Classificação e controle dos ativos de informação

Prévia do material em texto

07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 1/6
Classificação e controle dos ativos de
informação
ENTENDER A IMPORTÂNCIA DE CLASSIFICAR E CONTROLAR OS ATIVOS DA EMPRESA, PORQUE
ATRAVÉS DA CLASSIFICAÇÃO CONSEGUIMOS IDENTIFICAR O NÍVEL DE SEGURANÇA NECESSÁRIO.
Introdução
Segundo Dias (p. 48), a política de segurança é um mecanismo preventivo de proteção dos dados e
processos importantes de uma organização e define um padrão de segurança a ser seguido pelo corpo
técnico e gerencial e pelos usuários internos e externos.
Pode ser usada para definir as interfaces entre usuários, fornecedores e parceiros e para medir a qualidade e
a segurança dos sistemas atuais.
A política de segurança da informação deve estabelecer princípios institucionais de como a organização irá
proteger, controlar e monitorar os seus recursos computacionais e, consequentemente, as informações por
eles manipuladas.
É importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a
segurança e discrimine as principais ameaças, riscos e impactos envolvidos.
Para uma completa e efetiva implantação da política de segurança da informação, é imprescindível que
sejam envolvidas a alta gerência de segurança de informações, a de recursos e finanças, os vários gerentes e
proprietários dos sistemas informatizados e, finalmente, os usuários.
Para conhecer um pouco mais sobre essas atividades, assista a animação abaixo. 
Esta animação faz parte da sequência desta aula e, portanto, é essencial para a aprendizagem.
ANIMAÇÃO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a02vp01_ausi80_100.htm)
Tópicos importantes
A política de segurança da informação da organização pode apresentar, em maior ou menor detalhe, os
responsáveis pela implementação da política, sua linha gerencial e os instrumentos de controle e
supervisão de seu trabalho.
01 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 2/6
A política normalmente contém princípios legais e éticos a serem atendidos no que diz respeito à
informática, direitos e propriedades de produção intelectual, direitos sobre software e normas legais
correlatas aos sistemas desenvolvidos, princípio de implementação da segurança de informação, políticas e
controles de acesso a recursos e sistemas computacionais e princípios de supervisão constante das
tentativas de violação da segurança de informação.
Para conhecer um pouco mais sobre essas atividades, veja o infográfico abaixo. 
Este infográfico faz parte da sequência desta aula e, portanto, é essencial para a aprendizagem.
INFOGRÁFICO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a02if01_ausi80_100.htm)
Processo de implantação
Como toda política institucional, a de segurança da informação passa por um processo formal de
implantação relativamente longo. É aconselhável que esse processo seja flexível o suficiente para permitir
atualizações da política conforme necessidades. As principais fases desse processo são:
Identificação dos recursos críticos.
Classificação das informações.
Definição, em linhas gerais, dos objetivos de segurança a serem atingidos.
Análise das necessidades de segurança (identificação das possíveis ameaças, análise de riscos e impactos).
Elaboração de proposta de política.
Discussões abertas com os envolvidos.
Apresentação de documento formal a gerência superior.
Aprovação.
Implementação.
Avaliação da política e identificação da mudança necessária.
Revisão.
Vamos comentar a respeito do item classificação da informação.
Classificação das informações
Diferentes tipos de informações devem ser protegidos de diferentes maneiras. Por isso, a classificação é um
dos primeiros passos para o estabelecimento de uma política de segurança da informação.
Uma vez classificada a informação, a política pode definir como tratá-la de acordo com sua classe,
escolhendo os mecanismos de segurança mais adequados.
Partindo do princípio de que toda informação tem um dono, nada mais acertado do que solicitar que ele
faça a classificação, pois é a pessoa com mais condições de aferir o quanto sua informação é sensível.
02 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 3/6
Classificação quanto à forma de apresentação
Um ativo de informação pode ser classificado quanto à forma de apresentação, em:
Eletrônico.
Impresso.
Falado.
Classificação quanto à criticidade do ativo de
informação
Um ativo de informação deve ser classificado, quanto ao tipo, em:
Públicas ou de uso restrito: as informações e os sistemas assim classificados podem ser divulgados a
qualquer pessoa sem que haja implicações para a instituição. 
Exemplos: serviços de informação ao público em geral, informações divulgadas à imprensa ou pela
internet.
Internas ou de uso interno: as informações e os sistemas assim classificados não devem sair do âmbito da
instituição, porém, se isso ocorrer, as consequências não são críticas. 
Exemplos: serviços e informação interna ou documentos de trabalho corriqueiros que só interessam aos
funcionários.
Confidenciais: informações e sistemas tratados como confidenciais dentro da instituição são protegidos
contra acesso externo. O acesso a esses sistemas e informações é feito de acordo com sua estrita
necessidade, isto é, os usuários só podem acessá-los se forem fundamentais para o desempenho
satisfatório de suas funções na instituição. O acesso não autorizado a esses dados e sistemas pode
comprometer o funcionamento da instituição, causar danos financeiros ou perda de fatias de mercado
para o concorrente. 
Exemplos: dados pessoais de cliente e funcionários, senhas, informações sobre vulnerabilidades de
segurança dos sistemas institucionais, contratos, balanços etc.
Secretas: o acesso interno ou externo de pessoas não autorizadas a esse tipo de informação é
extremamente crítico para a instituição. É imprescindível que o número de pessoas autorizadas seja muito
restrito e o controle sobre o uso dessas informações seja total. 
Exemplos: dados militares e de segurança nacional.
Rótulo de ativo de informação
Todo ativo de informação classificado como pessoal, restrito ou confidencial, quando apresentado de forma
impressa ou eletrônica, deve ser rotulado.
03 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 4/6
Informações presentes no rótulo
O rótulo de ativo de informação deve conter as seguintes informações:
Título: título do ativo de informação.
Versão: versão do ativo de informação.
Data de emissão: data da última emissão do ativo de informação. Para os ativos de informação nas fases
de desenvolvimento ou minuta, deve constar a data da última modificação.
Classificação de segurança: públicas, internas, confidencias etc.
Autor (es): identificação dos autores do ativo de informação.
Identificação do proprietário: papel da pessoa, departamento ou entidade proprietária da informação.
Quando for documento de entidade externa, deve ser informada qual a entidade proprietária ou entidade
que disponibilizou a informação.
Identificação do aprovador: pessoa responsável pela aprovação do documento. Necessária somente para os
ativos de informação do tipo documento (diretriz, norma, procedimento,...).
Autorizações de acesso: conjunto de pessoas ou entidades que podem ter acesso ao ativo de informação.
Restrições de cópia: devem ser informadas eventuais restrições em relação à cópia eletrônica, cópia física
ou impressão do documento.
Para conhecer um pouco mais sobre essas atividades, veja o infográfico abaixo. 
Este infográfico faz parte da sequência desta aula e, portanto, é essencial para a aprendizagem.
Componentes de rotulagem
Para possibilitar a aplicação de controles de segurançaassociados à classificação da informação, é
recomendado que os componentes de rotulagem relacionados a seguir devam estar presentes em diferentes
locais, dependendo do formato de apresentação.
Componente
de
Rotulagem
Descrição
Página de
rosto
Página de rosto contendo título, versão, data, classificação, proprietário, autorizações de
acesso e restrições de cópia.
Rodapé Rodapé presente em todas as páginas, exceto na página de rosto, contendo título, versão, data
e classificação do ativo da informação.
Rótulo em
mídia
Rótulo em mídia de armazenamento removível contendo título da mídia, título do conteúdo,
versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.
Rótulo em
invólucro
Rótulo em mídia de armazenamento removível contendo título da mídia, título do conteúdo,
versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.
  04 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 5/6
T i d l b d i â i d l i f ã i
Na próxima aula nos aprofundaremos mais nos conceitos e na preocupação que as empresas devem ter com
a informação, tanto na parte física como na parte lógica.
A seguir, preencha a(s) lacuna(s) com a(s) palavra(s) adequada(s) às afirmações.
EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a02ex01_ausi80_100.htm)
Componente
de
Rotulagem
Descrição
Página de
rosto
Página de rosto contendo título, versão, data, classificação, proprietário, autorizações de
acesso e restrições de cópia.
Rodapé Rodapé presente em todas as páginas, exceto na página de rosto, contendo título, versão, data
e classificação do ativo da informação.
Rótulo em
mídia
Rótulo em mídia de armazenamento removível contendo título da mídia, título do conteúdo,
versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.
Rótulo em
invólucro
Rótulo em mídia de armazenamento removível contendo título da mídia, título do conteúdo,
versão, data, classificação, proprietário, autorizações de acesso e restrições de cópia.
Para memorizar os conhecimentos adquiridos nesta aula, clique no botão a seguir 
e faça o caça-palavras proposto.
EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a02ex02_ausi80_100.htm)
Estimule seu raciocínio com o jogo da forca, clique no botão a seguir.
EXERCÍCIO (https://ead.uninove.br/ead/disciplinas/web/_g/ausi80_100/a02ex03_ausi80_100.htm)
REFERÊNCIA
ALVES, Gustavo Alberto. Uma Visão Inovadora da Gestão. Rio de Janeiro: Ciência Moderna, 2006.
DIAS, Cláudia. Segurança e Auditoria da Tecnologia da Informação. Rio de Janeiro: Axcel Books, 2000.
SÊMOLA, Marcos. Gestão da Segurança da Informação. Rio de Janeiro: Campus, 2003.
05 / 05
07/04/2018 AVA UNINOVE
https://ava.uninove.br/seu/AVA/topico/container_impressao.php 6/6