Um dos itens básicos para se ter uma infraestrutura segura é a classificação dos ativos. No entanto, por diversos motivos, este trabalho contínuo perde-se no tempo e impacta diretamente nos controles de segurança da informação e, é claro, como um efeito dominó as brechas começam a surgir. 

Sempre comece com um Inventário

Devido a este cenário que se configura lentamente ao longo do tempo, a exposição, vulnerabilidades e riscos associados à empresa aumentam. Como diferenciar os ativos críticos dos demais? É uma pergunta válida, mas a resposta não é tão simples. 

Fazer um inventário é o primeiro passo para classificar corretamente seus ativos. Podemos utilizar como exemplo frameworks para controles de segurança da informação: CIS Controls e o NIST Cyber Security Framework. Estes dois frameworks, muito utilizados no setor privado, têm o ponto em comum “criar um inventário” como requisito inicial e isso não é coincidência, pois sem o inventário é extremamente difícil dar seguimento em outras empreitadas na empresa.

O Controle 1 do CIS detalha os requisitos para inventário de hardware e o Controle 2, para software. Veja as figuras abaixo.

CIS-Controle-2

>O mesmo pode ser observado no framework da NIST na função “Identificar”. Vale ressaltar que apesar de ser muito utilizado em muitas empresas, o NIST CSF ainda está na versão 2018 e por isso a coluna “Referências Informativas” pode não conter as referências mais exatas. Veja a figura abaixo.

NIST-ID.AM_Fontes: Imagens foram obtidas diretamente dos frameworks 

Os downloads destes frameworks podem ser feitos nos sites oficiais >www.cissecurity.org e www.nist.gov/cyberframework de forma gratuita, locais de onde foram obtidas as imagens acima. 

O que é classificar um ativo? 

Agora que já foi pontuada a importância da existência de um inventário, podemos regressar ao cerne da questão.

Classificação de um ativo, no âmbito da Segurança da Informação, significa atribuir um rótulo, comumente chamado de label (termo em inglês), para evidenciar a criticidade de um ativo para a empresa.

É com base nisso que a empresa define diversas tomadas de decisões que impactam o business. Para definir qual é a classificação exata para um ativo, diversos fatores são considerados como, por exemplo, o impacto nos negócios caso o ativo esteja indisponível.

Além disso, dados específicos como informações pessoais identificáveis (PII – Personally Identifiable Information) e de saúde (PHI – Protected Health Information) podem ser classificadas com um label único para tal, visando a implementação de controles de segurança que permitem a empresa estar em conformidade com as diferentes leis e regulamentos, dentre elas as mais comuns são HIPAA (Health Insurance Portability and Accountability Act), LGPD/GDPR/CCPA (diferentes leis de privacidade), PCI-DSS (Payment Card Industry – Data Security Standad). Sem os labels se torna infinitamente mais complicado identificar quais ativos devem estar sob os olhares atentos de quem os gere, consequentemente falhando nos controles de segurança que precisam estar em conformidade com a lei.

Níveis de classificação da informação

Cada  indica um nível de criticidade definido pela empresa ou entidade pública, por isso os labels devem representar desde o menor ao de maior criticidade e os termos utilizados variam para cada empresa privada. Não há um padrão global e por isso é importante que o Programa de Conscientização da empresa explique para seu funcionário e parceiros quais são estes níveis, no entanto é possível citar como exemplo o governo e as Forças Armadas dos Estados Unidos seguem o mesmo padrão para a classificação da informação, descrita abaixo: 

Top Secret – O mais alto nível de classificação. A revelação não autorizada destes dados terão efeitos drásticos e causarão graves danos à segurança nacional; 

Secret – Utilizado para dados de natureza restrita. A divulgação não autorizada de dados classificados como secretos terão efeitos significativos e causarão danos críticos à segurança nacional; 

Confidential – Utilizado para dados de carácter privado, sensível, proprietário, ou de natureza de grande valor. A divulgação não autorizada de dados classificados como confidenciais terá efeitos consideráveis e causarão sérios danos à segurança nacional; 

Unclassified – O nível mais baixo de classificação. É utilizado para dados que não são sensíveis ou classificados. A divulgação de dados não classificados não compromete confidencialidade ou causam qualquer dano perceptível. 

Para o setor privado, o formato básico contém os níveis Confidential (mais alto), Private (informações privadas ou de natureza pessoal), Sensitive Public, porém é comum que cada empresa crie uma variação no termo utilizado para cada um destes níveis. 

Fonte: (ISC)² CISSP Official Study Guide 7th Edition 

Já a OTAN, entidade composta por diversos países, possui diferentes níveis de classificação da informação: NATO Unclassified, NATO Restricted, NATO Confidential, NATO Secret e Cosmic Top Secret. Com isso, é possível perceber que cada entidade, pública ou privada, segue um padrão definido por ela própria e cabe às pessoas entenderem quando utilizar cada nível de classificação de segurança.

NATO-Confidential

NATO-Classification-downgrade

Fonte: Site oficial da OTAN (https://www.nato.int/cps/en/natohq/declassified_138449.htm)

Benefícios de um ativo classificado

Existem realmente muitos benefícios que são dignos de um artigo próprio, contudo, os benefícios em destaque são: 

Security Clearance

Muito utilizado em entidades públicas, é o controle de segurança que permite acesso às informações que estão no nível de permissão da pessoa, ou seja, uma pessoa que possui a Clearance Confidential pode acessar informações que tenham o nível de classificação Confidential e os níveis menos críticos; 

Continuidade de Negócio

Informações classificadas com os labels definidos pela empresa auxiliam nas tomadas de decisões quanto ao impacto em caso de indisponibilidade, dessa forma, os controles definidos e implementados previamente a um cenário de desastre são mais assertivos, resultando numa empresa mais resiliente. Para entender mais sobre Continuidade de Negócio, leia este meu artigo; 

Análise de riscos

Na análise de riscos é verificada a probabilidade de uma ameaça se concretizar e qual seria o impacto. Além de saber quais são os ativos afetados (inventário) pela ameaça, um dos fatores que contribui para a definição do impacto é a criticidade do ativo para a empresa. Dessa forma a empresa poderá tomar decisões ao nível do risco percebido;

Conformidade com leis e regulamentos

Conforme já foi abordado, leis e regulamentos afetam todos os tipos de empresa e saber quais ativos e suas classificações permitem a entidade estar em compliance;

Proteção de dados 

Através da classificação de segurança dos ativos, é possível perceber quais ativos tratam de dados sensíveis, com isso a entidade responsável pelos dados consegue implementar controles de segurança específicos que visam a proteção dos dados, para proteger o dono dos dados sensíveis e também para estar em compliance com as leis que regem este tema, nomeadamente a brasileira LGPD (Lei Geral de Proteção de Dados), a europeia GDPR (General Data Protection Regulation), e a da Califórnia CCPA (California Consumer Privacy Act);

Compartilhamento e Prevenção de perda de dados

Compartilhar informações atualmente é algo tão simples que normalmente não há necessidade de pensar duas vezes, entretanto em ambientes empresariais certas informações não podem ser divulgadas ou compartilhadas. Quando os ativos estão classificados é possível impedir o compartilhamento ou qualquer divulgação para fora da empresa, desde que os controles estejam implementados. Um dos controles que auxilia neste objetivo é a ferramenta de Prevenção de Dados (DLP – Data Loss Prevention), através das políticas que podem ser customizadas para detectar e prevenir que a informação de caráter restrito saia da empresa. Para a comunicação interna, existem outros mecanismos como a conscientização do usuário. Para um aprofundamento sobre a importância de um Programa de Conscientização, leia este meu artigo;

E-mail – E-mails com labels ajudam tanto no controle de Security Clearance quanto no compartilhamento e prevenção de perda de dados, por isso, é importante que os e-mails sejam classificados pelos utilizadores antes do envio. 

Para aqueles que estão pensando na enorme quantidade de informações geradas num só dia numa empresa, não há necessidade de desespero, pois atualmente muitas ferramentas, geralmente na nuvem, possuem a função de classificar automaticamente uma informação, basta configurar as políticas corretamente para que a ferramenta escolhida consiga aplicar os labels, seja por políticas customizadas ou identificando padrões como CPF (xxx.xxx.xxx-xx), RG, CNH, cartões de crédito, palavras-chave utilizadas para informações pessoais de saúde, entre tantos outros.

Assim como o alicerce é fundamental para uma edificação, pois mantém sua estabilidade, inventário e classificação dos ativos são fundamentais para implementar soluções de forma segura e resiliente para atender o business da sua empresa.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *