classificação, ainda ela
O Gustavo Bittencourt já postou um comentário no blog dele sobre o assunto. Interessante a comparação com o CMM.
Porém eu ainda acho que o melhor caminho é reavaliar nossos métodos. Tomamos emprestado métodos provenientes das forças armadas, mas as organizações civis são a cada dia mais diferentes delas, com hierarquias fracas e alta mobilidade organizacional, seja horizontal ou vertical.
A maneira com a qual lidamos com a informação hoje é completamente diferente do que era feito há anos atrás. Pare e dê uma olhada na política de classificação e manipulação de informações mais próxima; você vai encontrar coisas como "qualquer sistema que contenha informação confidencial deve apresentar rótulo na tela e nas saídas impressas". Uau! E os pacotes? Legado? SOA????? O webservice que fornece informação confidencial deve enviar um rótulo junto? Hugh, estamos entrando no terreno dos meta-dados, a coisa mais confusa e etérea que podemos encontrar em TI.
Resumindo, acho que hoje é muito difícil, praticamente impossível, garantir que a informação estará classificada e rotulada em todo lugar pela qual ela é apresentada a uma pessoa. Sendo assim, não podemos mais confiar nos rótulos e classificações. Estude o problema da classificação das informações em um data warehouse, data mart e outros conceitos de BI e verá que o problema não é mais tão simples como aquilo que vemos ao estudar para uma certificação CISSP ou MCSO.
Por conta disso, entendo que o foco deve mudar para o ensinamento da pesca. Não vamos dar mais o peixe (classificação), vamos ensinar as pessoas a pescar. Elas devem reconhecer a criticidade de uma informação ao se deparar com ela, durante a interação. Simplificar as regras e tornar os procedimentos de manipulação o mais padronizados possíveis. Algo do tipo "na dúvida, jogue o documento no receptáculo de lixo confidencial". "Toda informação, a não ser que atestado o contrário pelo criador, é restrita à empresa". Bom, nem essa está muito boa, pois identificar o criador ou dono da informação hoje, em uma empresa, não é tão fácil assim.
Reconheço que não tenho a solução para o problema. Mas minha impressão é que não é o caminho que estamos acostumados a seguir.
posted by Augusto @ 6:23 PM
4 comments
links to this post
4 Comments:
Augusto,
Concordo contigo que a classificação da informação, da forma "clássica" como é difundida, não atende bem várias das necessidades e limitações práticas que vemos hoje: como você disse, os principais problemas são os mecanismos de rotulagem e cultura do manuseio.
Uma das principais medidas pragmáticas e eficazes que acredito que podem ser diretamente derivadas de uma classificação da informação adequada é como instrumento de priorização e decisão de aplicação de controles de segurança. Sistemas/usuários que trabalham com informação classificada como "risco crítico" serem auditados com mais rigor/frequência que "reservado", serem submetidos a maior rigor na avaliação da sua proteção, dispôr de medidas adicionais de segurança, etc.
Se continua com o problema de divulgação/uso inadequado da informação classificada, mas esse de fato se beneficia mais da educação adequada do usuário. Não existe solução abrangente pra esse tipo de problema, mas usar a classificação como instrumento pra priorização e nível de controles de segurança pode ser uma ferramenta interessante, e paralela a outras medidas...
[]s
Lincoln
Augusto
Você chegou num ponto de vista que, por receio, eu evitei até então, a classificação de informações não se adequa para uma organização não-militar.
Talvez seja a hora de romper o paradigma da classificação de informação, mas qual seria a alternativa?
Apoiar-se apenas no "feeling" das pessoas para definir com tratar uma informação me parece uma estratégia frágil.
Augusto,
Atendendo ao desafio/convocação, estou aqui para um pitaco, com sua permissão. Vou tentar ser sucinto, pois o espaço é pequeno.
Fiz meu primeiro projeto de classificação de informações em 1998 em uma empresa gigantesca para o padrão brasileiro. Aprendi muito ali. Dois grandes problemas apareceram naquele projeto, que tenho certeza, aparecem em qualquer outro projeto desse tipo, são eles:
- Como fazer no dia D0 depois que a norma/política for aprovada? Paro a empresa para classificar todas as minhas informações?
- Como carimbar as informações depois que classifiquei tudo no D0?
Como sou adepto, diria até por questão de fé, do modelo K.I.S.S., sugiro as seguintes saídas para cada um dos casos (lembre-se, estou sendo sucinto):
1) Junto com a norma/política de classificação, definir que no D0, se uma informação não está "rotulada" é sinal que ainda não foi classificada, e conseqüentemente será tratada como nível XYZ (qualquer, a sua escolha, atendendo ao CID). Pronto, todas as informações estão classificadas, e a empresa não precisou parar. Se o nível XYZ é alto para você, rotule a sua informação em um nível mais baixo, pois os controles mudarão e o custo também. O mesmo vale para elevar o nível, se necessário.
2) A "Seguraça da Informação" não deve se preocupar em rotular as informações. "Segurança da Informação" define controles de alto nível, cada área será responsável em colocá-los em prática. Ou seja, depois que você define como devem ser os controles em todas as fases de vida da informação (criação, uso, guarda, transporte e descarte) cada responsável deverá aplicar o rótulo ( e cuidados) conforme as características das tecnologias / processos / pessoas envolvidas.
O resto meu amigo, é motivação. Segurança da Informação só existe com motivação! ;-)
Abração,
Nelson
Pare e dê uma olhada na política de classificação e manipulação de informações mais próxima; você vai encontrar coisas como "qualquer sistema que contenha informação confidencial deve apresentar rótulo na tela e nas saídas impressas"
Acabei de olhar a minha e não vi nada disso. Acho que voce está colocando enfase desnecessária na questão da "rotulação".
Postar um comentário
Links to this post:
Criar um link
<< Home