Classificao da Informao

Bruno Reis, Jimmy Costa Mota, Patryck Pabllo Borges de Oliveira. Universidade Catlica de Braslia (UCB), Campos Universitrio II, SGAN 916 Mdulo B Braslia DF Brasil.
{bruno_p_reis@hotmail.com, heydjo@yahoo.com.br, patryckpabllo}

Abstract. Information classification is of utmost value to the organizations because it allows the organization to direct its resources for information security. By knowing the integrity, availability and confidentiality levels of each piece of information the organization is able to create optimized and specific security policies. This article shows a way to classify the information into an organization, by identifying specific criteria and relevant practices. It also defines suggestions of practices that can be taken to implement information security to each suggested level of classification.

Resumo. A classificao da informao fundamental para que as organizaes possam direcionar os seus recursos para sistemas de segurana. Sabendo o nvel de disponibilidade, confidencialidade e integridade das informaes com quais a organizao trabalha, esta pode gerar polticas de segurana da informao otimizadas e especficas para cada recurso. Este texto mostra uma forma de se classificar a informao de uma empresa, se identificando os critrios e prticas relevantes. Ele tambm define idias de prticas que podem ser tomadas para implementar a segurana da informao aos diversos nveis de classificao sugeridos.

1. Introduo
Diversos procedimentos so adotados constantemente pelas organizaes para garantir a segurana das informaes. Salas-cofre, sistemas de criptografia, polticas e treinamento de funcionrios e muitos outros procedimentos so adotados constantemente pelas organizaes que para isso investem grandes quantias de dinheiro. Entretanto nem sempre esse dinheiro bem investido pois muita informao desnecessria pode ser guardada por estes procedimento. Um exemplo pode ser um servidor de e-mail com e-mails pessoais, mantido dentro de uma poltica de backup e segurana rgida. O fato que para implementar uma boa poltica de segurana necessrio se conhecer a importncia das diversas informaes recebidas,utilizadas, armazenadas e transmitidas pela organizao. a isto que este trabalho se prope, uma metodologia para classificao das informaes de uma organizao. Isto visa facilitar o trabalho de segurana, permitindo se definir o nvel de segurana que deve ser utilizado no armazenamento e transmisso das informaes por esta metodologia categorizadas.

Este trabalho faz com que a organizao economize e direcione melhor os seus recursos com segurana da informao. Esta classificao da informao serve tambm para a organizao conhecer melhor a o escopo, as rotas e necessidades de informao com que trabalha podendo fazer com que a informao tenha o fluxo necessrio para o bom desenvolvimento dos seus trabalhos. Ou seja, este trabalho facilita tambm que a informao esteja mais disponvel na hora certa e para a pessoa certa.

2. A Importncia da Informao
A informao se situa entre o que podemos chamar de dado puro e o conhecimento. Ela consiste em um dado com uma interpretao sobre ele e, assim como o conhecimento, muito importante nesta era atual, que vem sendo denominada de era da informao. Vejamos dois paradigmas desta era que a primeira vista podem at parecer paradoxal: Na sociedade da informao, a informao o principal patrimnio da empresa e est sob constante risco, precisando assim ser seguramente armazenada e protegida. Na sociedade da informao, a informao o principal ativo da empresa e precisa ser constantemente disseminada e trabalhada.

Estas idias tm em comum o reconhecimento que o uso efetivo da informao permite que uma organizao aumente a eficincia de suas operaes e representa um diferencial competitivo em relao aos concorrentes. Nesta era costuma se dizer que uma organizao as duas ou trs coisa que ela faz de melhor. Isto quer dizer que o mais importante para a organizao todo o conhecimento e as informaes que ela tem relativos aos processos do seu negcio especfico. Aqueles que conhecem melhor da sua rea tem mais ferramentas, que no caso so as informaes, para se desempenharem melhor. Assim sendo ambos os paradigmas citados acima so verdadeiros e devem ser considerados para o bom desempenho da empresa. A informao que deve ser protegida com riscos de causar danos nas operaes da empresa caso seja transmitida a quem no for autorizado e h a informao que deve ser disseminada, tambm com riscos de causar danos as operaes da empresa caso no chegue ao seu destinatrio, ou no esteja disponvel na hora certa.

3. Classificando a Informao
Existem quatro aspectos importantes para a classificao das informaes. Cada tipo de informao deve ser examinado a partir desses aspectos para poder ser mais bem classificada: Integridade a informao atual, completa e mantida por pessoas autorizadas.

Disponibilidade - a informao est sempre disponvel quando necessria ao pessoal autorizado. Confidencialidade a informao s acessada pelos indivduos autorizados. Valor a informao tem um alto valor para a organizao. Outro fator que deve ser considerado ao se gerar uma poltica de segurana o nvel de ameaa conhecido que cada informao tem. Para isso devem ser respondidas questes como: Existem concorrentes buscando a informao? possvel que ela fique indisponvel e por qual motivo isso pode acontecer? uma informao fcil de perder a integridade, ficar desatualizada?

4. Nveis de Segurana
Com base na anlise dos parmetros acima podemos chegar ao nvel de segurana da informao. Um nivelamento de segurana pode seguir a seguinte classificao: Irrestrito Esta informao pblica, podendo se utilizada por todos sem causar danos organizao. Interna Esta informao aquela que a organizao no tem interesse em divulgar, cujo acesso por parte de indivduos externos a ela deve ser evitado. Entretanto, caso esta informao seja disponibilizada ela no causa danos srios organizao. Confidencial Informao interna da organizao cuja divulgao pode causar danos financeiros ou imagem da organizao. Essa divulgao pode gerar vantagens a eventuais concorrentes e perda de clientes. Secreta Informao interna, restrita a um grupo seleto dentro da organizao. Sua integridade deve ser preservada a qualquer custo e o acesso bastante limitado e seguro. Esta a informao considerada vital para a companhia. Para podermos chegar nestes nveis de segurana pode nos guiar tambm pela seguinte tabela apresentada por [Peltier]

Confidencialidade Alta Mdia Baixa Confidencial Interna Pblica

Integridade Confidencial Interna Pblica

Disponibilidade Crtica Moderada Baixa

O que devemos notar que o nvel de segurana pode ser aumentado tanto pela necessidade de confidencialidade quanto pela de disponibilidade. Uma informao que deve estar sempre disponvel deve ter um servio robusto trabalhando para isso, assim como uma informao confidencial tambm. E existem ainda os casos onde estes fatores se somam. Por exemplo, uma informao pode ter requisitos de confidencialidade mdia, mas integridade alta. Assim o nvel de segurana da informao deve ser definido levando em conta todos estes fatores em conjunto e no apenas um deles isoladamente. E para isso surge a prxima questo que quem define este nvel.

5 Estabelecendo Responsabilidades
Para definir o nvel de segurana da informao de cada setor da organizao a pessoa mais indicada o prprio responsvel daquele setor. Ele quem certamente conhece melhor as informaes do seu setor assim como as necessidades de confidencialidade, integridade e disponibilidade do setor. Aps esta classificao ser feita tambm importante que algum de um nvel superior a ele esteja verificando a classificao para garantir que as informaes que precisem transitar entre os diversos setores no sejam demais protegidas e isoladas em um setor e tambm que as informaes que no podem transitar estejam protegidas. Alm do responsvel pela classificao preciso tambm estabelecer os responsveis pela manuteno dos nveis de segurana definidos. Neste caso todos os funcionrios devem ser envolvidos e deve ser criado um plano com um regime de responsabilidades claro e disponvel para todos. Alm disso, deve ser feito um treinamento para passar os dados deste plano e se possvel deve haver um supervisor que verifique a efetivao do plano nos diversos setores da organizao.

6 Implementando a Classificao Para a implementao da categorizao devem ser consideradas as seguintes prticas:

Identificao/Marcao dos Recursos Informacionais; Armazenamento da Informao; Transmisso de Informaes; Eliminao de Informao Desnecessria Garantia da Integridade da Informao Permisso de Acesso Apropriado

Estabelecimento de Responsabilidades

Vejamos alguns exemplos destas implementaes:

6.1 Para a Identificao/Marcao dos Recursos Informacionais Tipo do Documento Procedimento Caso seja gerado dentro da organizao deve apresentar o nvel de segurana no rodap de todas as pginas e na capa. Caso venha de fora deve ser marcado com uma etiqueta ou carimbo. E-mail Documentos Eletrnicos. Deve ter o nvel de segurana identificado no ttulo. Deve conter o nvel de segurana na meta data do documento.

Documento em Papel

Deve conter o departamento que criou o documento e a data.

Caso seja um documento que venha a ser impresso deve apresentar o nvel de segurana no rodap de todas as pginas e na capa.

Dados, bancos de dados e Deve conter o nvel de segurana na meta data aplicaes. do documento.

Os relatrios gerados devem seguir os padres para documentos eletrnicos. Outros tipos de mdia. A classificao de segurana deve ser visvel por etiquetas ou outros recursos que se faam necessrios

6.2 Para o armazenamento das informaes, de acordo com sua classificao.

Classifica o Irrestrito

Impressos Sem requisitos especiais

Documentos Eletrnicos

backups regulares para garantir a integridade e disponibilidade.

Protegido

Guardado em local seguro (sala trancada)

Armazenado em reas restritas do sistema operacional.

Confidencial

Guardado em local seguro com acesso restrito. Deve ter uma poltica de mesa limpa

Armazenado em reas restritas do sistema operacional com verificao de senha.

Secreta

Guardado em zona segura com controle Armazenado em reas restritas do sistema operacional com de acesso. verificao de senha. Encriptado e com trilhas de auditoria. Poltica de mesa limpa.

Trilha de acesso para todos os pontos de acesso (assinatura).

6.3 Para transmisso das informaes

Classifica o Irrestrito

Impressos

Documentos Eletrnicos

Sem requisitos especiais

Sem requisitos especiais

Protegido Envelope lacrado Carta registrada. Confidencial Envelope marcado com confidencial Notificao Recebimento. Secreta

Criptografia ou senhas em arquivos transmitidos

lacrado Criptografia ou senhas em carimbo arquivos transmitidos utilizando uma rota segura. de Confirmao de recebimento

Envelope com duplo lacre transportado sob custdia.

Criptografia ou senhas em arquivos transmitidos utilizando uma rota segura. Confirmao de recebimento Auditoria completa do processo

6.4 O descarte de informaes O lixo de certas empresas pode vir a ser uma grande fonte de informaes confidenciais caso as mesmas no se preocupem com o descarte das informaes. De nada adianta um relatrio ser confidencial, acessado com uma boa senha e transmitido com criptografia caso ele seja impresso e o papel jogado no lixo sem as informaes serem eliminadas. Assim toda mdia impressa que contenha informaes relevantes deve ser destruda antes de ser descartada. Isso pode ser feito por picotadores de papel. 6.5 Protegendo a integridade Para a proteo da integridade nos documentos eles devem todos conter informaes que identifiquem sua origem assim como um carimbo caso se faa necessrio. No caso de documentos eletrnicos eles devem ser controlados atravs de esquemas de permisso de acesso, restringindo a possibilidade de gravao aos usurios autorizados. Caso a necessidade de integridade seja alta, certos documentos devem ser armazenados em uma localizao central, s podendo ser retirados sob-custdia e com tempo limitado. 6.6 O acesso as informaes O acesso s informaes deve ser feito de acordo com as polticas estabelecidas para o armazenamento das mesmas. 6.7 Responsabilidades Aps as responsabilidades serem estabelecidas e definidas e os treinamentos serem feito cada funcionrio deve assinar um termo de responsabilidade indicando sua concordncia com a poltica estabelecida.

7 Um Processo para a Implementao da Classificao Para implantar a classificao proposta, considerando as prticas acima, podemos seguir os seguintes passos: Inventrio Classificao de Risco Definir Poltica da Organizao Definir Polticas por Projetos Implementao de Prticas de Segurana Treinamento Identificao (marcao) Monitoramento

8 Concluses
Com uma boa classificao das informaes a organizao no s poder ter uma boa e otimizada poltica de segurana da informao como tambm ter outros benefcios. Ela poder conhecer melhor os seus processos, pois se ver forada a fazer um inventrio das informaes, poder tambm conhecer as informaes que precisa disponibilizar para seus clientes e que ainda no tm um canal apropriado para isso. Porm o trabalho de classificao da informao um trabalho maior do que pode parecer a primeira vista pois envolve todos os departamentos de uma organizao assim como seus responsveis, alm disso pode mexer ou expor algumas estruturas de poder dentro da organizao.

Assim sendo este trabalho deve ser feito por uma equipe competente e diversificada onde haja um patrocinador da alta gerncia com motivao suficiente para poder tocar o projeto pois caso contrrio o mesmo est sujeito a no ter o sucesso esperado.

9 Referncias
[PELTIER] PELTIER, Tomas R., Standardinzing Information Classification, Disponvel em: http://searchsecurity.techtarget.com/tip/1,289483,sid14_gci995767,00.html?Offer=SEc pcc42005 [DAVENPORT] DAVENPORT, T.H., Ecologia da Informao: porque s a tecnologia no basta para o sucesso da era da informao, Trad. Bernadete Siqueira. So Paulo, 1998. [ABREU] ABREU, Dimitri., Melhores Prticas para Classificar as Informaes. Mdulo e-Security Magazine. So Paulo, agosto 2001. Disponvel em: http://www.modulo.com.br [SECURENET] SECURENET, Gerindo Prticas de Segurana da Informao, Abril 2001, Disponvel em http://www.securenet.com.br/artigo.php?artigo=94