Todo profissional de segurança da informação conhece a ISO 27001, norma internacional que pode ser considerada a "bíblia" para montar uma estratégia eficaz de proteção de seus dados corporativos. E, se você se lembra bem das principais orientações que constam em tal padrão, uma das etapas mais críticas para garantir a segurança de suas informações é classificá-las adequadamente. É aí que eu te pergunto: já parou para pensar o quanto tal prática se tornou importante após a sanção da Lei Geral de Proteção de Dados (LGPD)?
Antes de prosseguirmos, vamos refrescar a mente: a classificação da informação nada mais é do que o processo de atribuir o nível adequado de sensibilidade de uma informação, catalogando-a com a “etiquetagem” apropriada e definindo normas de acesso para que apenas as pessoas com privilégio o suficiente possam manipulá-la. Para realizarmos essa classificação, é crucial levar em consideração alguns critérios bem definidos que podem variar de acordo com o tipo, tamanho e área de atuação da empresa.
No geral, é necessário avaliar qual seria o impacto caso aquela informação seja acessada por um indivíduo não-autorizado. Uma eventual exposição indevida pode causar danos à imagem corporativa? Seus clientes podem ser prejudicados? O roadmap de lançamento daquela nova feature pode sofrer atrasos? Uma propriedade intelectual ainda não registrada ou ideia de um produto podem ser copiadas pela concorrência? Todos esses são exemplos de critérios que podem ser levados em consideração.
Nesse momento também é importante avaliar a real necessidade de se ter alguns dados em sua base. Muitos empreendimentos coletam mais informações do que o necessário, o que pode se tornar um problema não apenas com a sua catalogação e manutenção, mas também pelos gastos desnecessários com infraestrutura. A minimização da coleta de dados é uma tendência global — quanto menos você tem, mais fácil fica organizar e proteger. Pense nisso como um “minimalismo” contrário ao big data.
Embora a ISO 27001 não estabeleça níveis de confidencialidade padronizados, na maioria das vezes, os profissionais optam por usar três pesos diferentes: pública (informação que pode ser divulgada externamente), privada (que só pode ser acessada por colaboradores e parceiros comerciais) e restrita (que só pode ser acessada por profissionais específicos, que efetivamente precisam da informação para exercer suas atividades rotineiras). Fica a critério de cada um a criação de níveis adicionais de acordo com a necessidade.
E eis que você se pega pensando: qual é a relação de tudo isso com a LGDP? A resposta é muito simples. Ao catalogar seus ativos, classificar seu nível de confidencialidade e ajustar os privilégios de acesso, você automaticamente estará mapeando as informações que a sua empresa coleta, processa e armazena para o exercício de seu core business. Com isso, fica mais fácil manter um controle rígido de proteção dos dados dos titulares e atender a requisições, já que tudo estará devidamente registrado e em seu lugar apropriado.
A correta gestão de privilégios também previne que vazamentos de dados ocorram por ameaças internas, sejam elas intencionais ou não. Um colaborador novato com acesso a informações privilegiadas pode acabar expondo-as sem querer; da mesma forma, um funcionário que age como “espião” contratado por criminosos também seria capaz de desviar seus ativos para fora da organização. Nas duas situações, a empresa seria penalizada pela Autoridade Nacional de Proteção de Dados (ANPD).
Como você pode ver, garantir a conformidade com a LGPD, muitas vezes, envolve mais mudanças comportamentais e de processos internos do que a contratação de mais softwares e soluções de segurança cibernética.
Autor do post: Ramon de Souza – Escritor, jornalista especializado, palestrante e consultor em segurança da informação. Editor-chefe da The Hack, repórter do Canaltech e fundador da Tietê Security.
