Ciclo de Vida da Informação

Publicado em por Thiago Leite Postado em CISSP, Segurança da InformaçãoCom a tag , , , , , , , , , , ,

De acordo com Branden R. Williams e Anton Chuvakin, autores de PCI Compliance: Understand and Implement Effective PCI Data Security, o “único dado bom é o dado que está morto”. Ou seja, durante todo o restante de seu ciclo de vida a sua simples existência será motivo para preocupação. 

Na vida geralmente tudo obedece a um ciclo. Na biologia, por exemplo, os seres vivos obedecem ao ciclo de nascer, crescer, reproduzir e morrer. Com a informação não é diferente. Existem diversos modelos de como a informação/dados se desenvolvem ao longo de sua existência. Apresentarei um modelo que por ser muito simples pode abranger amplo uso em organizações. (se alguém souber o nome desse modelo entre em contato)

Os dados e informações passam pelas fases:

  • aquisição
  • uso
  • arquivo
  • dispensa/descarte 
information lifecycle

Aquisição

Uma informação é adquirida, de forma geral por uma organização, de duas formas: copiada de algum lugar ou criada. Copiar é a forma mais comum de adquirir novas informações para a organização. A não ser que a organização seja focada em pesquisa e desenvolvimento, as informações todas terão origem de algum lugar que já a possui. 

Uma vez que a infrmação é adquirida, antes de ser utilizada, existem algumas etapas para tornar a informação útil. Geralmente associamos junto à informação algumas características do dado: metadados de sistema como autor, data e hora e permissões; e metadados relacionados ao negócio como classificação, projeto e dono. De forma a tornar mais fácil a recuperação dos dados e informações também realizamos a indexação. 

Essas etapas devem ser cumpridas para todos os dados e informações. Em organizações pequenas talvez o processo seja realizado de forma transparente aos usuários. Porém em grandes organizações o processo precisa ser claramente definido. Como deverá ficar mais claro ao longo do restante deste texto. 

Uso

Uma vez que os dados e informações são preparados e armazenados, eles devem estar disponíveis para uso pela organização. Quando digo “uso” dos dados é porque esses dados podem estar em um dos três estados: data in motion/transit, data at rest ou data in use. Ou seja, um dado armazenado em disco, quando para pronto uso, seria dado em “uso” de acordo com esse modelo. 

O uso adequado dos dados é o maior desafio da segurança da informação, pois a informação precisa ser confidencial, íntegra e disponível para quem precisa utilizá-la. Justamente durante o uso dos dados e informações que eles se tornam disponíveis para leitura e escrita. E permitir isso de forma controlada é o maior desafio. 

Durante o uso das informações e dados é necessário com que esses sejam consistentes com a política da organização e em conformidade com a regulamentação. Por exemplo, no tratamento de dados de cartões de crédito é necessário conformidade com a norma PCI DSS (Payment Card Industry Data Security Standard) de forma com que o CVV (Card Verification Value) seja adequadamente protegido para não permitir uso irresponsável. 

O uso dos dados deve atender a requisitos de controles definidos na classificação determinada durante a fase de aquisição. Talvez o uso de determinados códigos em documentos possa indicar com que determinada informação não seja utilizada de forma livre e que as mudanças devem ser necessariamente mapeadas, tanto para permitir integridade dos dados mas também para conformidade com a política da organização e regulamentações ou até mesmo leis. 

Arquivo

Em algum momento a informação não será mais utilizada e seu uso regular não será mais necessário. Nesse momento os dados deverão ser arquivados e retidos por algum período de tempo. Talvez os dados e informações possam ser úteis depois de algum tempo ou seja necessário manter essas informações para atender a requisitos legais (transações financeiras, por exemplo). 

Eventualmente os termos “archive” e “backup” são utilizados quase como sinônimos. Porém o “backup” é uma cópia do dado que está em uso e o propósito do backup é a recuperação em caso de perda do dado original. Um arquivo (“archive“) é um dado que não é mais utilizado e se for necessário o uso ele é retirado de onde estava armazenado para local onde possa ser utilizado e consumido. 

Dispensa

A última fase do ciclo de vida da informação é a dispensa, ou “disposal“. Toda organização precisa realizar o descarte de dados. Quando chega esse momento existem duas coisas importantes que devem ser consideradas: que o dado de fato foi destruído e que ele foi destruído da forma correta. 

Um dado e informação deve ser destruído de forma com que um possível adversário, caso deseje recuperá-lo, não conseguirá ou levará tempo suficiente para isso que o dado perderá seu valor. 

Para que a dispensa dos dados seja realizada para todos os dados e suas versões é necessário com que existam controles que garantam onde todos os dados estão armazenados. 

Classificação

Para que a informação siga de forma correta no ciclo de vida e seja adequadamente utilizada, arquivada e descartada uma etapa fundamental do processo é a classificação dos dados e das informações. 

O processo de classificar o dado é realizado durante o processo de aquisição. Esse processo é fundamental para uma organização, pois através desse processo que serão definidos os controles aplicáveis através dos metadados que são anexados aos dados. O processo de classificação pode ocorrer durante o ciclo de vida do dado, sendo atualizada a classificação de acordo com a necessidade. Ou seja, não é um processo pontual, mas contínuo. 

Classificar um dado é apenas informar que esse dado refere-se a uma classe. Posso dizer que determinados dados referente a clientes, como informações de identificação pessoais (PII – Personally Identifiable Information), pertencem a classe de “privado” e que uma campanha publicitária, por exemplo, é da classe “pública”. 

A classificação permite com que seja utilizado de forma racional recursos para garantir a proteção apenas das informações que possuam valor para a companhia. Não é viável para nenhuma organização proteger todos os dados da mesma forma e com os mesmos controles. 

A informação pode ser classificada de acordo com sua sensibilidade, criticidade ou ambos. A proposta da classificação é determinar quanto seria perdido caso determinada informação seja perdida.

A sensibilidade é mensurada de acordo com as perdas na exposição da informação para pessoas não autorizadas (ex: leak do site Ashley Madison) o que resultaria em perda de credibilidade no mercado. 

A criticidade da informação é um indicador de como a perda da informação poderá impactar nos processos fundamentais da organização. Crítico será o dado que é essencial para que a companhia continue a existir. Por exemplo o caso da empresa Code Spaces que simplesmente foi encerrada depois que atacantes acessaram sua infraestrutura em nuvem e simplesmente removeram seus dados e backups. 

Uma vez que os dados e informações foram adequadamente classificados a organização poderá decidir por quais controles serão utilizados para a proteção dos diferentes tipos e classes de dados. 

Além da confidencialidade dos dados, como em exemplo citado anteriormente, é relevante pensar também na integridade e no acesso autorizado. 

Se realizada da forma correta, a classificação permitirá com que os dados sejam protegidos da forma com melhor custo-benefício. 

Exemplo de Classificação e Controles

Em uma organização os dados confidenciais devem ser acessados apenas por executivos senior, sendo um grupo reduzido de colaboradores de confiança. O acesso aos dados confidenciais deve ocorrer por meio de autenticação em dois fatores. A auditoria dos acessos deverá bem detalhada e monitorada diariamente. A remoção dos dados confidenciais não mais utilizados deverá ocorrer por meio de técnicas de degauss das mídias. 

Outras informações, classificadas com menor classe, são dadas como sensíveis. À essas informações o acesso é concedido a um grande grupo de pessoas. O acesso a essas informações poderá ocorrer apenas com o uso de um fator de autenticação. A auditoria dos acessos ocorrerá apenas semanalmente. A remoção dos dados poderá ocorrer de forma tradicional. 

O restante das informações, não classificadas como confidenciais ou sensíveis, serão marcadas como públicas e poderão ser acessadas por quaisquer funcionários da organização. Não haverá esquema de auditoria específico para revisão dos acessos e a remoção dos dados não utilizará nenhuma técnica especial. 

Níveis de Classificação 

Cada organização utilizará quantos e como quiser níveis de classificação, o que for mais adequado a sua realidade. A quantidade de níveis deverá ser suficientes para evitar confusões no momento da classificação dos dados e não poderá existir sobreposição de níveis. Para tanto os seguintes parâmetros podem auxiliar no desenvolvimento dos níveis e da classificação:

  • a utilidade do dado
  • o valor do dado
  • a idade do dado
  • o nível de dano caso o dado seja liberado
  • o nível de dano caso o dado seja alterado de forma irresponsável
  • necessidades regulamentárias ou legais
  • efeitos dos dados na segurança da organização
  • quem deverá ter acesso ao dado 
  • quem deverá manter o dado 
  • quem poderá reproduzir o dado 
  • consequências caso o dado não esteja disponível na oportunidade que for necessário 

Geralmente os níveis adotados no meio militar e nas organizações públicas são:

  • Top Secret
  • Secret
  • Confidential
  • Sensitive but unclassified
  • Unclassified 

Para organizações privadas geralmente são adotados os seguintes níveis:

  • Confidencial
  • Privado
  • Sensível
  • Público 

Lembrando que cada organização deve desenvolver seu esquema de classificação das informações e dados que melhor se adeque a sua realidade. 

Por fim, falamos bastante de dados e informações, mas sistemas digitais também devem ser classificados de acordo com os dados e informações que esse manipula. Afinal, nada adiantará se dados sensíveis sejam manipulados por um software cheio de vulnerabilidades. A adequada classificação permitirá a concentração de recursos para o desenvolvimento de sistemas mais seguros para ambientes mais sensíveis e críticos. 

Controles de Classificação

Como já comentado anteriormente, os controles dependerão da classificação dos dados e das informações. Considerando que dados sensíveis são comuns a todo tipo de organização, os controles a seguir são geralmente utilizados:

  • estrito e granular controle de acesso a todos os níveis de acesso à dados sensíveis
  • criptografia de dados quando armzenados e durante a transmissão
  • auditoria e monitoração
  • separação de responsabilidades 
  • revisões periódicas
  • backup e procedimentos de recuperação em caso de falhas e desastres
  • procedimentos de mudança 
  • proteção física aos dados
  • diagramação dos canais de comunicação
  • ações necessárias para o correto descarte dos dados
  • procedimentos para manipulação, identificação e marcação.

Procedimentos de Classificação

Segue a seguir uma proposta de procedimentos para a correta classificação dos dados:

  • definir os níveis de classificação
  • especificar os critérios que determinarão como um dado é classificado
  • identificar data owners que serão responsáveis pela classificação dos dados 
  • identificar data custodians que serão responsáveis por manter os dados de acordo com os níveis de segurança
  • indicar os controles de segurança e mecanismos de proteção necessários para cada nível de classificação
  • documentar qualquer situação que seja exceção dos níveis de classificação definidos 
  • documentar os métodos para transferência da custódia de dados para diferentes data owners 
  • criar procedimentos para desclassificação dos dados 
  • integrar os procedimentos descritos no programa de segurança junto com campanhas de treinamento e conscientização dos colaboradores. 

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *