Uma das maiores preocupações atuais nos ambientes corporativos é o risco de vazamento ou compartilhamento não autorizado de informações confidenciais. É notório que a exfiltração de informações confidenciais pode se dar não apenas por meio do acesso não autorizado de um agente externo, mas também por meio de um colaborador interno mal intencionado.
Algumas empresas encaram esse problema de forma mais séria que outras, pois criam, desenvolvem ou aperfeiçoam produtos ou serviços, e tal know-how tem um valor crítico para o negócio. Não obstante, é surpreendente que até hoje alguns médios e grandes conglomerados de empresas somente comece a dar valor para a segurança da informação aprendendo com o prejuízo causado pelo compartilhamento indevido de algum dado confidencial.
A revista Isto É Dinheiro publicou o artigo "Vazamento de informações: meu ex-funcionário levou informações da minha empresa. E agora?" em 13 de setembro de 2019, de autoria da advogada Gisele Truzzi. O texto expõe com clareza os principais riscos aos quais as empresas estão sujeitas ao perder colaboradores para a concorrência, pois eles podem compartilhar intencionalmente, de forma indevida e não autorizada, dados para o novo empregador, podendo fazer isso até mesmo em troca de um bônus generoso. Existem casos em que o colaborador inclusive se aproveita dos dados em a favor de seu próprio negócio.
O fato é que, antes mesmo de se preocupar com a segurança da informação, é preciso classificá-la! A classificação dos dados certamente traz as seguintes vantagens:
VANTAGENS DE SE CLASSIFICAR DADOS
1. Aperfeiçoamento da proteção dos dados confidenciais.
2. Modulação dos sistemas de segurança da informação, consoante aos dados a serem protegidos.
3. Customização e otimização dos recursos a serem alocados.
4. Facilitação do alinhamento interno a respeito do nível crítico dos dados.
5. Facilitação de mapeamento dos dados dentro da organização.
Quando se fala em classificação de dados, o primeiro pensamento é em rótulos como “público”, “confidencial”, “restrito”, “secreto”, “ultrassecreto” e assim por diante. Embora existam ferramentas de segurança da informação bastante eficientes no mercado que, dentre outras características, rotulam dados e informações utilizando diversos rótulos, a experiência indica, nesse caso, aplica-se o famoso ditado: “o ótimo é inimigo do bom”. Ou seja, quanto mais simplificados forem os rótulos, mais fáceis eles serão aplicados, armazenados, mapeados e menos recursos serão necessários para o seu tratamento.
Um dos conjuntos de softwares mais utilizados em todo o mundo, o Office 365 da Microsoft, já utiliza igualmente a rotulação de documentos gerados pelo Word, Excel, Powerpoint e até mesmo para os e-mails trafegados via Outlook.
Entretanto, não podemos confundir rótulos, que expressam a classificação subjetiva feita pelo usuário, com a classificação do rótulo em si. A subjetividade ao se classificar um dado é onde reside o sucesso ou o fracasso de uma classificação de dados feita de maneira adequada.
Embora a classificação de dados possa se dar por diversos critérios, existem 3 principais tipos que acabam sendo utilizados. Assim, os colaboradores da empresa devem receber treinamento adequado para entender de qual maneira os rótulos devem ser aplicados, sendo pertinente ao critério de classificação adotado pela empresa.
TIPOS DE CLASSIFICAÇÃO DE DADOS
1. Baseada no conteúdo dos dados – de acordo com o nível crítico da informação contida nos dados, atribui-se a classificação subjetiva de acordo com o juízo de valor do colaborador que a rotula.
2. Baseada em um contexto – de acordo com o nível crítico da informação atribuída pela empresa a determinada área, a determinados projetos etc.
3. Baseada no usuário – de acordo com o nível crítico de determinado usuário, em razão deste lidar com informações com um nível mais alto ou não de confidencialidade de informações.
De qualquer forma, dados são dinâmicos e produzidos praticamente a cada segundo dentro de uma organização. Dessa forma, qualquer iniciativa visando a classificação de dados precisa levar em consideração os dados já existentes e a classificação dos dados que serão criados a partir de então.