Buscar

Classificação da Informação

IFAL

1
Dislike0
1
Dislike0
Comment0
User badge image

Allan Denis

E aí, curtiu este material?

Ajude a incentivar outros estudantes a melhorar o conteúdo

Gostou desse material? Compartilhe! 🧡

LikeFooter
DislikeFooter

Gestão de Segurança da Informação

13.559 Materiais compartilhados

mobile

Baixe o app para aproveitar ainda mais

Leia os materiais offline, sem usar a internet. Além de vários outros recursos!

Prévia do material em texto

INSTITUTO FEDERAL DE ALAGOAS 
CÂMPUS MACEIÓ 
COORDENAÇÃO DE INFORMÁTICA 
BACHARELADO EM SISTEMAS DE INFORMAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
 
Classificação da Informação em TI: 
Análise de um Cenário 
 
Professor: Ricardo Rubens 
Aluno: Allan Denis Muniz Alves 
Disciplina: Gestão de Segurança da Informação 
 
 
Maceió 
2015 
 
2 
 
 
 
INSTITUTO FEDERAL DE ALAGOAS 
CÂMPUS MACEIÓ 
COORDENAÇÃO DE INFORMÁTICA 
BACHARELADO EM SISTEMAS DE INFORMAÇÃO 
 
 
 
 
 
 
 
 
 
 
 
 
Trabalho apresentado como requisito para a 
disciplina de Gestão de Segurança da Informação do 
curso de Sistemas de Informação no Instituto 
Federal de Alagoas. 
 
 
 
 
 
 
Maceió 
2015 
3 
 
 
 
Sumário 
Introdução ..................................................................................................................... 4 
Levantamento de documentos ..................................................................................... 5 
Proteções pré-existentes ........................................................................................... 5 
Níveis de classificação e prazos de validade ................................................................. 5 
Público ................................................................................................................... 5 
Restrito .................................................................................................................. 5 
Confidencial ........................................................................................................... 6 
Secreto ................................................................................................................... 6 
Proteções recomendadas .............................................................................................. 6 
Conclusão ...................................................................................................................... 7 
Referências .................................................................................................................... 8 
 
 
4 
 
 
 
Introdução 
Será analisado o seguinte cenário fictício: 
João tem um pequeno negócio e utiliza seu notebook para gerenciar as 
informações sobre clientes, estoque, funcionários e pagamentos. Tais informações são 
armazenadas em planilhas. Como o negócio é pequeno e familiar, sua esposa e filhos 
também o ajudam. Frequentemente, ele leva seu notebook para casa para trabalhar e 
algumas vezes sua família também o utiliza. A família é composta por sua esposa, seus dois 
filhos adolescentes e uma filha ainda criança. Em casa eles possuem somente um 
computador desktop que é utilizado pela família. As redes de casa e do trabalho são sem fio e 
de alta velocidade. O filho mais velho estuda informática no IFAL, e treina nos computadores 
de casa. 
O procedimento ideal seria a total separação entre trabalho e família. O desktop 
serviria para uso familiar, enquanto o notebook gerenciaria as informações mais sensíveis, acessíveis 
apenas pelo empresário. 
Porém, não é o que ocorre normalmente. Nesse tipo de negócio, família e trabalho 
se mesclam o tempo todo; recursos armazenados em casa tendem a ser utilizados pela família. Nesse 
caso, será usada a metodologia que segue, considerando o escopo da informação empresarial, seja 
comercial, pessoal ou financeira. 
Para todos os efeitos, considera-se que a família inteira, em níveis diferentes, é capaz 
de acessar os computadores. 
 
5 
 
 
 
Levantamento de documentos 
João utiliza informação em nuvem na maioria das vezes, mas uma coisa ou outra em 
papel ou mídia off-line é inevitável. Após inventário minucioso, João separou os documentos da 
empresa em grandes categorias: 
 Arquivos de RH 
 Documentação contábil 
 Comunicação interna 
 Arquivos de clientes 
 Correspondência 
Proteções pré-existentes 
João aprendeu que vale a pena se preparar para os riscos do negócio, e implementou 
os seguintes controles: 
 Nobreaks estabilizados e antivírus, para garantir a integridade nas transações 
de informação em nível físico e lógico; 
 Critérios restritos de senha combinados a armazenamento criptografado, 
para prover confidencialidade no nível adequado; 
 Backups regulares e hardware redundante, a fim de manter a disponibilidade 
das informações em casos fortuitos, como falha de hardware ou roubo de 
documentos; 
 Filtro de MAC nos roteadores, para evitar que pessoas não autorizadas 
acessem sua rede; 
Níveis de classificação e prazos de validade 
Assume-se que, ao fim do prazo de validade, o detentor da informação deve decidir 
por rebaixar ou manter o nível de confidencialidade, sempre no interesse da empresa. É 
impraticável, principalmente na era digital, elevar a confidencialidade. 
A fim de proteger corretamente a informação que entra e sai da empresa, João deve 
considerar os seguintes níveis de classificação: 
Público 
Qualquer pessoa pode acessar documentos nesse nível. As categorias incluem 
balanços financeiros trimestrais para os acionistas, história, missão, visão e valores da empresa, lista 
de funcionários e como contatá-los, campanhas publicitárias, contratos com consumidores e outros. 
Na era digital, não faz muito sentido definir prazo de validade para esse nível. Uma 
vez na rede (ou nas mãos do público para informação em suporte físico), é virtualmente impossível 
ocultá-la. Nenhuma informação que remotamente se preveja restringir deve se tornar pública. 
Restrito 
Apenas funcionários da empresa têm acesso ao nível restrito. Os funcionários devem 
assinar contratos de confidencialidade no ato da contratação, com sanções incisivas (financeiras, civis 
6 
 
 
 
e/ou criminais). As categorias incluem correspondência, planos de negócio, estratégias, 
regulamentos internos, políticas restritas, dossiês de clientes, listas de clientes e fornecedores, dados 
de pagamento, entre outros. 
O prazo da informação nesse nível deve caducar com o maior prazo da legislação 
aplicável. Um cliente devedor, por exemplo, deve ter suas informações de débito protegidas por 
cinco anos, prazo definido pelo CDC (Código de Defesa do Consumidor, 1990, sec. IV). 
Confidencial 
Nível acessível apenas pelo corpo administrativo da empresa (diretores, gerentes e 
chefes de setor). Idealmente, dependendo da área de atuação de João, a família deveria ser 
considerada pertencente ao nível de funcionário da empresa. Contudo, como a administração é 
familiar, João compartilha seu controle com seus parentes, notadamente sua esposa. 
Assim, o nível confidencial contempla documentos contábeis, patentes, inovações no 
negócio, falhas gerenciais da empresa, entre outros. 
As informações confidenciais devem assim permanecer enquanto houver interesse 
da empresa, mas podem se reduzir a níveis mais baixos se houver conveniência comercial (patentes e 
inovação, por exemplo) ou de acordo com o interesse do administrador. 
Secreto 
Nível de acesso restrito ao proprietário da empresa. Documentos secretos devem ser 
acessíveis apenas a João. As categorias incluem falhas graves de administradores, acordos comerciais 
secretos, fontes primárias de informação, negociações vultosas e todo documento que João julgue 
precisar de proteção. 
Documentos nesse nível devem nele permanecer enquanto a empresa existir, ou 
indefinidamente, caso exponha familiares. 
Toda informação que não é pública deve ser devidamente rotulada. O rótulo pode 
variar desde etiquetas e capas para papéis até diferentes tags senhas para documentos eletrônicos, 
cada nível de acesso tendo conjuntosdiferentes das mesmas. 
Proteções recomendadas 
João deve armazenar informações do negócio apenas em seu notebook, e protege-lo 
com senha desde o boot. O computador de casa só deve ser usado para trabalho em último caso. 
Atenção especial deve ser dada ao armazenamento do notebook em casa, uma vez que o filho que 
estuda informática apresenta risco de quebra de confidencialidade, enquanto a filha pequena pode 
danificar o mesmo, oferecendo risco à disponibilidade. 
Toda informação não pública em suporte físico deve ser armazenada e transmitida 
em embalagem adequadamente lacrada, devendo ser manuseada apenas por pessoas no mesmo 
nível de acesso do documento ou por serviço de courier certificado. Depois de expirada a validade, 
seu descarte deve ser feito por incineração. 
7 
 
 
 
Toda informação não pública em suporte digital deve ser criptografada. Deve haver 
senhas diferentes para cada nível de acesso. Informação digital, em tese, não deve precisar de 
descarte, uma vez que não ocupa espaço. Pode-se considerar arquivo morto criptografado em 
nuvem. 
Toda criação de informação não pública, em qualquer suporte, deve ser feita em 
ambiente restrito a pessoas com o mesmo nível de acesso da mesma. 
O acesso a arquivos deve ser protegido por fechaduras comuns para nível público, 
fechaduras eletrônicas para níveis confidencial e restrito e, idealmente, fechaduras por biometria 
para documentos secretos. Todo acesso deve ser registrado. 
Conclusão 
O cenário é bastante otimista, com soluções eficazes e de baixo custo. João pode, 
caso queira, contratar serviços de auditoria e consultoria em segurança, para verificar a 
conformidade de seus controles. 
Após todo aprendizado na classificação de documentos, João precisa comunicar à 
família e aos funcionários sobre as decisões tomadas, para que haja conscientização. O elo mais fraco 
na segurança da informação é o fator humano; por isso, uma comunicação eficiente se faz necessária 
para aperfeiçoar os processos e tratar adequadamente os documentos. 
 Além disso, é preciso monitorar e mensurar a eficácia dos controles, além de 
gerenciar os novos riscos envolvidos com sua implementação. É um processo contínuo. 
 
8 
 
 
 
 
Referências 
 
<ftp://ftp.registro.br/pub/gts/gts15/02-ISO-27005-exemplificada.pdf>. Acessado em 
16/01/2015. 
<http://www.brunomoraes.com.br/governanca-em-ti/wp-
content/uploads/2010/11/NBR_ISO27005_ConsultaABNT1.pdf>. Acessado em 16/01/2015. 
BRASIL, Código de Defesa do Consumidor, 1990. 
BRASIL, ABNT, NBR ISO/IEC 27002, 2005. Tecnologia da Informação, Técnicas de 
Segurança, Código de Prática para Gestão da Segurança da Informação. 
 
	Introdução
	Levantamento de documentos
	Proteções pré-existentes
	Níveis de classificação e prazos de validade
	Público
	Restrito
	Confidencial
	Secreto
	Proteções recomendadas
	Conclusão
	Referências

Continue navegando

Materiais relacionados

41 pág.
Home Office e Acesso Remoto

User badge image

Felipe R

19 pág.
Projeto integrador - Segurança em Sistemas de Informação - EAD

UNISA

User badge image

Jefferson Ramos

36 pág.
SEGURANÇA-EM-BANCO-DE-DADOS-1

UNINASSAU

User badge image

eneidamedeiros

19 pág.
CAIXA ECONÔMICA - TÉCNICO BANCARIO ( TI )

UNIASSELVI

User badge image

Carla Castro

Perguntas relacionadas

Question Icon

Em que consiste o processo de classificação da Informação? O processo de classificação da informação consiste em identificar quais são os níveis d...

User badge image

Desafios para Aprender

Question Icon

O processo de classificação da informação consiste em organizar as informações pelo seu grau de importância e, a partir daí, definir quais os nívei...

User badge image

Questões Para o Saber

Question Icon

Analise as proposições sobre classificação das informações: I - As informações podem ser categorizadas como pessoais, de segurança nacional e de n...

User badge image

Estudo Através de Questões

Question Icon

Analise as proposições a seguir sobre a classificação das informações. I – As informações podem ser categorizadas como: Pessoais, de Segurança Nac...

User badge image

Estudando com Questões

Outros materiais