Os níveis adequados de proteção à segurança da informação
O que é um dado pessoal sensível? O que é o tratamento da informação? Quem é o proprietário da informação? Por que fazer a rotulação da informação? Essas indagações estão sendo exibidas na NBR 16167 de 12/2020 - Segurança da informação - Diretrizes para classificação, rotulação, tratamento e gestão da informação.
Equipe Target
NBR 16167 de 12/2020 – Segurança da informação – Diretrizes para classificação, rotulação, tratamento e gestão da informação
A NBR 16167 de 12/2020 – Segurança da informação – Diretrizes para classificação, rotulação, tratamento e gestão da informação estabelece as diretrizes para classificação, rotulação, tratamento e gestão da informação, de acordo com a sua sensibilidade e criticidade para a organização, visando o estabelecimento de níveis adequados de proteção. A classificação da informação é a ação de definir o nível de relevância da informação, a fim de assegurar que a informação receba um nível adequado de proteção, conforme seu valor, requisitos legais, sensibilidade e criticidade para a organização. Já a rotulação da informação é o registro, nas informações, do nível de classificação e do grupo de acesso atribuído a estas informações e a gestão da informação é o conjunto de ações referentes ao estabelecimento de diretrizes de tratamento e proteção da informação, em função do seu nível de classificação, envolvendo todas as etapas do seu ciclo de vida.
Convém que as pessoas somente tenham acesso às informações que sejam necessárias, direta ou indiretamente, ao desenvolvimento de suas atividades de trabalho e demais responsabilidades associadas, dentro da organização. Convém que as informações proprietárias e não proprietárias da organização, utilizadas durante as suas atividades, sejam classificadas de acordo com o nível de sensibilidade que representam para o negócio, para indicar a necessidade, a prioridade e o nível esperado de proteção, quando de seu tratamento pelos colaboradores e demais partes interessadas pertinentes.
Convém que toda e qualquer informação crítica e sensível, seja em meio físico ou eletrônico, seja rotulada com a sua classificação durante todo o seu ciclo de vida. Convém que qualquer pessoa em posse de uma informação respeite a sua classificação e todas as atribuições estabelecidas pelo seu rótulo durante o tratamento.
Convém que seja desenvolvido um processo amplo de conscientização, treinamento e educação, visando disseminar a cultura de classificação e gestão da informação. Convém que seja implantado um processo de auditoria, monitoramento e medição para verificação da aderência do processo de classificação e gestão da informação e obtenção de sugestões de melhoria.
Convém que o papel de proprietário da informação seja definido e que este seja responsável por sua classificação e definição do grupo de acesso. Cabe ao proprietário a responsabilidade de definir e periodicamente realizar a análise crítica da classificação da informação e dos controles de acesso, levando em conta as políticas, a legislação vigente e os controles aplicáveis
O proprietário da informação pode delegar esta atividade para os responsáveis pelos processos que geram as informações, porém a responsabilidade continua sendo do proprietário. No caso de dúvidas sobre a classificação de determinada informação, recomenda-se recorrer ao proprietário da informação.
Convém que os proprietários das informações cuidem para que todas as informações sob sua responsabilidade sejam classificadas e rotuladas. Convém que o papel de custodiante da informação seja definido nas áreas da organização, visando facilitar a implantação da cultura de classificação da informação, o acompanhamento das ações realizadas e o suporte às dúvidas dos usuários da informação.
Convém que seja atribuída a todos os funcionários, colaboradores e demais partes interessadas pertinentes, a responsabilidade por tratar as informações de acordo com a sua classificação e com as diretrizes de tratamento e gestão estabelecidas pela organização. Convém que, no processo de classificação, sejam considerados o valor da informação, os requisitos legais, a sensibilidade, a criticidade, o ciclo de vida e o prazo de validade da informação, a necessidade de compartilhamento e restrição, a análise de riscos e os impactos para o negócio.
Convém que o proprietário da informação realize a sua classificação de acordo com os critérios estabelecidos nesta norma e que considere: o momento em que a informação é gerada ou inserida nos processos da organização; o momento em que é identificada uma informação que ainda não foi classificada; a presença de dado pessoal e/ou de dado pessoal sensível. Convém que o processo de classificação de uma determinada informação contemple a análise crítica periódica, visando assegurar que o nível de classificação e proteção continue adequado e atualizado.
Se pertinente, pode ocorrer a reclassificação da informação quando: for identificada uma informação incorretamente classificada; ocorrerem mudanças no contexto de valor das informações durante o seu ciclo de vida; forem atendidos os requisitos legais ou as mudanças em processos internos da organização; vencer o prazo de temporalidade da classificação de uma determinada informação; for atingido o fim do ciclo de vida da informação. Todos os usuários precisam comunicar ao proprietário da informação a inexistência ou inconsistência na classificação da informação.
Entretanto, cabe ao proprietário da informação a responsabilidade por definir ou rever a classificação. Convém que as informações de origem externa que participam dos processos da organização, como relatórios de partes interessadas pertinentes, informações e documentos de clientes e fornecedores, correspondências, etc., sejam tratadas de acordo com o nível de criticidade e sensibilidade estabelecido pelo responsável externo.
Convém que seja considerado o estabelecimento de acordo formal de confidencialidade com terceiros, que preveja a correta transferência, identificação, classificação e tratamento da informação entre as organizações, visando a segurança da informação. Convém que atenção especial seja dada na interpretação dos rótulos de classificação sobre documentos de outras organizações, que podem ter definições diferentes para rótulos iguais ou semelhantes aos usados.
As informações de origem externa são aquelas que não são de propriedade da organização. Convém que os acordos com terceiros sejam estabelecidos com os mesmos níveis ou níveis superiores de proteção dos dados e informações. Convém que a organização considere a criação de classes de informação para simplificar a tarefa de classificação.
Convém que o processo de classificação da informação seja considerado para especificação dos requisitos de segurança da informação dos ambientes físicos que armazenam informações sensíveis. Convém que a organização considere a instalação de controles apropriados de proteção, como, por exemplo, a instalação de sistemas adequados e controle de acesso, monitoração por CFTV, entre outros, etc.
Convém que a organização considere a viabilidade de utilização de um sistema informatizado para apoiar o processo de classificação, rotulação e gestão da informação. Convém que sejam especificados pela organização os processos disciplinares adequados para apoiar no tratamento dos desvios realizados pelas pessoas em relação às diretrizes desta norma, conforme a NBR ISO IEC 27002:2013, 7.2.3. Convém que todos os funcionários, colaboradores e demais partes interessadas pertinentes fornecedores e terceiros que tenham acesso a informações proprietárias assinem um termo de confidencialidade ou de não divulgação antes de receberem o acesso aos recursos de processamento da informação.
Convém que o proprietário da informação seja comunicado formal e imediatamente quando houver suspeita de que uma informação foi comprometida, divulgada sem autorização, roubada, adulterada ou perdida. Convém se que evite a criação de esquemas de classificação muito complexos utilizando diversos níveis, pois isto pode engessar o processo e o fluxo de informação, por meio da aplicação de controles desnecessários (ver NBR ISO/IEC 27002:2013, 8.1.2).
Em contrapartida, poucos níveis podem gerar uma falsa sensação de segurança, devido ao relaxamento na classificação ou mesmo à perda de recursos por gestão além do necessário. Uma referência básica para o estabelecimento dos níveis de classificação é apresentada na tabela abaixo. A titulação de cada nível é definida pela organização.
A gestão da informação é o objetivo final do processo. Por meio da gestão adequada da classificação das informações, os controles e a proteção adequada são providos, visando assegurar sua confidencialidade, integridade e disponibilidade.
Para viabilizar este processo, convém que sejam identificados os cenários de fluxo de informações que ocorrem no dia a dia das organizações e, para cada cenário, convém que sejam estabelecidas as diretrizes básicas de gestão e tratamento em função do nível de classificação da informação. Convém que os cenários estejam baseados em todas as formas de tratamento da informação. Estes cenários e respectivas diretrizes formam o senso comum para a gestão da informação, de modo que, independentemente de pessoas e áreas, o tratamento seja o mesmo para as diversas situações.
FONTE: Equipe Target
