De acordo com Branden R. Williams e Anton Chuvakin, autores de PCI Compliance: Understand and Implement Effective PCI Data Security, o “único dado bom é o dado que está morto”. Ou seja, durante todo o restante de seu ciclo de vida a sua simples existência será motivo para preocupação.
Na vida geralmente tudo obedece a um ciclo. Na biologia, por exemplo, os seres vivos obedecem ao ciclo de nascer, crescer, reproduzir e morrer. Com a informação não é diferente. Existem diversos modelos de como a informação/dados se desenvolvem ao longo de sua existência. Apresentarei um modelo que por ser muito simples pode abranger amplo uso em organizações. (se alguém souber o nome desse modelo entre em contato)
Os dados e informações passam pelas fases:
- aquisição
- uso
- arquivo
- dispensa/descarte

Aquisição
Uma informação é adquirida, de forma geral por uma organização, de duas formas: copiada de algum lugar ou criada. Copiar é a forma mais comum de adquirir novas informações para a organização. A não ser que a organização seja focada em pesquisa e desenvolvimento, as informações todas terão origem de algum lugar que já a possui.
Uma vez que a infrmação é adquirida, antes de ser utilizada, existem algumas etapas para tornar a informação útil. Geralmente associamos junto à informação algumas características do dado: metadados de sistema como autor, data e hora e permissões; e metadados relacionados ao negócio como classificação, projeto e dono. De forma a tornar mais fácil a recuperação dos dados e informações também realizamos a indexação.
Essas etapas devem ser cumpridas para todos os dados e informações. Em organizações pequenas talvez o processo seja realizado de forma transparente aos usuários. Porém em grandes organizações o processo precisa ser claramente definido. Como deverá ficar mais claro ao longo do restante deste texto.
Uso
Uma vez que os dados e informações são preparados e armazenados, eles devem estar disponíveis para uso pela organização. Quando digo “uso” dos dados é porque esses dados podem estar em um dos três estados: data in motion/transit, data at rest ou data in use. Ou seja, um dado armazenado em disco, quando para pronto uso, seria dado em “uso” de acordo com esse modelo.
O uso adequado dos dados é o maior desafio da segurança da informação, pois a informação precisa ser confidencial, íntegra e disponível para quem precisa utilizá-la. Justamente durante o uso dos dados e informações que eles se tornam disponíveis para leitura e escrita. E permitir isso de forma controlada é o maior desafio.
Durante o uso das informações e dados é necessário com que esses sejam consistentes com a política da organização e em conformidade com a regulamentação. Por exemplo, no tratamento de dados de cartões de crédito é necessário conformidade com a norma PCI DSS (Payment Card Industry Data Security Standard) de forma com que o CVV (Card Verification Value) seja adequadamente protegido para não permitir uso irresponsável.
O uso dos dados deve atender a requisitos de controles definidos na classificação determinada durante a fase de aquisição. Talvez o uso de determinados códigos em documentos possa indicar com que determinada informação não seja utilizada de forma livre e que as mudanças devem ser necessariamente mapeadas, tanto para permitir integridade dos dados mas também para conformidade com a política da organização e regulamentações ou até mesmo leis.
Arquivo
Em algum momento a informação não será mais utilizada e seu uso regular não será mais necessário. Nesse momento os dados deverão ser arquivados e retidos por algum período de tempo. Talvez os dados e informações possam ser úteis depois de algum tempo ou seja necessário manter essas informações para atender a requisitos legais (transações financeiras, por exemplo).
Eventualmente os termos “archive” e “backup” são utilizados quase como sinônimos. Porém o “backup” é uma cópia do dado que está em uso e o propósito do backup é a recuperação em caso de perda do dado original. Um arquivo (“archive“) é um dado que não é mais utilizado e se for necessário o uso ele é retirado de onde estava armazenado para local onde possa ser utilizado e consumido.
Dispensa
A última fase do ciclo de vida da informação é a dispensa, ou “disposal“. Toda organização precisa realizar o descarte de dados. Quando chega esse momento existem duas coisas importantes que devem ser consideradas: que o dado de fato foi destruído e que ele foi destruído da forma correta.
Um dado e informação deve ser destruído de forma com que um possível adversário, caso deseje recuperá-lo, não conseguirá ou levará tempo suficiente para isso que o dado perderá seu valor.
Para que a dispensa dos dados seja realizada para todos os dados e suas versões é necessário com que existam controles que garantam onde todos os dados estão armazenados.
Classificação
Para que a informação siga de forma correta no ciclo de vida e seja adequadamente utilizada, arquivada e descartada uma etapa fundamental do processo é a classificação dos dados e das informações.
O processo de classificar o dado é realizado durante o processo de aquisição. Esse processo é fundamental para uma organização, pois através desse processo que serão definidos os controles aplicáveis através dos metadados que são anexados aos dados. O processo de classificação pode ocorrer durante o ciclo de vida do dado, sendo atualizada a classificação de acordo com a necessidade. Ou seja, não é um processo pontual, mas contínuo.
Classificar um dado é apenas informar que esse dado refere-se a uma classe. Posso dizer que determinados dados referente a clientes, como informações de identificação pessoais (PII – Personally Identifiable Information), pertencem a classe de “privado” e que uma campanha publicitária, por exemplo, é da classe “pública”.
A classificação permite com que seja utilizado de forma racional recursos para garantir a proteção apenas das informações que possuam valor para a companhia. Não é viável para nenhuma organização proteger todos os dados da mesma forma e com os mesmos controles.
A informação pode ser classificada de acordo com sua sensibilidade, criticidade ou ambos. A proposta da classificação é determinar quanto seria perdido caso determinada informação seja perdida.
A sensibilidade é mensurada de acordo com as perdas na exposição da informação para pessoas não autorizadas (ex: leak do site Ashley Madison) o que resultaria em perda de credibilidade no mercado.
A criticidade da informação é um indicador de como a perda da informação poderá impactar nos processos fundamentais da organização. Crítico será o dado que é essencial para que a companhia continue a existir. Por exemplo o caso da empresa Code Spaces que simplesmente foi encerrada depois que atacantes acessaram sua infraestrutura em nuvem e simplesmente removeram seus dados e backups.
Uma vez que os dados e informações foram adequadamente classificados a organização poderá decidir por quais controles serão utilizados para a proteção dos diferentes tipos e classes de dados.
Além da confidencialidade dos dados, como em exemplo citado anteriormente, é relevante pensar também na integridade e no acesso autorizado.
Se realizada da forma correta, a classificação permitirá com que os dados sejam protegidos da forma com melhor custo-benefício.
Exemplo de Classificação e Controles
Em uma organização os dados confidenciais devem ser acessados apenas por executivos senior, sendo um grupo reduzido de colaboradores de confiança. O acesso aos dados confidenciais deve ocorrer por meio de autenticação em dois fatores. A auditoria dos acessos deverá bem detalhada e monitorada diariamente. A remoção dos dados confidenciais não mais utilizados deverá ocorrer por meio de técnicas de degauss das mídias.
Outras informações, classificadas com menor classe, são dadas como sensíveis. À essas informações o acesso é concedido a um grande grupo de pessoas. O acesso a essas informações poderá ocorrer apenas com o uso de um fator de autenticação. A auditoria dos acessos ocorrerá apenas semanalmente. A remoção dos dados poderá ocorrer de forma tradicional.
O restante das informações, não classificadas como confidenciais ou sensíveis, serão marcadas como públicas e poderão ser acessadas por quaisquer funcionários da organização. Não haverá esquema de auditoria específico para revisão dos acessos e a remoção dos dados não utilizará nenhuma técnica especial.
Níveis de Classificação
Cada organização utilizará quantos e como quiser níveis de classificação, o que for mais adequado a sua realidade. A quantidade de níveis deverá ser suficientes para evitar confusões no momento da classificação dos dados e não poderá existir sobreposição de níveis. Para tanto os seguintes parâmetros podem auxiliar no desenvolvimento dos níveis e da classificação:
- a utilidade do dado
- o valor do dado
- a idade do dado
- o nível de dano caso o dado seja liberado
- o nível de dano caso o dado seja alterado de forma irresponsável
- necessidades regulamentárias ou legais
- efeitos dos dados na segurança da organização
- quem deverá ter acesso ao dado
- quem deverá manter o dado
- quem poderá reproduzir o dado
- consequências caso o dado não esteja disponível na oportunidade que for necessário
Geralmente os níveis adotados no meio militar e nas organizações públicas são:
- Top Secret
- Secret
- Confidential
- Sensitive but unclassified
- Unclassified
Para organizações privadas geralmente são adotados os seguintes níveis:
- Confidencial
- Privado
- Sensível
- Público
Lembrando que cada organização deve desenvolver seu esquema de classificação das informações e dados que melhor se adeque a sua realidade.
Por fim, falamos bastante de dados e informações, mas sistemas digitais também devem ser classificados de acordo com os dados e informações que esse manipula. Afinal, nada adiantará se dados sensíveis sejam manipulados por um software cheio de vulnerabilidades. A adequada classificação permitirá a concentração de recursos para o desenvolvimento de sistemas mais seguros para ambientes mais sensíveis e críticos.
Controles de Classificação
Como já comentado anteriormente, os controles dependerão da classificação dos dados e das informações. Considerando que dados sensíveis são comuns a todo tipo de organização, os controles a seguir são geralmente utilizados:
- estrito e granular controle de acesso a todos os níveis de acesso à dados sensíveis
- criptografia de dados quando armzenados e durante a transmissão
- auditoria e monitoração
- separação de responsabilidades
- revisões periódicas
- backup e procedimentos de recuperação em caso de falhas e desastres
- procedimentos de mudança
- proteção física aos dados
- diagramação dos canais de comunicação
- ações necessárias para o correto descarte dos dados
- procedimentos para manipulação, identificação e marcação.
Procedimentos de Classificação
Segue a seguir uma proposta de procedimentos para a correta classificação dos dados:
- definir os níveis de classificação
- especificar os critérios que determinarão como um dado é classificado
- identificar data owners que serão responsáveis pela classificação dos dados
- identificar data custodians que serão responsáveis por manter os dados de acordo com os níveis de segurança
- indicar os controles de segurança e mecanismos de proteção necessários para cada nível de classificação
- documentar qualquer situação que seja exceção dos níveis de classificação definidos
- documentar os métodos para transferência da custódia de dados para diferentes data owners
- criar procedimentos para desclassificação dos dados
- integrar os procedimentos descritos no programa de segurança junto com campanhas de treinamento e conscientização dos colaboradores.