Classificação das informações: como definir níveis de segurança?
Uma classificação das informações e dados sensíveis à LGPD feita de forma correta é, sem dúvidas, o primeiro passo para se adequar à Lei Geral de Proteção de Dados.
A Lei Geral de Proteção de Dados em seu Artigo 46 determina a adoção de medidas para proteger os dados pessoais de acessos não autorizados, conforme descrito abaixo:
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Nesse sentido, informações como nome, CPF, endereço e dados sensíveis, como biometria, preferências políticas e religião, ficam protegidos. A LGPD constrói um cenário de segurança jurídica ao padronizar práticas para proteger essas informações.
O descumprimento dessas e outras regras podem gerar multas pesadas ao seu negócio. A lei determina que empresas e órgãos públicos podem ser multados em até 2% do faturamento, com limite de R$ 50 milhões, por vazamento e mau uso de dados pessoais dos consumidores, além da proibição de atividades relacionadas ao tratamento de dados.
As infrações são moduladas em três níveis diferentes que serão explicados abaixo.
Níveis de infrações
Infrações graves
Uma infração é considerada grave quando o infrator obtém ou pretende obter vantagem financeira em decorrência da conduta cometida, quando o tratamento de dados pessoais não é amparado por uma das bases legais previstas na LGPD e quando se explora atributos pessoais, tais como idade, condição de saúde ou social, fragilidade ou desconhecimento do titular.
Além de dificultar as atividades de fiscalização, as violações do tratamento de dados pessoais que tenham efeitos discriminatórios, ilegais ou abusivos ainda serão consideradas violações graves se forem verificadas de má-fé ou se forem empregadas práticas impróprias.
Infrações médias
As infrações médias são aquelas que envolvem o tratamento de dados pessoais em grande escala ou afetem significativamente os interesses e direitos fundamentais dos titulares, mas que não haja possibilidade de serem consideradas graves.
Infrações leves
As infrações leves serão aplicadas quando não houver violações determinadas como médias ou graves.
Como se adequar à LGPD e evitar sanções?
Como já foi dito, as sanções por infrações à Lei Geral de Proteção de Dados são bem pesadas e podem incluir advertência, multa diária, multa simples, publicização da infração, suspensão parcial de operações de banco de dados e suspensão ou proibição parcial ou total de atividades relacionadas ao processamento de dados.
No espaço deste artigo, não conseguimos trazer todos os pontos de adequação que sua empresa deve tomar, mas o primeiro passo, sem dúvidas, é proceder a uma classificação das informações e dados sensíveis à LGPD.
O que é classificação das informações?
Esse processo trata-se de uma prática relativamente antiga que servia sobretudo para governos e empresas protegerem informações consideradas essenciais.
A Classificação das Informações inicia por um bom “mapeamento de dados (data mapping)”, em que deve-se encontrar os dados sensíveis à LGPD e descobrir quais usuários têm acessos a esses dados, qual o nível de permissionamento e quem realmente os está acessando.
Em tempos de troca de dados de maneira instantânea e com o armazenamento de volume de informações cada vez maiores, essa prática se torna ainda mais importante e, fazer a classificação das informações, é um dos passos da segurança da informação mais importantes que sua empresa precisa tomar, seja ela grande, seja ela pequena.
Mas, afinal, o que significa fazer a classificação das informações e como isso pode ajudar na segurança dos dados? Quais são as principais recomendações e como começar? Prossiga a leitura para entender!
O que é a LGPD e qual a sua importância?
Antes de entender a importância da classificação da informação, é preciso que você tenha clareza sobre o que é afinal a Lei Geral de Proteção de Dados e qual a sua importância.
A LGPD foi promulgada em 14 de agosto de 2018, mas passou a vigorar somente dois anos depois, em 2020. Ela protege os direitos fundamentais de liberdade e de privacidade dos indivíduos, bem como, regula o tratamento de dados pessoais, dispostos em meios manuais ou digitais.
Num mundo hiperconectado, a Lei Geral de Proteção de Dados garantiu que empresas e instituições públicas tenham um cuidado mais criterioso ao armazenar e utilizar informações pessoais, além de serem obrigadas a tornar mais transparente o objetivo da coleta, armazenamento e processamento desses dados.
Embora represente um desafio para a maioria das organizações, implementar rotinas de segurança é fundamental e o primeiro passo para adequar sua empresa a esta nova realidade é classificar as informações armazenadas sob sua responsabilidade.
Para que serve a classificação de informações?
Como visto, a classificação das informações consiste na definição de níveis de proteção que cada dado deve receber. Por exemplo, os relatórios financeiros da empresa devem ter um nível de proteção maior do que a lista de números de telefone internos dos setores.
Ela serve para garantir que nenhum dado seja divulgado indevidamente e que apenas as pessoas que têm direito recebam acesso à informação. A classificação da informação faz parte das exigências da ISO 27001 e ISO 27002.
As normas são consideradas as principais diretrizes de segurança da informação e recomenda que as informações sejam classificadas de acordo com seu valor, requisitos legais, criticidade e sensibilidade.
Como colocar em prática a classificação de dados?
Antes de entender exatamente os três passos que você deve seguir para classificar suas informações com eficiência e segurança, cumpre-nos explicar brevemente o que são as ISO 27001 e a ISO 27002.
ISO 27001
A ISO/IEC 27001 é um padrão que define requisitos para um Sistema de Gerenciamento de Segurança da Informação e é descrito como a parte sistemática do sistema de gerenciamento geral de uma organização.
Ela possui uma abordagem de risco de negócios, que além de estabelecer os requisitos da segurança da informação, também implementa, opera, monitora, revisa, mantém e melhora essa segurança.
Ela inclui estrutura organizacional, políticas, atividades do programa, responsabilidades, práticas, procedimentos, processos e recursos. E é a principal norma que as organizações devem utilizar como base para a obtenção da certificação empresarial para a gestão da segurança da informação.
ISO 27002
A ISO/IEC 27002, por sua vez, é uma espécie de código de conduta para um todo o conjunto abrangente de controles que apoiam a aplicação dos sistemas de gerenciamento de segurança da informação trazidos na ISO 27001.
Recomenda-se, inclusive, que a norma seja utilizada em conjunto com a ISO 27001, ainda que possa ser consultada isoladamente.
Quais são os níveis de classificação das informações?
As normas não determinam níveis, mas apenas aduzem que eles devem fazer sentido no contexto da organização. No entanto, uma das formas mais usuais é a de tratar a informação como:
Informações confidenciais
É o nível mais alto de segurança dentro deste padrão. As informações confidenciais são aquelas que, se divulgadas interna ou externamente, têm potencial para trazer grandes prejuízos financeiros ou à imagem da empresa. São protegidas, por exemplo, por criptografia.
Informações restritas
É o nível médio de confidencialidade. São informações estratégicas que devem estar disponíveis apenas para grupos restritos de colaboradores. Podem ser protegidas, por exemplo, restringindo o acesso a uma pasta ou diretório da rede.
Informações de uso interno
Representa baixo nível de confidencialidade. Informações de uso interno são aquelas que não podem ser divulgadas para pessoas fora da organização, mas que, caso isso aconteça, não causarão grandes prejuízos. A preocupação nesse nível está relacionada principalmente à integridade da informação.
Informações públicas
São dados que não necessitam de proteção sofisticada contra vazamentos, pois podem ser de conhecimento público. No entanto, sempre cabe lembrar dos outros dois pilares: a disponibilidade e a integridade.
Passo a passo para a classificação das informações
Agora que você já entendeu que deverá consultar as normas ISO 27001 e ISO 27002 antes de realizar qualquer atividade que inclua as informações sob responsabilidade da sua empresa e também entendeu os principais níveis de segurança das informações, confira os 4 passos necessários para classificar as informações.
Primeiro passo: Faça uma auditoria de cibersegurança
O primeiro passo é entender todos os pontos de melhoria, bem como, todos os eventuais riscos e vulnerabilidades existentes nos sistemas de cibersegurança da sua empresa, o que acontece por meio de uma auditoria de cibersegurança.
Esse serviço também tem o intuito de auxiliar você a direcionar as estratégias do seu ambiente de segurança de dados e de Tecnologia, apoiando no processo de tomada de decisões.
Caso tenha interesse, a AllEasy pode ajudar você e sua equipe a entender quais são os reais riscos e vulnerabilidades existentes para sua empresa com o Serviço de Consultoria em Segurança de TI.
Você pode entrar em contato com um de nossos especialistas clicando aqui para solicitar mais informações.
Segundo passo: Faça um inventário de ativos de dados
Antes mesmo de fazer a classificação das informações, você deve fazer um inventário de ativos de dados, isto é, enumerar todos os dados pertencentes a empresa. O inventário deve conter o tipo de informação (documentos eletrônicos, documentos em papel, e-mail etc.) e quem é responsável por ela.
De acordo com a norma, o responsável pela informação deve fazer a classificação dela. Geralmente, faz-se uma avaliação de riscos e aplica-se os níveis de classificação da informação definidos pela empresa.
Terceiro passo: Rotule cada uma das informações
Depois de classificadas, as informações precisam ser rotuladas. Toda vez que uma pessoa recebe um documento, um e-mail ou qualquer outro dado, ela precisa saber sobre o seu nível de confidencialidade.
O rótulo de um documento pode ser apresentado, por exemplo, no cabeçalho de cada página.
Quarto passo: Estabeleça regras de manuseio desses ativos de dados
Por fim, a sua política de segurança da informação deve contar regras sobre o manuseio de dados de acordo com o nível de confidencialidade.
Por exemplo, “informações confidenciais não podem ser transmitidas por e-mail sem criptografia” pode ser uma dessas regras.
O manuseio de ativos dá informações claras sobre o que fazer e como tratar cada informação de acordo com seu nível de segurança.
Como classificar as informações de acordo com o setor de atuação da empresa
A classificação de informações é uma prática essencial em diversos setores para garantir a segurança e privacidade dos dados pessoais dos envolvidos.
No entanto, é importante levar em consideração as particularidades de cada setor, como as leis e regulamentos aplicáveis e os dados mais sensíveis, a fim de realizar uma classificação eficiente e segura.
Dessa forma, é possível proteger as informações confidenciais, evitar possíveis erros e vazamentos de dados e garantir a confidencialidade dos dados pessoais dos envolvidos em cada setor.
Confira abaixo, a título de exemplo, algumas particularidades para os setores de saúde, educação e imobiliário.
Classificação das Informações na área de saúde
A classificação de informações na área da saúde é um processo fundamental para garantir a privacidade e segurança dos dados pessoais dos pacientes. Para realizar essa tarefa, é importante entender quais dados são mais relevantes e como classificá-los de acordo com os níveis de classificação das informações.
Em primeiro lugar, é necessário identificar as informações que são sensíveis e confidenciais, como o histórico médico do paciente, seus resultados de exames, tratamentos e medicamentos prescritos. Essas informações são consideradas de alto risco e devem ser classificadas como confidenciais.
As informações administrativas, como registros financeiros, de agendamento e de faturamento, são consideradas de menor risco e podem ser classificadas como restritas ou públicas.
Além disso, é importante levar em consideração as leis e regulamentos aplicáveis à área da saúde, como a Lei Geral de Proteção de Dados (LGPD), a Lei de Acesso à Informação e a Resolução 466/2012 do Conselho Nacional de Saúde.
Para classificar as informações de acordo com os níveis de classificação, é comum utilizar uma escala que vai desde o nível mais restrito, como informações confidenciais, até o nível mais aberto, como informações públicas. É importante definir critérios claros para cada nível de classificação, a fim de evitar possíveis erros e vazamentos de informações.
Em resumo, a classificação de informações na área da saúde é um processo fundamental para garantir a privacidade e segurança dos dados pessoais dos pacientes. Para isso, é preciso identificar as informações mais relevantes, considerar as leis e regulamentos aplicáveis e utilizar uma escala de classificação clara e definida.
Classificação das informações no setor educacional
Assim como na área da saúde, a classificação de informações no setor educacional também é fundamental para garantir a privacidade e a segurança dos dados pessoais dos alunos, professores e demais envolvidos no processo educacional.
Para realizar essa tarefa, é importante entender quais dados são mais relevantes e como classificá-los de acordo com os níveis de classificação das informações. Em geral, as informações mais sensíveis e confidenciais no setor educacional incluem dados como registros acadêmicos, notas, boletins, matrículas, registros financeiros, informações médicas e outras informações pessoais dos alunos.
Já as informações administrativas, como registros de contratação, informações financeiras e outros dados de gestão, são consideradas de menor risco e podem ser classificadas como restritas ou públicas.
Além disso, é importante considerar as leis e regulamentos aplicáveis ao setor educacional, como a Lei Geral de Proteção de Dados (LGPD), a Lei de Acesso à Informação, a Lei de Diretrizes e Bases da Educação (LDB) e outras normas que tratam do acesso, proteção e compartilhamento de informações pessoais.
Classificação das informações no setor imobiliário
A classificação de informações no setor imobiliário também é uma prática importante para garantir a segurança dos dados dos clientes, imóveis e transações imobiliárias.
As informações mais sensíveis e confidenciais no setor imobiliário incluem dados como contratos de compra e venda, escrituras, certidões, registros de propriedade, informações financeiras, dados de crédito e outras informações pessoais dos clientes.
Já as informações administrativas, como registros de gestão, informações financeiras e dados de marketing, são consideradas de menor risco e podem ser classificadas como restritas ou públicas.
As principais leis e regulamentos aplicáveis ao setor imobiliário que devem ser levadas em consideração são o Código Civil, o Código de Defesa do Consumidor, a Lei do Inquilinato e outras normas que tratam do acesso, proteção e compartilhamento de informações pessoais.
Conclusão sobre a classificação das informações
Como vimos, a classificação das informações serve para garantir que todas as pessoas envolvidas na organização tenham consciência sobre a necessidade de manter sigilo sobre determinadas informações. Essa é uma das principais armas da equipe de TI na busca por maior segurança da informação.
Quer começar agora mesmo a classificação das informações na sua empresa? Nós podemos ajudar!
Entre outros serviços, nós podemos:
- Realizar um Mapeamento de dados (Data Mapping) não estruturados, na sua rede ou nuvem Microsoft, sem custo nenhum!
- Realizar uma demonstração de Mapeamento e Classificação de Dados sensíveis;
- Podemos enviar um relatório modelo de Análise de Risco que pode ser conseguido no mapeamento de dados (data mapping) descrito acima para você visualizar o potencial do que podemos realizar para você e sua empresa.
- Podemos realizar uma conferência com você ou com alguém do seu time para apresentar como nós estamos ajudando os nossos Clientes na Jornada LGPD – Classificação da Informação?
Além desses serviços voltados à classificação de informações, ainda podemos te ajudar com:
- Análise de vulnerabilidades
- Teste de Intrusão
- Consultoria em Segurança de TI
- Health Check
- Implantação de projetos
- MSS – Serviços Gerenciados de Segurança
- SIEM – Security Information and Event Management
- Suporte Remoto
- E em várias outras soluções de cibersegurança.
Clique aqui para entrar em contato e leve mais segurança à sua empresa!
Além disso, não deixe de acessar o nosso conteúdo sobre os benefícios da automação de Segurança da Informação para a sua empresa!