Baixe o app para aproveitar ainda mais
Prévia do material em texto
INSTITUTO FEDERAL DE ALAGOAS CÂMPUS MACEIÓ COORDENAÇÃO DE INFORMÁTICA BACHARELADO EM SISTEMAS DE INFORMAÇÃO Classificação da Informação em TI: Análise de um Cenário Professor: Ricardo Rubens Aluno: Allan Denis Muniz Alves Disciplina: Gestão de Segurança da Informação Maceió 2015 2 INSTITUTO FEDERAL DE ALAGOAS CÂMPUS MACEIÓ COORDENAÇÃO DE INFORMÁTICA BACHARELADO EM SISTEMAS DE INFORMAÇÃO Trabalho apresentado como requisito para a disciplina de Gestão de Segurança da Informação do curso de Sistemas de Informação no Instituto Federal de Alagoas. Maceió 2015 3 Sumário Introdução ..................................................................................................................... 4 Levantamento de documentos ..................................................................................... 5 Proteções pré-existentes ........................................................................................... 5 Níveis de classificação e prazos de validade ................................................................. 5 Público ................................................................................................................... 5 Restrito .................................................................................................................. 5 Confidencial ........................................................................................................... 6 Secreto ................................................................................................................... 6 Proteções recomendadas .............................................................................................. 6 Conclusão ...................................................................................................................... 7 Referências .................................................................................................................... 8 4 Introdução Será analisado o seguinte cenário fictício: João tem um pequeno negócio e utiliza seu notebook para gerenciar as informações sobre clientes, estoque, funcionários e pagamentos. Tais informações são armazenadas em planilhas. Como o negócio é pequeno e familiar, sua esposa e filhos também o ajudam. Frequentemente, ele leva seu notebook para casa para trabalhar e algumas vezes sua família também o utiliza. A família é composta por sua esposa, seus dois filhos adolescentes e uma filha ainda criança. Em casa eles possuem somente um computador desktop que é utilizado pela família. As redes de casa e do trabalho são sem fio e de alta velocidade. O filho mais velho estuda informática no IFAL, e treina nos computadores de casa. O procedimento ideal seria a total separação entre trabalho e família. O desktop serviria para uso familiar, enquanto o notebook gerenciaria as informações mais sensíveis, acessíveis apenas pelo empresário. Porém, não é o que ocorre normalmente. Nesse tipo de negócio, família e trabalho se mesclam o tempo todo; recursos armazenados em casa tendem a ser utilizados pela família. Nesse caso, será usada a metodologia que segue, considerando o escopo da informação empresarial, seja comercial, pessoal ou financeira. Para todos os efeitos, considera-se que a família inteira, em níveis diferentes, é capaz de acessar os computadores. 5 Levantamento de documentos João utiliza informação em nuvem na maioria das vezes, mas uma coisa ou outra em papel ou mídia off-line é inevitável. Após inventário minucioso, João separou os documentos da empresa em grandes categorias: Arquivos de RH Documentação contábil Comunicação interna Arquivos de clientes Correspondência Proteções pré-existentes João aprendeu que vale a pena se preparar para os riscos do negócio, e implementou os seguintes controles: Nobreaks estabilizados e antivírus, para garantir a integridade nas transações de informação em nível físico e lógico; Critérios restritos de senha combinados a armazenamento criptografado, para prover confidencialidade no nível adequado; Backups regulares e hardware redundante, a fim de manter a disponibilidade das informações em casos fortuitos, como falha de hardware ou roubo de documentos; Filtro de MAC nos roteadores, para evitar que pessoas não autorizadas acessem sua rede; Níveis de classificação e prazos de validade Assume-se que, ao fim do prazo de validade, o detentor da informação deve decidir por rebaixar ou manter o nível de confidencialidade, sempre no interesse da empresa. É impraticável, principalmente na era digital, elevar a confidencialidade. A fim de proteger corretamente a informação que entra e sai da empresa, João deve considerar os seguintes níveis de classificação: Público Qualquer pessoa pode acessar documentos nesse nível. As categorias incluem balanços financeiros trimestrais para os acionistas, história, missão, visão e valores da empresa, lista de funcionários e como contatá-los, campanhas publicitárias, contratos com consumidores e outros. Na era digital, não faz muito sentido definir prazo de validade para esse nível. Uma vez na rede (ou nas mãos do público para informação em suporte físico), é virtualmente impossível ocultá-la. Nenhuma informação que remotamente se preveja restringir deve se tornar pública. Restrito Apenas funcionários da empresa têm acesso ao nível restrito. Os funcionários devem assinar contratos de confidencialidade no ato da contratação, com sanções incisivas (financeiras, civis 6 e/ou criminais). As categorias incluem correspondência, planos de negócio, estratégias, regulamentos internos, políticas restritas, dossiês de clientes, listas de clientes e fornecedores, dados de pagamento, entre outros. O prazo da informação nesse nível deve caducar com o maior prazo da legislação aplicável. Um cliente devedor, por exemplo, deve ter suas informações de débito protegidas por cinco anos, prazo definido pelo CDC (Código de Defesa do Consumidor, 1990, sec. IV). Confidencial Nível acessível apenas pelo corpo administrativo da empresa (diretores, gerentes e chefes de setor). Idealmente, dependendo da área de atuação de João, a família deveria ser considerada pertencente ao nível de funcionário da empresa. Contudo, como a administração é familiar, João compartilha seu controle com seus parentes, notadamente sua esposa. Assim, o nível confidencial contempla documentos contábeis, patentes, inovações no negócio, falhas gerenciais da empresa, entre outros. As informações confidenciais devem assim permanecer enquanto houver interesse da empresa, mas podem se reduzir a níveis mais baixos se houver conveniência comercial (patentes e inovação, por exemplo) ou de acordo com o interesse do administrador. Secreto Nível de acesso restrito ao proprietário da empresa. Documentos secretos devem ser acessíveis apenas a João. As categorias incluem falhas graves de administradores, acordos comerciais secretos, fontes primárias de informação, negociações vultosas e todo documento que João julgue precisar de proteção. Documentos nesse nível devem nele permanecer enquanto a empresa existir, ou indefinidamente, caso exponha familiares. Toda informação que não é pública deve ser devidamente rotulada. O rótulo pode variar desde etiquetas e capas para papéis até diferentes tags senhas para documentos eletrônicos, cada nível de acesso tendo conjuntosdiferentes das mesmas. Proteções recomendadas João deve armazenar informações do negócio apenas em seu notebook, e protege-lo com senha desde o boot. O computador de casa só deve ser usado para trabalho em último caso. Atenção especial deve ser dada ao armazenamento do notebook em casa, uma vez que o filho que estuda informática apresenta risco de quebra de confidencialidade, enquanto a filha pequena pode danificar o mesmo, oferecendo risco à disponibilidade. Toda informação não pública em suporte físico deve ser armazenada e transmitida em embalagem adequadamente lacrada, devendo ser manuseada apenas por pessoas no mesmo nível de acesso do documento ou por serviço de courier certificado. Depois de expirada a validade, seu descarte deve ser feito por incineração. 7 Toda informação não pública em suporte digital deve ser criptografada. Deve haver senhas diferentes para cada nível de acesso. Informação digital, em tese, não deve precisar de descarte, uma vez que não ocupa espaço. Pode-se considerar arquivo morto criptografado em nuvem. Toda criação de informação não pública, em qualquer suporte, deve ser feita em ambiente restrito a pessoas com o mesmo nível de acesso da mesma. O acesso a arquivos deve ser protegido por fechaduras comuns para nível público, fechaduras eletrônicas para níveis confidencial e restrito e, idealmente, fechaduras por biometria para documentos secretos. Todo acesso deve ser registrado. Conclusão O cenário é bastante otimista, com soluções eficazes e de baixo custo. João pode, caso queira, contratar serviços de auditoria e consultoria em segurança, para verificar a conformidade de seus controles. Após todo aprendizado na classificação de documentos, João precisa comunicar à família e aos funcionários sobre as decisões tomadas, para que haja conscientização. O elo mais fraco na segurança da informação é o fator humano; por isso, uma comunicação eficiente se faz necessária para aperfeiçoar os processos e tratar adequadamente os documentos. Além disso, é preciso monitorar e mensurar a eficácia dos controles, além de gerenciar os novos riscos envolvidos com sua implementação. É um processo contínuo. 8 Referências <ftp://ftp.registro.br/pub/gts/gts15/02-ISO-27005-exemplificada.pdf>. Acessado em 16/01/2015. <http://www.brunomoraes.com.br/governanca-em-ti/wp- content/uploads/2010/11/NBR_ISO27005_ConsultaABNT1.pdf>. Acessado em 16/01/2015. BRASIL, Código de Defesa do Consumidor, 1990. BRASIL, ABNT, NBR ISO/IEC 27002, 2005. Tecnologia da Informação, Técnicas de Segurança, Código de Prática para Gestão da Segurança da Informação. Introdução Levantamento de documentos Proteções pré-existentes Níveis de classificação e prazos de validade Público Restrito Confidencial Secreto Proteções recomendadas Conclusão Referências
Compartilhar