Classificação do Ativo da Informação

A ABNT NBR ISO/IEC 27005 (2011) define que “um ativo é algo que tenha valor para a organização” e a ABNT NBR ISO/IEC 27003 (2011) apresenta como diretrizes para implementação do Sistema de Gestão da Segurança da Informação a “classificação da informação (confidencialidade, integridade, disponibilidade, controle de acesso, não repúdio, e/ou outras propriedades importantes para a organização [...]).

A classificação abordada neste capítulo, busca manter o foco nas normas ABNT ISO/IEC, que trata da Segurança baseada nos três pilares; confidencialidade, integridade e disponibilidade.

Figura 3 Momentos do ciclo de vida da informação, considerando os conceitos básicos da segurança e os aspectos complementares

38

4.1.1 Confidencialidade.

Sêmola (2003) entende que toda a informação e os dados que a compões devem ser protegidas conforme o grau de sigilo atribuído a ela. Isso remete ao fato de que toda a informação deverá ter sua classificação conforme o nível de sigilo atribuído a seu conteúdo, cada dado ou a informação deve estar acessível apenas a quem tem declarada autorização para conhece-la.

O Governo Brasileiro atribui os níveis Ultrassecreto, Secreto, Confidencial e Reservado, definido pelo Decreto nº 60.417, de 11 de março de 1967, já as empresas privadas costumam atribuir outras nomenclaturas como por exemplo: Restrita, Confidencial, Interna e Pública. A nomenclatura utilizada é uma adaptação de Lyra (2008) e Sêmola (2003), terá quatro níveis com os seguintes identificadores: Confidencial, Restrita, Interna e Pública. Esta classificação é meramente pedagógica, cada organização deve adotar a nomenclatura que melhor será entendia por seus intervenientes. Apesar de não ser obrigatório, o mais encontrado são quatro níveis de privacidade aplicados, porém pode ser utilizado mais ou menos níveis conforme a necessidade da organização.

A informação classificada como Confidencial, está no mais alto grau de restrição, apenas pessoas que comprovadamente necessitem da informação, poderão ter acesso a ela, em condições bem definidas e aceitas. São informações que representam grande valor para a empresa, e a exclusividade é um fator relevante para a manutenção do sua importância e valor. Algumas informações podem se enquadrar nesse nível por força legal.

O grau Confidencial, estabelece que deve estar claro quem pode ter acesso, e quem será responsabilizado caso identifique que parte ou toda a informação tornou-se pública, também deve ser definido como será feito a guarda, o acesso, o transporte ou transferência e o descarte, garantindo sua restrição. Recomenda-se atribuir um vencimento a essa classificação. Por exemplo: Um novo produto e sua estratégia de venda, é confidencial até o momento de seu lançamento, depois passa a ser pública. Outro exemplo de uma informação que pode ser classificada como confidencial: a fórmula de um remédio que ainda não foi registrado e patenteado.

Informações Restritas, são classificadas nesse nível de sigilo, as que representam ativos para a empresa, ou por se tratar de conhecimento exclusivo, ou por normativos externos. O acesso a este conteúdo por pessoas ou processos não autorizados, pode gerar perdas para a organização. Entretanto, são necessárias para algumas pessoas ou setores dentro da organização realizarem seu trabalho. As informações podem se manter como restritas por longos prazos, devido a isso o planejamento do armazenamento deve prever todo o período, o acesso, o transporte, e o descarte, também não podem ser negligenciados.

Exemplo de uma informação que pode ser classificada como restrita: o cadastro de cliente.

39

As informações Internas, não devem extrapolar o ambiente da organização, não representa ameaça significativa, mas o vazamento deve ser evitado. São enquadradas neste nível de sigilo as informações que qualquer membro da organização ou que esteja prestando um serviço para ela pode ter acesso para realizar suas atividades, este é considerado o menor grau de restrição ao acesso aos dados, porém ainda são informações que teve ter sua consulta identificada e autorizada, além de todos os demais ciclos da vida da informação observados.

Exemplo de uma informação que pode ser classificada como interna: o processo de montagem em uma esteira de produção.

Pública são todas as demais informações que no geral já são de

conhecimento geral, interno e externo, que não apresente nenhum risco para a organização e seus intervenientes, estas informações podem ser divulgadas, sendo que a organização pode ter como objetivo a divulgação, e obter o alcance de um grande número de pessoas ou processos ciente da informação.

Exemplo de uma informação que pode ser classificada como pública: os produtos ofertados pela empresa.

4.1.2 Disponibilidade

Há duas formas de avaliar a disponibilidade, a primeira que apresentaremos, é em relação ao tempo estabelecido para sua apresentação, a segunda é a forma de acesso.

Lyra (2008) afirma que a informação deve estar disponível no momento que é necessária, caso contrário pode perder sua utilidade, em alguns casos é previsto que as informações possam demorar até ser recuperada ou gerada, então recomenda atribuir um prazo para sua disponibilização, que pode variar de imediatamente até longos períodos. Considerando que uma informação que foi solicitada tenha uma aplicação definida, e a obtenção após o momento determinado para uso pode torná-la desnecessária, os prazos devem estar bem claros para evitar problemas nesse sentido.

Cada organização deve estabelecer seus prazos para

apresentação para as informações, como por exemplo a nomenclatura a seguir: imediatamente (até uma hora), urgente (até um dia), brevemente (até uma semana), tardio (até um mês), ou definir prazos mais curtos ou longos, permitindo que todos estejam cientes de qual a antecedência exigida para seu fornecimento.

Um exemplo onde prazo é crucial, e quando há a necessidade de um relatório, para uma apresentação que ocorrerá em dois dias, se o relatório for obtido após a apresentação ter ocorrido, o relatório não atenderá a necessidade inicial. Se a demora de três dias para o fornecimento é prevista e de conhecimento dos interessados, o requerente pode se planejar