad#uirido co(re eetr%nico para )uarda dos
contratos e documento cr>ticos do RH&
- Os documentos impressos $confidenciais% e suas
cpias devem ser destrudos de forma irrecupervel.
;#uisi"o de (ra)mentadora e incineradora de pape
dedicada ao processo do RH&
/# Concluso Final
3 classificao da informao uma forma de !roteo contra o seu
$a'amento ou a sua utili'ao no autori'ada. 6efinir e manter tais controles de
12
fato com!le*o em funo das in+meras formas e mecanismos de como a informao
mani!ulada.
Orias reas dentro de uma em!resa 0!+%lica ou !ri$ada2 se !reocu!am P ou
de$eriam se !reocu!ar P direta ou indiretamente com os efeitos de $a'amentos de
informa#esA egurana de Informa#es" 3uditoria" 3ntifraude" Disco" Decursos
Uumanos" Go$ernana e Compliance P !ara citar algumas.
, !rinc)!io sim!lesA e$itar &ue informa#es estratgicas eKou $aliosas da
em!resa caiam em mos erradas" a fim de e$itar a diminuio da lucrati$idade e da
credi%ilidade da em!resa. 3lcanar um controle so%re este !rocesso" !orm" uma
tarefa muito dif)cil. e fosse fcil" fre&uentemente" no $er)amos sendo noticiado
$a'amento de informa#es im!ortantes como" !or e*em!lo" o caso da rede de lo@as
norte americana Target ou at mesmo da Ingresso.com nos &uais dados de cart#es
de crdito de $rios clientes foram e*!ostos na Internet.
Oirtualmente todas as normas regulatrias de compliance, como ar%anes
,*le." PCI" UIP33" :asilia e G;:3" e*igem &ue as em!resas tenham controle
so%re suas informa#es sens)$eis.
Estar em conformidade com essas recomenda#es a!enas o comeo e"
o%$iamente" no garante &ue a organi'ao este@a imune a !ro%lemas de
$a'amento de informa#es. Nuando isso acontece altamente !re@udicial !ara a
imagem da organi'ao" se@a !or&ue informa#es estratgicas iro $oar !ara as
mos de um com!etidor ou !or&ue informa#es financeiras de clientes !odem estar
sendo o%tidas !or fraudadores P como no caso da Ueart;and.
Para conseguir iniciar um !rocesso de classificao de informa#es
necessrio conhecerK classificar e controlar !rofundamente o estado e as altera#es
em suas a!lica#es e dados cr)ticos.
, !rocesso de classificao da informao nas em!resas de$e seguir um
ciclo P6C3 e se %eneficiar das tecnologias e*istentes" como 6;P" ID- e etc." !ara
alcanar o seu o%@eti$o. Im!lement-lo nas reas cr)ticas da em!resa fator de
sucesso no !rocesso de gesto de segurana da informao.
13
Aibliografia
3:1T I,KIEC 78997. &ecnologia da Informao : &0cnicas de !egurana :
C'digo de Pr2tica para a 5esto da !egurana da Informao. 1orma :rasileira
3:1T 1:D. Primeira Edio. ?9K9FK799>.
C3-3DG," Trancisco. Camin=o do DBP : Data Loss Prevention. 6is!on)$el em
htt!AKKWWW.tineWs.com.%rKneWsK79E9K98KE?Kcaminhos-do-dl!-data-loss-!re$entionK.
3cessado em 7> de etem%ro de 79E?.
CEDT.:D. Centro de Estudos, Respostas e &ratamentos de !egurana no
Arasil. 6is!on)$el em htt!AKKWWW.cert.%rK. 3cessado em EE de etem%ro de 79E?.
6ecreto n< =.>>?" de 78 de de'em%ro de 7997# 6is!on)$el em
htt!AKKWWW.!lanalto.go$.%rKcci$ilX9?KdecretoK7997K6=>>?.htm. 3cessado em E> de
etem%ro de 79E9.
6I3" Cludia. !egurana e <uditoria da &ecnologia da Informao. 3*cel
:ooYs. Dio de Janeiro" 7999.
13I3-(D3" Emilio Tissato e GE(" Paluo ;)cio de. !egurana de Redes em
<mbientes Cooperati7os. o PauloA 1o$atec" 7998#
P,1E-,1 Institute" <nnual 1#!# Cost of Data Areac= !tudC. 6is!on)$el em
htt!AKKWWW.!onemon.orgKlocalKu!loadKfcY@ailKgeneralcontentKEGKfileK799G-799FZ79(
Z79CostZ79ofZ796ataZ79:reachZ79De!ortZ79Tinal.!df. 3cessado em E> de
3gosto de 79E?.
M-,;3" -arcos. 5esto da !egurana da Informao : 1ma 7iso EDecuti7a.
Editora Cam!us. Dio de Janeiro" 799?.
I;O3" 3ldo :ene$ides. 5esto em !egurana da Informao# Classificao
da Informao. 6is!on)$el em
htt!AKKsecurit.officer.Word!ress.comK79E9K9?K?9Kclassificacao-da-informacao-
ZE7ZG9ZF?-!arte-7.3cessado em E> de etem%ro de 79E?.
OI1ICI(" Elger. Classificao da Informao. 6is!on)$el em
htt!AKKWWW.securit.hacYer.orgKartigosK79E9KE7K9>Kclassificacao-da-informacao.
3cessado em 97 de Te$ereiro de 79E=.
H3P3TED" -arcio e (H(II" Dodrigo. !egurana da Informao : 1m
diferencial Determinante na Competiti7idade das Corpora>es. Promon
:usiness [ Technolog. De$ieW. 6is!on)$el em
htt!AKKWWW.!romon.com.%rK!ortuguesKnoticiasKdoWnloadKegurancaX=\e%.!df.
3cessado em F de setem%ro de 79E?.