O que são as classificações de segurança?

Criptografia entre aparelho diferentes

Sabemos que as oportunidades criadas pelas novas tecnologias não estão necessariamente acompanhadas por um viés ético intrínseco – basta pensarmos, por exemplo, que as primeiras impressoras pós-Gutenberg já espalhavam mentiras e difamações tão rapidamente quanto a verdade. Portanto, não é surpresa alguma que a internet seja hoje usada como forma de perpetrar toda uma miríade de novos crimes, o que tem criado desafios sem precedentes para as vítimas –  sejam elas usuários ou empresas.

Uma hipótese sustenta que o aumento nos crimes tecnológicos indica uma tendência para a diminuição de certos crimes levados a cabo de forma “tradicional” – afinal, invadir remotamente uma conta bancária é mais seguro e cômodo para os criminosos do que roubar o cofre de um banco à mão armada. 

Assim, a previsão é a de que o cibercrime aumente nas próximas décadas e se torne um problema cada mais central em todas as sociedades. A tendência é também que as diferenças entre uma e outra formas de crime sejam aos poucos atenuadas, e deixem de ser vistas como esferas distintas, tal como acontecia nos primeiros estágios da era da internet. 

Isso terá um efeito imediato nas formas de responder às ameaças online. Das delegacias especializadas na investigação e no combate ao cibercrime aos softwares cada vez mais sofisticados, as respostas disponíveis já estão cada vez mais eficazes. 

Então, por que os crimes online continuam a aumentar e a causar prejuízos enormes? 

Afinal, conforme apontamos em artigo recente aqui no blog, tais prejuízos correspondem ao PIB da 22.ª maior economia do mundo.

A resposta para essa pergunta está, em parte, na constatação de que ainda prevalece uma certa negligência por parte das empresas no enfrentamento deste assunto tão sério. Segundo um estudo da Varonis feito em parceria com a Forrester Consulting em 2017, 62% das organizações não sabem onde está a maior parte dos seus dados sensíveis e 66% não categorizam esses dados de maneira apropriada. São inúmeros impressionantes, que mostram brechas nas políticas de segurança dessas empresas.

Levando em conta essa realidade, o post de hoje é inteiramente dedicado às classificações de segurança aplicadas ao universo da internet. Mostraremos, passo a passo, como implementar a classificação de segurança, para que ela serve e por que é algo importante no estabelecimento da política de segurança de qualquer empresa. Continue a leitura e saiba mais!

Primeiro passo: inventário de ativos

O já mencionado estudo da Varonis traz ainda outros dados importante. A pesquisa mostrou que 59% das empresas entrevistadas não contam com um modelo de privilégios mínimos de acesso a dados sigilosos; 63% delas não auditam o uso desses dados ou emitem alertas em casos de mau uso; e 93% sofrem com desafios técnicos constantes relacionados à sua atual abordagem de segurança de dados.

Esses dados corroboram a ideia de que existe um problema sério de conscientização nas empresas em relação à importância da proteção aos dados e de informações. A classificação de segurança serve para colmatar essas brechas, pois incentiva as empresas a auditarem seus dados e a definir, de forma clara, como proceder com cada um deles.

Antes de mais, é preciso lembrar que qualquer organização possui diversos processos atrelados ao seu negócio. Por eles, circulam vários tipos de informações, com naturezas muito diferentes – dos dados de clientes aos relatórios de vendas mensais, por exemplo. É, portanto, extremamente difícil pensarmos em uma política de segurança efetiva e de prevenção de danos sem classificarmos as informações de uma forma objetiva e eficaz.

Assim, o primeiro passo é desenvolver o que chamamos de um “inventário de ativos”. Para que a empresa saiba quais informações devem ser classificadas, é preciso levar a cabo um levantamento exaustivo dos dados que circulam pelos diversos setores. Essas informações podem estar em diferentes formatos e tipos de mídia, como, por exemplo, documentos eletrônicos ou em papel, sistemas de informação / bases de dados, mídias de armazenamento (pen drives, discos, cartões de memória, etc.), informações verbais, e-mails, entre outros. 

Em seguida, é preciso ter uma ideia do conteúdo de cada um desses dados e documentos. Por exemplo, é preciso inquirir que tipo de informações eles revelam – relatórios de vendas, dados de clientes, balancetes contábeis, etc.

Classificando os dados 

Uma vez feito esse primeiro levantamento, podemos, em seguida, passar à etapa de classificação.

Certamente, quanto maior e mais complexa for a sua organização, mais níveis de classificação ela terá. Contudo, podemos falar, de forma geral, em quatro níveis de segurança para classificar determinada informação. Vejamos abaixo quais são eles:

– Pública (todos podem ver a informação);

– Uso interno (o mais baixo nível de confidencialidade);

– Uso restrito (médio nível de confidencialidade);

– Confidencial (o mais alto nível de confidencialidade).

Essas classificações podem ter designações diferentes, mas os princípios que subjazem a cada uma delas são, basicamente, os seguintes:

– as informações públicas podem circular livremente fora das fronteiras da empresa. Para definir se um dado pode ser incluído nesta categoria, podemos, por exemplo, nos perguntar: “eu mandaria este relatório por e-mail para o nosso maior concorrente?”;

– as informações de uso interno são restritas ao público externo, mas circulam livremente pela empresa. Podemos, por exemplo, nos perguntar: “posso afixar esta planilha no refeitório da empresa?”;

– as informações restritas são direcionadas apenas a grupos específicos de colaboradores, ou seja, nem todos na empresa podem ter acesso a elas;

– por último, as informações confidenciais devem ser restritas exclusivamente a seus donos – por exemplo, as senhas, as chaves de criptografia, os números de cartão de crédito e outros dados específicos.

Uma vez classificada a informação, é preciso desenvolver uma espécie de protocolo de segurança – ele irá definir os trâmites a serem observados para cada tipo de ativo de informação. Em termos práticos, essa classificação pode ser feita usando uma tabela específica. 

Após a conclusão desses primeiros passos, é possível contar com a ajuda de ferramentas de prevenção de dados (ou ferramenta de DLP – Data Loss Prevention). Há ferramentas que vêm com uma funcionalidade que proporciona a integração aos aplicativos de edição, geração e movimentação de documentos. Se um documento criado no computador requerer senha interna para ser acessado por determinado setor, a ferramenta pode ajudar nessa gestão de autorização de acesso. A classificação de segurança permite, assim, identificar, por exemplo, arquivos confidenciais no momento em que são criados.

Uma empresa que estabelece e coloca em prática uma classificação de segurança ficará tranquila, pois saberá que a sua informação, um dos mais importantes ativos de qualquer negócio, está protegida das ameaças do cibercrime.

Na Sysdata, contamos com soluções específicas para ajudar as organizações nessa tarefa tão desafiadora. Aproveite a sua visita ao nosso blog e conheça melhor os nossos serviços. Não adie a segurança da sua empresa: entre em contato conosco e faça uma avaliação agora mesmo.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *