Top Secret! Classificar os seus dados é importante

Diariamente, criamos, enviamos ou eliminamos informação dezenas ou até centenas de vezes, seja no contexto profissional ou na nossa vida pessoal, o que torna cada vez mais relevante a proteção desses dados.

Este tema assume uma importância ainda maior para as organizações tendo em conta as exigências regulamentares (por exemplo, RGPD), standards da indústria (como ISO 27001 e, PCI DSS) e consequências reputacionais associadas à perda de informação.

No âmbito de segurança, todos os documentos, e-mails e quaisquer outros tipos de informação devem ser considerados como dados da organização, o que representa um desafio substancial dado o volume de documentos e emails que as organizações produzem diariamente (por exemplo, uma organização de médio porte em Portugal envia milhares de e-mails diariamente).

O que é a classificação da informação?

Tendo em conta a quantidade de informação envolvida, é necessário focar no essencial, o que leva à necessidade de categorização dos dados com base na sua confidencialidade, importância e outros critérios relevantes para a organização. Os níveis de classificação variam conforme os requisitos de cada organização; no entanto, os exemplos seguintes são um caso típico dos níveis de classificação de informação habitualmente adotados: Público, Interno, Confidencial e Secreto.

A partir deste exemplo, fica claro que nem toda a informação deve ser considerada confidencial ou secreta. Assim, as organizações devem fornecer descrições e exemplos precisos para cada nível de confidencialidade, permitindo que os utilizadores possam aplicar a classificação de maneira adequada. A correta classificação da informação ajudará a identificar e proteger dados sensíveis, como dados pessoais dos clientes, dados financeiros ou propriedade intelectual. Esses dados são habitualmente críticos ao negócio e o seu nível de proteção deve ser reforçado devido à sua importância, especialmente no caso de dados pessoais, que são protegidos pelo RGPD.

O que se pode fazer para reforçar a segurança do “ouro” da era Digital?

O primeiro passo consiste em identificar os dados gerados pelo negócio e definir quais são as informações mais críticas para a organização. Para tal, é necessário o envolvimento de todos os colaboradores, de modo a obter visibilidade sobre os processos em questão e a confidencialidade dos mesmos.

Em seguida, deve-se sensibilizar todos os utilizadores acerca da criticidade dos documentos em questão, visando mitigar o risco de partilhas indevidas.

Por último, devem ser implementados controlos de segurança que apoiem os utilizadores na classificação automatizada dos dados, reduzindo o esforço e, ao mesmo tempo, mitigando o risco de perda de informações sensíveis. Um exemplo de automatização seria a identificação de informações financeiras num e-mail, seguida de uma recomendação ao utilizador para classificação como “Confidencial”.

Um controlo adicional poderá ser a encriptação dos dados classificados como “Confidenciais”, permitindo que apenas os destinatários autorizados possam aceder aos mesmos. Neste cenário, caso ocorra uma partilha indevida de documentos classificados como “Confidenciais”, os mesmos não serão legíveis por utilizadores não autorizados. Outro mecanismo de segurança poderá ser o bloqueio da partilha de informação classificadas como “Secreta” para fora da organização.

Em conclusão, a classificação de informação e a implementação dos mecanismos de proteção correspondentes são elementos críticos para a segurança de todas as organizações e negócios, devendo ser uma prioridade de todos os envolvidos, independentemente do seu perfil e nível de responsabilidade.

*Sérgio Vilela é Cybersecurity Architect Manager da KPMG Portugal

Os pontos de vista e opiniões aqui expressos são os meus e não representam nem refletem necessariamente os pontos de vista e opiniões da KPMG em Portugal.