RESPONSABILIDADES PELOS ATIVOS
Atribuindo-se responsabilidades pelos ativos da organização, diminui-se as chances de que esses ativos tenham sua segurança comprometida. Para tanto, é preciso que seja realizado um inventário dos ativos e, para cada ativo identificado, seja definido seu respectivo proprietário, que ficará encarregado da manutenção dos controles de segurança.
Inventário dos Ativos
O inventário deve ser completo, ou seja, compreender todos os diferentes tipos de ativos, dos intangíveis, como a imagem da organização, até os ativos físicos, como computadores e contratos; dos ativos de serviço, como energia elétrica, até os ativos de recursos humanos, como funcionários; e dos ativos de informação, como bancos de dados, até os ativos de software, como sistemas operacionais.
Cada ativo identificado deve ser associado ainda a outras informações relevantes, como a sua localização, importância para o negócio e como ele pode ser recuperado em caso de desastre.
Ter um inventário dos ativos é pré-requisito tanto para o gerenciamento de riscos quanto para as demais atividades que envolvem a gestão de ativos, como a classificação da informação.
Proprietários dos Ativos
Todo ativo de informação ou de processamento de informação considerado relevante deve possuir um proprietário responsável pela sua classificação e definição de restrições de acesso.
Embora o proprietário possa delegar tarefas, como por exemplo a implantação de controles de segurança, isso não o isenta de suas responsabilidades e, portanto, deverá se certificar de que essas tarefas estão sendo executadas de forma adequada.
Vale ressaltar que o termo “proprietário” serve apenas para designar o responsável pela segurança do ativo e, portanto, essa pessoa não tem qualquer direito de propriedade sobre o ativo.
Uso Adequado dos Ativos
Para que os ativos de informação sejam utilizados de forma apropriada, isto é, sejam usados de uma forma que não prejudique a realização das atividades de negócio, é necessário que os proprietários estabeleçam regras que deverão ser obedecidas por funcionários, fornecedores, terceirizados e demais usuários desses ativos.
CLASSIFICAÇÃO DA INFORMAÇÃO
À medida que certas informações são mais críticas do que outras, é de se esperar que as necessidades de proteção sejam diferentes. Logo, a segurança de cada informação é realizada de acordo com o nível de proteção exigido por ela e esse nível de proteção é identificado com base na classificação da informação.
Sendo assim, a classificação da informação é um pré-requisito para o estabelecimento de procedimentos que envolvem o compartilhamento de informações.
Critérios de Classificação
O valor da informação, seu nível de criticidade, sua necessidade de compartilhamento e os requisitos legais envolvidos são os principais critérios utilizados na classificação da informação. Logo, para se fazer a classificação é preciso conhecimento das atividades do negócio e dos processos realizados.
Outros critérios podem ser utilizados na classificação contanto que não tornem o processo de classificação complexo demais ou a ponto de desestimular o seu uso.
Revisão da Classificação
A responsabilidade pela classificação de uma informação cabe ao seu proprietário, que deve periodicamente analisar essa informação e verificar se houve alguma modificação importante baseando-se nos critérios utilizados para classificá-la.
Diante de alterações significativas que alterem o nível de proteção exigido por uma informação, deverá ser dada a ela uma nova classificação mais de acordo com o momento atual do negócio, o que permite que a organização continue segura e economize recursos com informações que não já precisam de um nível elevado de proteção.
Procedimentos de Classificação
A organização deve definir explicitamente procedimentos padrões para a classificação da informação, esteja essa informação no formato eletrônico ou físico, e fornecer o treinamento adequado para que esses procedimentos sejam executados a todo momento e de forma correta pelos proprietários das informações.
Uma vez classificada, é importante que a informação seja rotulada para que o nível de proteção dela seja facilmente identificado. No caso de informações no formato eletrônico, onde não é possível utilizar rótulos físicos, o nível de classificação deve, de algum modo, ser apresentado na tela.
Níveis de Classificação
Geralmente as informações acabam sendo classificadas quanto ao grau de confidencialidade delas e, nos casos em que esse é o critério utilizado, quatro níveis costumam ser suficientes: uma informação pode ser classificada como pública, interna, confidencial ou restrita.
No caso de haver informações de níveis diferentes misturadas, isto é, armazenadas juntas, o dispositivo ou o local que guarda essas informações deve receber o mesmo nível de proteção que a sua informação de nível mais alto.
MACHADO, Marcel Jacques. Segurança da Informação: uma Visão Geral sobre as Soluções Adotadas em Ambientes Organizacionais. Curitiba: UFPR, 2012. Trabalho de Graduação – Bacharelado em Ciência da Computação, Universidade Federal do Paraná, Curitiba, 2012.