A classificação de dados é um componente vital para a segurança da informação e para os programas de compliance, especialmente se a sua empresa armazena grandes volumes de informação. É impossível manter um controle próprio se você não sabe quais informações você tem e nem onde elas residem, além disso, você não pode assegurar o nível máximo de proteção para os seus ativos mais críticos se você não classifica-los de acordo com o seu nível de valor e de sensibilidade. Entender como construir uma política de classificação de dados é essencial para uma maior segurança da informação.
O primeiro passo envolve criar uma política de dados que defina os dados sensíveis e defina as regras de proteção. Apesar desse documento ser a base de como todos os dados sensíveis serão manuseados, diversas políticas de classificação de dados falham em alguns aspectos como por exemplo:
- A política utiliza uma linguagem complexa que é difícil para a maioria dos funcionários entender e seguir, deixando-os com mais questões do que respostas.
- A política não é apta para treinamentos e não se encaixa no fluxo de trabalho da organização.
- Os objetivos são muito ambiciosos e difíceis de se atingir.
- Ela falha em deixar claro as responsabilidades de cada parte.
- Não convence o funcionário da importância da classificação de dados.
- As políticas são feitas apenas uma vez e nunca são revisadas e ajustadas. Com as empresas em constante evolução e a necessidade de mudança nos planos de negócio, a política de classificação de dados pode se tornar irrelevante em pouco tempo.
Portanto, neste artigo explicaremos o que é a política de classificação de dados e quais passos você deve tomar para criar e implementar uma. Compartilharemos as melhores práticas que te ajudarão a entender os seus dados sensíveis com a política, a alocação de responsabilidades de forma apropriada e tomar melhores decisões em relação a segurança da informação.
O que é a política de classificação de dados?
No geral, a política de classificação de dados é um documento que inclui uma estrutura de classificação, uma lista de responsabilidades para identificar dados sensíveis e descrição de diversos níveis de classificação de dados.
A Universidade de Clark diz que a padronização dos dados classificados auxilia as organizações a manter informações segura de riscos como acesso e divulgação não autorizada.
Note que a política de classificação de informação não deve incluir os requisitos de como os dados devem ser manuseados. Ao invés disso, você deve desenvolver um documento separado que define os requisitos para proteger cada classe de informação. (Você também pode ter um manuseio de informação específico para certos departamentos caso eles tenham necessidades únicas.)
Como é uma boa política de classificação de dados?
As políticas podem ser diferentes em seus objetivos e na estrutura geral, mas um bom padrão para a classificação de dados seguirá os critérios abaixo:
- O critério de classificação deve ser direto e evitar ambiguidade, porém ainda sim ser genérico o suficiente para ser aplicado a diferentes ativos em vários contextos.
- Ser clara e escrita de forma simples.
- Alinhar com o negócio da organização.
- Conter poucas páginas e não ter mais do que 3 ou 4 níveis de classificação.
- Conter o ponto de contato para os mais diversos casos e situações que seus funcionários podem se encontrar. Dependendo da estrutura da organização pode ser o Gerente de risco e segurança; o responsável pela proteção dos dados, o comitê de conformidade ou qualquer pessoa relevante.
- Por fim, uma boa política deve conter uma agenda de revisão. Normalmente, uma revisão anual é suficiente, a não ser que haja algum evento externo como regulações entrando em vigor.
Disponibilizamos para você um modelo de política de classificação de dados, assim ficará mais fácil a criação ou atualização da política da sua empresa.
O que vem depois?
Assim que você tiver escrito uma boa política de classificação de dados e especificou a forma de manusear os dados, você deve ter certeza de que a sua política realmente funcione e que você tem o controle necessário para garantir a segurança da informação. O próximo passo é fazer uma marcação nos seus dados com base nos níveis de sensibilidade e da propriedade deles. Para lançar esse processo, uma das melhores formas é você utilizar uma solução de classificação de dados automatizada.
