Segurança da Informação: Classificação da Informação

Provavelmente, a queixa mais comum entre as pessoas que trabalham em grandes corporações, é de que têm mais coisas para fazer do que recursos para fazê-las. É possível entender essa situação se olharmos a empresa com uma visão ampliada.

Toda entidade empresarial visa o lucro, isto é, tem por objetivo realizar uma ou mais atividades nas quais se ganhe mais dinheiro do que se gaste. Diante deste princípio básico, o maior pecado que um gestor pode cometer é desperdiçar recursos, isto é, empregar mais recursos em uma atividade do que ela demanda, pois cada centavo gasto desnecessariamente é um centavo a menos de lucro e cujo emprego não gerou valor agregado algum. Então se torna óbvio que manter uma pequena falta de recursos é estrategicamente muito mais interessante do que uma pequena sobra, pois isso protege a empresa contra o desperdício e ajuda a maximizar o lucro.

Note que eu coloquei em negrito a palavra “pequena”. Uma demasiada falta de recursos leva ao fracasso qualquer modelo de gestão que se possa conceber. E, claro, uma demasiada sobra de recursos acaba com a lucratividade e, no limite, com o negócio.

Essa realidade, que todos conhecemos muito bem, exige de todas as pessoas na organização a habilidade de priorizar, ou seja, de escolher dentre todas as demandas, quais são mais importantes. Vale lembrar que uma coisa só pode ser prioritária em detrimento de outras que não são. Um contexto onde tudo é prioritário é idêntico a um contexto onde nada é prioritário, na medida em que, em ambos os casos, não há critério de escolha e de exclusão.

No meu post anterior sobre Matriz de Acesso eu coloquei como essencial identificar junto ao negócio os acessos à informação que são realmente necessários. A priorização a respeito de que informação proteger e de quanta energia empregar nessa proteção também precisa vir do negócio, pois somente os responsáveis pelo negócio sabem dizer, com propriedade, qual a criticidade de cada ativo da informação dentro da empresa.

Apresento a seguir uma metodologia para ajudar a inventariar e identificar a criticidade das informações da empresa junto ao negócio. Com a informação inventariada e separada por criticidade, as ações de Segurança da Informação ficam fáceis de priorizar. Basta escolher os projetos que protegem as informações mais críticas e os ambientes tecnológicos que as abrigam. Acreditem: é muito mais fácil convencer um executivo a investir dinheiro para proteger o projeto e o plano de negócios do seu novo produto do que investir o mesmo dinheiro para proteger um servidor corporativo e os arquivos dentro dele, mesmo que os arquivos contenham justamente o projeto e o plano de negócios. É uma questão de linguagem e comunicação.

O método começa com um documento oficial ou uma instrução normativa que especifique quais são as possíveis classificações para uma informação, que pode ser um relatório, uma tela de sistema, uma planilha ou uma apresentação. O documento também precisa conter os cuidados no tratamento da informação classificada em todas as fases do seu ciclo de vida, isto é, criação, armazenamento, transferência e descarte. Esses cuidados devem variar com cada classificação e com o meio onde informação se encontra, que pode ser digital, em mídia removível ou em papel. Adicionalmente, deve estabelecer a obrigatoriedade de rotular os documentos com a classificação da informação.

As classificações podem variar de nome mas normalmente são quatro. Há as informações públicas, que podem sair livremente das fronteiras da empresa. Há também as que são restritas a colaboradores, mas podem circular livremente dentro da empresa. Temos ainda as que são restritas a grupos específicos de colaboradores. Por fim, há as informações que são restritas exclusivamente a seus donos, como senhas, chaves de criptografia e números de cartão de crédito.

Uma vez definida, aprovada e publicada a norma de classificação da informação deve-se partir para a área de negócio.

Infelizmente perguntar ao agente de negócio “quais são os ativos da informação que você manipula no dia-a-dia” é uma abordagem que não funciona. O próprio conceito de “informação” é muito etéreo para a maioria das pessoas por mais que faça parte da vida delas. O que funcionou muito bem para mim foi perguntar: “Quais são as atividades mais importantes que você realiza?”. E logo em seguida: “Que telas de sistema, relatórios, planilhas ou apresentações essas atividades produzem e que são guardadas ou enviadas a outras pessoas?”. Para cada atividade, que no fundo é um processo de negócio, deve-se registrar as entradas e as saídas e gerar diagramas de tartaruga.

tartaruga

Esse método traz para a Segurança da Informação o inventário de informação da área. Ele é nada mais, nada menos, que a coleção dos produtos das atividades principais da área, isto é, as informações de saída dos processos de negócio principais. Dica importante: evite falar em processos durante esse trabalho. Deve ser chocante ler isso, mas a verdade é que o termo “processo” causa as mais variadas reações emocionais, quase sempre negativas.

Agora que temos o inventário das informações produzidas na área, é preciso atribuir um dono a cada uma delas. Curiosamente, o conceito de dono da informação é impreciso na literatura mas é muito intuitivo para o colaborador da empresa. A palavra “dono” pressupõe poder e em uma estrutura hierárquica todos têm muita facilidade em identificar, dentre as pessoas que se envolvem em um processo, quem tem poder suficiente para ser dono da informação. É moleza. Basta perguntar e o agente de negócio te fala na hora quem é o dono da informação.

Por fim, vem a classificação. A técnica que funcionou para mim é começar pelo extremo, que é mais fácil de entender. Para cada informação identificada nas fases anteriores pergunte:

“Tudo bem se eu mandar esse relatório por e-mail para o nosso maior concorrente?”

A resposta vai revelar imediatamente se a informação é pública ou não. O agente de negócio tem muita sensibilidade sobre o que pode ou não ir para o concorrente.

Caso a informação não seja pública, pergunte:

“Tudo bem se eu mandar essa planilha por e-mail para a empresa inteira?”

A resposta vai revelar se a informação pode circular livremente ou não.

Se a informação não puder circular livremente, chegamos na terceira pergunta, que é a mais complexa.

O colaborador normalmente tem facilidade em separar o que pode ser divulgado a um grupo grande do que pode ser divulgado apenas para um grupo pequeno. Entretanto, possui enorme dificuldade em separar o que pode ser divulgado para um grupo pequeno do que não pode ser divulgado para ninguém, pois diferença parece sutil. Mas ela só é mesmo sutil quando estamos falando da privacidade dos outros. Quando estamos falando da nossa própria privacidade, a distinção é muito mais clara. Na pergunta, cite a informação aplicada à pessoa para provocar a empatia. Veja os exemplos:

  • HOLERIT – Se fosse o seu holerit, eu poderia mandar para os seus colegas de trabalho?
  • SENHA – Podemos passar a sua senha do banco para seu cunhado?
  • PLANILHA FINANCEIRA – Posso mandar sua planilha de gastos familiares para seus vizinhos?

Feitas as perguntas dessa forma, a respostas revelarão se a informação em questão deve ser tratada como restrita a seu dono ou se poderá ser divulgada a pequenos grupo devidamente especificados.

classificacaoVejam ao lado como fica isso em forma de fluxo.

Encerrado esse trabalho, teremos uma lista de ativos da informação, com seus devidos donos e suas classificações.

Ao identificarmos os ativos de tecnologia que abrigam essas informações e aplicarmos as regras de tratamento da informação saberemos exatamente quais medidas de segurança são necessárias e com o correto balanceamento da relação custo/benefício.

Mais importante que isso, saberemos por onde começar, o que priorizar e tudo isso na perspectiva do negócio e não da tecnologia.

Só então, com a lição de casa bem feita, nós profissionais de Segurança da Informação podemos “ir para o recreio” e nos divertirmos bastante com ethical hacking, SIEM, criptografia, hardening, zero-days, honeypots, etc.

A empresa, apesar não entender os detalhes do que estamos fazendo, ficará tranquila pois saberá que estamos aplicando nossa energia, inteligência e conhecimento para proteger o que realmente importa: o negócio.

Um abraço e até o próximo post!


1 Comentários

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!