A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2020 e cabe às empresas a preparação para fazer a transição para as novas regras de manipulação de dados pessoais. Nesse sentido, uma das atividades que devem ser revistas é a classificação da informação, a fim de aumentar a segurança dos dados dos usuários.
Ao definir a categoria dos dados armazenados, o gestor tem embasamento para indicar qual é o melhor nível de proteção para cada um deles, de forma que sejam escolhidas ferramentas específicas para essa proteção. Quer saber mais? Confira, neste post, outros detalhes sobre que é e como funciona a classificação da informação, bem como a sua relação com a LGPD e de que forma fazê-la. Boa leitura!
Afinal, o que é classificação da informação?
A ISO 27001 define a classificação da informação como o processo que tem por foco garantir o nível adequado de proteção aos dados. Essa atividade deve ter como base o valor, a criticidade e os requisitos legais que envolvem essas informações. O nível de proteção dos dados dos usuários internos é diferente daquele que é aplicado aos usuários externos, por exemplo, embora ambos sejam importantes para a empresa.
O objetivo inicial da classificação da informação é a mitigação de vazamentos de dados ou do acesso inadequado devido à falta de informação sobre o tipo de dado disponível, uma vez que limita quem pode acessá-los, quando e por qual motivo.
A classificação da informação ajuda as empresas a ficarem alinhadas com a LGPD, que prevê as formas como as organizações devem coletar, tratar, proteger e publicar dados pessoais e sensíveis de clientes. Quanto mais organizada for a classificação, melhor será o tratamento da informação e, consequentemente, menores serão os riscos de infringir a lei.
Quem é responsável por esse processo?
Quando falamos em classificação da informação, logo achamos que esse processo deve ser feito pelo setor de TI, tão ligado ao tema “segurança de dados”. Mas, na verdade, o profissional que cria e manipula uma informação é o responsável pela classificação dela, ficando a seu critério a alteração de nível a qualquer momento.
As boas práticas indicam que um dado deve ser classificado e rotulado antes de começar a ser manipulado — acessado e distribuído. Com isso, assegura-se que ele estará protegido desde o primeiro momento em que é coletado pela companhia, evitando que se perca ou que seja visualizado por pessoas não autorizadas.
Como é feita na prática?
A política de segurança da informação da empresa é o documento que determina os níveis de classificação das informações e como eles serão aplicados pelos próprios colaboradores. Não existe uma regra, de modo que cada companhia deve definir o nível de classificação que achar mais conveniente para os seus processos.
Apesar de não haver um critério objetivo, há algumas classificações que são mais comuns. Veja quais são as mais populares a seguir.
Público
Um dado pode ser classificado como público quando não exige nenhuma proteção especializada contra possíveis vazamentos, haja vista que está disponível para qualquer pessoa acessar. Porém, isso não significa que não se deve prezar pela integridade dessas informações.
Por isso, antes de tornar uma informação pública, é preciso certificar-se de que ela pode ser visualizada por todos os funcionários, fornecedores, terceirizados, clientes e pelo público em geral, sem que ocorram danos para a empresa. Embora o dado seja público, o ideal é que nenhum usuário possa acessá-lo a não ser que tenha que utilizá-lo em suas atividades profissionais.
Interno
Normalmente, os dados internos são aqueles que não devem ser acessados por pessoas que não trabalham na organização. Caso um hacker invada os seus sistemas e vaze as informações internas, no entanto, a tendência é de que não ocorra um grande prejuízo à companhia, pois estamos falando de algumas informações não confidenciais, como a lista de processos de um determinado serviço.
Como são, porém, dados importantes para o bom funcionamento do negócio, é imprescindível adotar mecanismos e ferramentas que ajudem a preservar a sua integridade. Isso porque, se forem corrompidos, podem atrapalhar a produtividade da sua equipe.
Confidencial
Os dados de nível confidencial estão no topo das classificações de informações, pois precisam de práticas rigorosas e capazes de mantê-los em sigilo total. Afinal de contas, se forem vazados, acabam gerando um grande impacto para a organização, trazendo problemas financeiros e para a sua reputação no mercado.
Sendo assim, é possível dizer que uma informação é confidencial quando ela não deve ser exposta fora da corporação e para funcionários que não estejam autorizados a manipulá-la. Para que os dados confidenciais sejam protegidos, é recomendado estabelecer controles de acesso, além de criptografia.
Se uma informação não for mais útil para a sua equipe, é preciso tomar os devidos cuidados para que seja destruída e para que não haja nenhuma chance de recuperação.
Restrito
Uma informação entra no nível restrito quando os acessos não autorizados a ela, ainda que sejam feitos pelos próprios colaboradores da companhia, possam causar danos severos às suas atividades. Levando isso em consideração, o dado restrito deve ser protegido contra acessos e ataques internos e externos.
Vale ressaltar que esse nível reúne informações que são até mesmo mais relevantes do que as que pertencem ao nível confidencial, logo, carecem de mais camadas de proteção. As pessoas que estão aptas a acessar esses dados também devem receber um treinamento sobre a conduta adequada para visualizá-los.
Como vimos no post, a classificação da informação e a LGPD andam lado a lado. Enquanto a lei define como deve ser feita a manipulação dos dados, o sistema de classificação limita o acesso a eles, garantindo mais segurança e ajudando a empresa a permanecer dentro da legislação.
Contudo, a categorização dos níveis de cada informação não é o suficiente para protegê-las. Para tanto, é fundamental investir em ferramentas e serviços especializados, que identifiquem o quanto elas estão vulneráveis e que ofereçam os recursos necessários para blindá-las contra potenciais invasões e ameaças internas ou externas.
Desse modo, você pode focar o seu core business, enquanto os seus dados estão em segurança, além de impedir a ocorrência de prejuízos que afetem as suas tarefas, as finanças e a imagem, o que é indispensável para alavancar os seus resultados e manter-se à frente dos seus concorrentes.
Gostou do post sobre classificação da informação? Então, assine já a nossa newsletter e receba em primeira mão as nossas novidades.
Thiago Cabral
Bacharel em administração e pós-graduado em Gestão e Governança de TI pela FIAP. Com cerca de 10 anos de experiência no mercado de segurança da informação, ajudou a fundar a empresa Athena Security, onde atua como Sócio-Diretor responsável pelas estratégias de Marketing e pela qualidade de atendimento ao cliente. Acredita que a chave para o sucesso é a especialização, atendimento consultivo e visão inovadora.
