Classificação e Manuseio Seguro da Informação

Classificação e Manuseio Seguro da Informação

Resumo: O conhecimento e a informação são vitais para as pessoas e para as organizações, sejam estas governamentais ou privadas. Com o desenvolvimento da Informática e o advento da Internet, a vulnerabilidade da proteção das informações vem aumentando dia a dia, principalmente devido às facilidades no armazenamento portátil e na transmissão via rede pública. A classificação e o manuseio da informação são processos chave para a implantação de um Sistema de Gestão de Segurança da Informação que vise reduzir essas vulnerabilidades. Palavras-Chave: Classificação; Manuseio; Confidencialidade; Integridade; Disponibilidade. Abstract: Know-how and information are essential for people and private or governmental organizations. As informatics and Internet develops, the vulnerability of information protection is rising everyday, mainly due to the facility of storage into portable devices and transmission over public networks. The classification and handling of informations are key processes to implement an Information Security Management System that aims to reduce those vulnerabilities. Keywords: Classification; Handling; Confidentiality; Integrity; Availability. 1.

Introdução Um Sistema de Gestão de Segurança da Informação é um conjunto de políticas e

procedimentos que visa à proteção das informações de uma organização, normalmente baseado em normas técnicas (ISO 27001, ISO 13335). Porém, aplicar o mesmo nível de proteção para todas as informações é algo impraticável e os custos da implementação e operação destes processos de proteção seriam inviáveis. Afinal, as informações possuem um valor distinto entre si e variam conforme o tipo da organização. Por isso, devem receber um tratamento diferenciado, conforme sua importância. A determinação do valor da informação pode ser realizada pelo processo de Classificação da Informação, enquanto que o Manuseio da Informação refere-se ao conjunto de políticas, regras e procedimentos definidos para a sua proteção conforme a respectiva classificação. Excetuando-se as esferas militar e governamental, a classificação da informação pode, às vezes, soar como algo novo, mas fato é que, ao menos informalmente, as empresas e as pessoas aplicam seus conceitos frequentemente. Com a crescente

necessidade por segurança da informação, requer-se uma formalização e sistematização desse processo. A proteção de informações classificadas como sensíveis ou críticas, em especial relacionadas a dados pessoais e privacidade, é regulamentada pela legislação de diversos países, tais como EUA, Japão e Alemanha. Portanto, multinacionais ou empresas exportadoras podem estar sujeitas a cumprir determinadas regras em função do armazenamento e processamento de dados relevantes a esses casos. Muitas empresas estão submetidas atualmente a um crescente ambiente regulatório em relação à segurança da informação, como por exemplo, HIPAA (Healthcare Insurance Portability and Accountability Act), GLBA (Gramm-LeachBliley Act), SOX (Sarbanes-Oxley Act), etc. Por isso, precisam identificar, classificar e definir medidas de proteção especiais para processamento dos dados em conformidade com as leis e regulamentos dos mercados em que operam.

2.

Pré-requisitos, Objetivos das Organizações e Política Corporativa Embora o processo de classificar as informações possa ser conduzido de forma

isolada, o ideal é tomar por base as necessidades reais de segurança da informação que devem ser definidas e aprovadas pelo corpo diretivo, pois são individuais para cada organização. A Política Corporativa de Segurança da Informação deve definir de forma abrangente quais são os processos vitais para o negócio da organização, e com base nisso, pode-se realizar um detalhamento das informações mais importantes que fluem nesses processos. O corpo diretivo da organização deve nomear uma área responsável pela implementação do Sistema de Gestão de Segurança da Informação, sendo normalmente uma área ligada à Tecnologia da Informação, mas que também pode estar relacionada às seguintes áreas: Finanças, Recursos Humanos, Organização, Gerenciamento de Riscos ou até mesmo ser uma área independente ligada diretamente à presidência. Esta área trabalhará na coordenação do processo de classificação, no levantamento dos ativos de informação em conjunto com todas as áreas da empresa e na elaboração de políticas, regras e procedimentos de manuseio da informação. Também poderá realizar auditorias e verificações de conformidade em todas as áreas da empresa,

fornecedores e terceiros, ou seja, onde sejam processadas informações sensíveis da empresa.

3.

Conceitos de Classificação da Informação A classificação da informação é o processo de atribuí-la em categorias ou classes

previamente padronizadas conforme os graus de sua importância na organização e considerando a criticidade em relação à sua confidencialidade, integridade e disponibilidade. 3.1. Confidencialidade É a garantia de permissão de acesso à informação somente às pessoas expressamente autorizadas, obedecendo ao princípio da “necessidade de conhecimento” da segurança da informação. Cada organização deve definir e padronizar sua categorização, tipicamente utilizando de três a cinco níveis. A definição de níveis em excesso pode tornar a categorização complexa, enquanto que a definição de poucos níveis pode ser insuficiente, prejudicando em ambos os casos a consistência do processo. Seguem exemplos de quatro categorias de confidencialidade: •

pública ou não-classificada: acesso universal sem nenhum tipo de restrição ou

controle. Exemplo: informações publicadas na área aberta do web-site de uma empresa. •

restrita, sensível ou interna: correspondem às informações de processos

rotineiros e internos de uma organização. Embora este tipo de informação seja de uso restrito conforme a necessidade específica do trabalho, um eventual vazamento para pessoas internas ou externas não causa nenhum impacto negativo para a empresa. Exemplos: informações publicadas na Intranet; quantidade de estoque de materiais. •

privada: informações pessoais (endereço, salário, dados médicos, etc) de

funcionários, clientes, contratados, fornecedores. O vazamento deste tipo de informações pode ter sérios impactos para a pessoa envolvida, para a imagem da empresa e consequências jurídicas. •

confidencial, secreta: são informações restritas a grupos pequenos de usuários e

cuja revelação não autorizada pode causar um impacto negativo na imagem ou na vantagem competitiva da empresa frente aos concorrentes. Exemplos: planos estratégicos; dados de engenharia de projetos da área de desenvolvimento; segredos comerciais; estratégias de Marketing.

No âmbito governamental, a classificação varia de país para país, mas a maioria possui níveis que correspondem às definições britânicas: unclassified, restricted, confidential, secret, top-secret. Adicionalmente aos níveis gerais acima, podem existir classificações com restrições adicionais de acesso, como por exemplo, nos EUA: SI (special intelligence) que protege fontes e métodos de inteligência, NOFORN (no foreign dissemination) que restringe a disseminação aos norte-americanos e ORCON (originator controlled dissemination) cuja disseminação é controlada pelo produtor da informação. Quando uma agência ou grupo governamental quer compartilhar informações com outro governo, eles geralmente empregam um esquema especial de classificação previamente acertado entre ambos. No âmbito da administração pública federal brasileira (Decreto 4.553, 2002) foi instituída a classificação de dados, informações e materiais sigilosos de interesse da segurança da sociedade e do Estado. O artigo 5º desse decreto classifica documentos em ostensivos ou sigilosos. Ostensivos ou ordinários são documentos cuja divulgação não prejudica a administração. Sigilosos são documentos de conhecimento restrito e, portanto, requerem medidas especiais de salvaguarda para sua custódia e divulgação. Segundo a necessidade do sigilo e quanto à extensão do meio em que podem circular, são quatro os graus de sigilo: reservado, confidencial, secreto e ultra-secreto. Podem ser classificadas como ultra-secreto as informações referentes à soberania e integridade territorial nacional, planos e operações militares. A classificação secreta pode ser aplicada a sistemas, instalações, programas, projetos, operações de interesse da defesa nacional e assuntos diplomáticos. Confidencial podem ser as informações que, no interesse do Poder Executivo, devem ser de conhecimento restrito. Reservado é a classificação da informação cuja revelação não-autorizada possa acarretar dano grave à segurança da sociedade e do Estado. 3.2. Integridade Refere-se à acurácia, precisão, validade dos dados e métodos de processamento das informações. A classificação deve ser feita baseada no impacto causado nos negócios da empresa devido a uma alteração ou destruição de dados de maneira não autorizada, podendo ser intencional ou não propositada, de forma manual ou automatizada.

A organização precisa definir e padronizar as categorias relacionadas à integridade das informações. Uma sugestão poderia ser a classificação em três níveis conforme o impacto no negócio da falta de integridade da informação: •

baixa: o impacto monetário ou intangível é nulo ou desprezível considerando o volume de negócios da empresa. Também podem ser enquadrados nesta categoria os impactos significativos que possam ser remediados em tempo hábil por ações corretivas ou de mitigação dos efeitos.

•

média: impactos monetários ou intangíveis de nível médio e que não possam ser remediados no curto prazo.

•

alta: a falta de integridade nas informações de integridade alta causa impactos severos e imediatos nos processos da empresa, perdas monetárias e intangíveis significativas frente ao volume de negócios da empresa. 3.3. Disponibilidade É o asseguramento de que a informação estará acessível no momento em que for

necessária. A categorização também deve ser padronizada pela empresa com base na avaliação de impacto monetário ou intangível causada nos processos de negócio pela indisponibilidade da informação no momento em que for requisitada. Como no exemplo anterior, poderíamos adotar três níveis de categoria baseados na criticidade da disponibilidade da informação: •

baixa: o impacto monetário ou intangível da indisponibilidade da informação ou sistema é nulo ou desprezível considerando o volume de negócios da empresa.

•

média: o impacto da indisponibilidade da informação ou do sistema é significativo para os negócios da empresa.

•

alta: o impacto da indisponibilidade é severo e imediato para o negócio chave da empresa, levando à interrupção de sua atividade principal. O impacto pode atingir seus clientes. 3.4. Distribuição típica As informações críticas para uma organização são as que possuem os maiores

graus de impacto na confidencialidade, integridade e disponibilidade. Costuma-se designar por informações sensíveis, as informações críticas de confidencialidade (secretas, confidenciais ou privadas) e/ou críticas de integridade.

A distribuição das informações nas categorizações de confidencialidade, integridade e disponibilidade varia muito conforme o ramo de atuação da organização. Tipicamente, uma empresa no ramo bancário possui grande quantidade de informações confidenciais de seus clientes e a maioria de suas informações é crítica em relação à integridade e disponibilidade. Ao contratar os serviços de um banco, o cliente espera que seus dados pessoais e sua movimentação de contas não sejam revelados indevidamente (confidencialidade), que estejam sempre precisos (integridade) e que a qualquer momento possam ser movimentados (disponibilidade). Por outro lado, uma empresa no ramo manufatureiro ou comercial tende a lidar na maior parte dos casos com informações de caráter interno. Mesmo assim, sempre terá informações sensíveis em relação à confidencialidade e integridade, por isso, a importância na identificação dessas informações para sua proteção. Além disso, possuem processos críticos em relação à disponibilidade de informações em suas operações de produção de serviços ou produtos. Uma distribuição típica nesse ramo se assemelharia ao descrito na tabela 1. Tabela 1. Distribuição típica de classificação da informação Confidencialidade

Confidencial

Privada

Restrita

Pública

Distribuição

15%

5%

70%

10%

Integridade

Alta

Média

Baixa

Distribuição

5%

25%

70%

Disponibilidade

Alta

Média

Baixa

Distribuição

10%

30%

60%

Estes valores mostram quanto o processo de classificação da informação pode ser valioso para uma organização. Pelo conhecimento das informações críticas ou sensíveis, ela pode focar seus investimentos de segurança da informação e conscientização dos usuários na sua proteção, ao invés de uma estratégia que forneça o mesmo grau de segurança para todas as informações.

4. Metodologias de Classificação da Informação Não há um processo único e padronizado para realizar a classificação das informações. Para a identificação das informações relevantes de uma organização, pode ser utilizada uma abordagem orientada pelos processos de negócio, pela estrutura

organizacional da empresa, pelos sistemas de Tecnologia da Informação, ou o que é mais provável, por uma combinação dessas abordagens (Etges, McNeil, 2006). 4.1. Identificação orientada pelos processos de negócio Utiliza-se um modelamento dos processos de negócio da empresa. Em particular, esta pode ser a abordagem escolhida, se a empresa já possui uma documentação de seus processos de negócio. Os processos principais vão sendo detalhados passo a passo até atingir um nível suficiente para descrever os sistemas e documentos que contêm as informações mais relevantes que fluem nesses processos, conforme exemplo simplificado indicado na figura 1.

Figura 1. Descrição de processos e informações relacionadas

4.2. Identificação orientada pela organização Conforme exemplo da figura 2, os representantes das áreas da empresa devem listar as informações que geram e que são responsáveis, e passar os dados para a área de coordenação central do processo de classificação. É necessária uma consolidação para eliminação de duplicidade de classificação das informações das áreas. Figura 2. Identificação de informações da estrutura organizacional

4.3. Identificação orientada por sistemas de Tecnologia da Informação A identificação das informações é realizada por intermédio de extratos das informações existentes nos sistemas de Tecnologia da Informação (TI) corporativos. Pode ser uma opção interessante se a empresa já possui um modelamento das informações documentado para a criação de seus bancos de dados.

Figura 3. Identificação de informações nos sistemas de TI

4.4. Responsabilidade pela classificação das informações Para toda informação relevante identificada deve ser atribuída a área responsável pela sua classificação, sendo normalmente a área geradora da informação. Também são identificadas as áreas que as processam ou manuseiam. 4.5. Agrupamento de informações Durante o processo de identificação, as informações individuais devem ser agregadas em agrupamentos pertinentes entre si. Com isso, reduz-se significativamente o volume de identificação e classificação de dados. Por exemplo, “endereço” pode ser um agrupamento que contenha rua, número, cidade, etc. “Dados pessoais” pode agrupar informações de endereço, salário e prontuário médico. A mesma idéia de agrupamento é válida para os dados de outras áreas da empresa, como por exemplo, dados contábeis, logísticos, de produção, de vendas e assim por diante. 4.6. Classificação dos agrupamentos de informação Os agrupamentos de informações devem então, de acordo com a padronização de categorias previamente definida, ser classificados quanto a sua confidencialidade, integridade e disponibilidade. Esta classificação deve ser realizada pela área proprietária ou responsável pela informação, sempre considerando o impacto que o manuseio indevido pode causar para a organização. A classificação de algumas informações pode se tornar, às vezes, um tanto subjetiva, ocorrendo dúvidas quanto ao grau de criticidade. Por isso, os coordenadores do processo de classificação podem fornecer previamente

aos responsáveis pela informação, uma lista de verificação ou questionário de apoio que facilitem a classificação, através da utilização de tabelas com valorização de custos estimados de perdas relacionadas ao vazamento de informações, imprecisão de dados e interrupção de sistemas, reduzindo a subjetividade na avaliação. Por exemplo, se o vazamento ou imprecisão de uma determinada informação resultar em perdas de vendas estimadas em $100.000,00, a informação poderá ser considerada como confidencial e de integridade alta. Conforme já citado na introdução, a classificação de determinadas informações pode ser previamente regida por lei ou regulamentos em vários países. A tabela 2 fornece alguns exemplos de classificações.

Tabela 2. Exemplos de classificação da informação Grupo de

Confidencialidade

Integridade

Disponibilidade

Pública

Média

Baixa

Interna

Alta

Baixa

Gerente RH

Confidencial

Alta

Alta

Gerente RH

Confidencial

Média

Baixa

Plano Vendas

Gerente Vendas

Confidencial

Média

Baixa

Plano Produção

Gerente Produção

Interna

Baixa

Baixa

Dados JIT

Gerente Logística

Interna

Baixa

Alta

Informação Jornal notícias

Dados Balanço

Dados Médicos Salários e Benefícios

Responsável Supervisor Relações Públicas Gerente Financeiro

4.7. Análise de Riscos Terminada a classificação dos ativos de informação, procede-se a uma análise de riscos que estes ativos estão sujeitos na organização. Nesta etapa são analisados que tipos de ameaças podem ocorrer sobre as informações críticas. As ameaças podem, por exemplo, ser enquadradas em: •

ataques externos (malwares, negação de serviço)

•

violações internas causadas por funcionários ou terceiros

•

desastres naturais e danos físicos

•

falhas de hardware ou aplicativos

•

roubo ou furto de equipamentos

•

perda de informações intencional ou não

•

erro humano

4.8. Mitigação de riscos e implementação de política Nesta etapa, definem-se medidas de redução do risco representado pela vulnerabilidade às ameaças sobre as informações críticas da empresa. Analisa-se a relação custo-benefício das medidas em relação à ocorrência de perda ou vazamento da informação. A implementação do processo e a categorização de classificação da informação deve estar descrito na Política de Classificação da Informação da empresa. Esta política deve ser publicada preferencialmente na Intranet e comunicada a todos os funcionários e terceiros, incluindo também fornecedores e parceiros comerciais relevantes.

5.

Manuseio da Informação De nada adianta classificar informações e não manuseá-las com o devido

cuidado. Por isso, a empresa deve descrever e divulgar políticas e procedimentos de segurança da informação conforme a sua classificação. Algumas regras de manuseio são de caráter geral, válidas para todos os usuários e devem existir procedimentos específicos para determinadas áreas de negócio. A área de Tecnologia da Informação, por exemplo, possui diversas divisões que lidam com todas as informações da empresa. A central de atendimento, a área de operações de administração de servidores e banco de dados devem ter procedimentos de segurança

aprovados.

O

desenvolvimento

de

sistemas

deve

considerar

a

confidencialidade das informações processadas, em especial as aplicações em plataformas WEB. Planos de continuidade de negócios e recuperação de desastres devem ser elaborados e testados para dar suporte a informações que necessitem de alta disponibilidade. No mínimo, as seguintes políticas e procedimentos devem ser estabelecidos para o manuseio de informações sensíveis:

•

regras de autenticação e autorização de acesso a sistemas

•

revisão periódica de acessos a sistemas

•

regras de utilização de computação móvel (Notebooks, pendrives, palmtops, etc)

•

utilização de criptografia para armazenamento local e transmissões

•

regra de utilização de Internet, Intranet e e-Mail

•

acesso remoto e teletrabalho

•

transmissão de dados a fornecedores

•

acesso de informações por terceiros e fornecedores

•

cláusulas contratuais de segurança da informação

Dentre os pontos acima, as regras de autorização de acessos a sistemas são especialmente importantes para o manuseio seguro da informação. Esses acessos devem ser concedidos e aprovados pelo proprietário da informação, conforme definido no processo de classificação da informação. Os proprietários da informação devem também periodicamente realizar revisões desses acessos anteriormente concedidos. O manuseio seguro de informações requer ainda que existam processos de cancelamento de acessos de funcionários ou terceiros ao deixarem a empresa ou mudarem de área ou cargo. Processos de autorização são um dos principais controles de segurança que a empresa pode utilizar, em especial, se tiver o foco nas suas informações classificadas como críticas. Seria quase impossível controlar precisamente o acesso a todas as informações de uma organização, mas controlar o acesso a, por exemplo, 30% das informações, torna-se algo viável. Essa é uma solução à difícil missão de controlar a utilização de simples pendrives, DVDs ou CDs. Afinal, se um funcionário ou terceiro copiar o cardápio do restaurante para um pendrive e passar pela portaria levando essa informação, nenhum impacto significativo haverá para a empresa. Portanto, quem tem o acesso à informação crítica precisa ser conscientizado para as práticas de manuseio seguro através das políticas e procedimentos. Por exemplo, pode ser definido que um executivo de vendas deve criptografar seus dados de vendas antes de transportá-los em equipamentos móveis.

6.

Obstáculos e Fatores de Sucesso Embora o conceito de classificação e manuseio seguro da informação seja algo

de relativo fácil entendimento e descrição, isto não pode ser dito de sua implementação, já que é um processo que precisa ser vivenciado por uma organização e envolve comunicação, treinamento, comprometimento, conscientização e, fundamentalmente, o apoio do corpo diretivo. É um processo que após definido e implementado precisa ser fortemente incluído na cultura de uma empresa. Se a organização for composta de várias unidades empresariais similares, como são os casos das multinacionais, a classificação pode ser realizada centralmente e divulgada para todas as suas filiais. Caso haja particularidades nos processos ou regulamentos locais, elas poderão ser feitas por exceção à regra de classificação geral. Este processo pode simplificar muito a implementação da classificação da informação em um grande conglomerado empresarial, com a vantagem de padronização mundial de seus procedimentos de manuseio da informação. A utilização de um questionário e tabela de referência de valores, conforme descrito anteriormente, pode ajudar a evitar um dos principais problemas enfrentados no processo de classificação da informação: a sobrevalorização das informações, ou em outras palavras, a tendência da área responsável em classificar a maior parte de suas informações como confidenciais, de alta integridade e disponibilidade, quando em geral suas informações não são realmente críticas para o negócio. Ao realizar o treinamento antes da classificação da informação, deve ficar claro que todas as informações existentes na empresa são importantes, mas que nem todas causam impactos sérios imediatos na empresa se forem indevidamente reveladas, alteradas ou mesmo ficarem temporariamente indisponíveis. Sobretudo, o fator de sucesso será o envolvimento do corpo diretivo da empresa. Do contrário, todos os esforços levarão a uma implementação superficial da classificação da informação e o processo não será efetivamente incorporado ao dia a dia dos executivos, funcionários e todos os que manuseiam informações da empresa. Muitas empresas consideram a classificação da informação e a análise de riscos um processo de alto custo e de resultados duvidosos (Fowler, 2003). Interpretam a segurança da informação como um problema específico da área de TI, acabando por delegar a esta, formalmente ou não, a identificação das informações e respectivas medidas de segurança. Entretanto, esta prática é ineficiente, pois a área de negócios

responsável pela informação é a que conhece a real importância de protegê-la. Se o trabalho de classificar e proteger as informações parece realmente extenso, deve-se considerar que, mesmo sem o processo formal, decisões de proteção terão que ser obrigatoriamente tomadas, se não pela área de negócios responsável, por administradores de banco de dados, analistas e operadores de infraestrutura de Tecnologia da Informação, funções em geral terceirizadas. Para garantir a conformidade na utilização das políticas de Classificação da Informação, devem ser realizadas auditorias para verificar nas áreas de negócio, nas áreas de TI, em terceiros e fornecedores, o manuseio adequado das informações críticas da empresa.

7.

Conclusão, Tendências Atuais e Futuras Este artigo mostrou que a generalidade do processo de classificação e manuseio

seguro de informações permite sua aplicação nas organizações de pequeno, médio e grande porte; no setor público e no setor privado; no comércio, na indústria e nos serviços. Pode até mesmo ser aplicado de forma pessoal para a proteção dos dados sensíveis de uma família. A aplicação formal de Sistemas de Gestão de Segurança da Informação em grandes organizações é uma realidade, que ainda não foi devidamente acompanhada pelas pequenas e médias empresas, talvez pela capacidade reduzida de pessoal e de recursos financeiros. Com isso, estas organizações estão atualmente mais vulneráveis às ameaças de segurança da informação. Porém, elas podem se beneficiar muito se aplicarem a classificação e práticas de manuseio seguro das informações sensíveis, mantendo o processo da forma mais simples possível e tomando vantagem de sua flexibilidade de pequenas e médias empresas. É interessante notar que a classificação da informação é um processo aplicado a algo abstrato: “Informação” e não a algo físico. Assim, a independência da classificação em relação ao meio onde está armazenada (papel ou eletrônico) possibilita que a classificação não se altere conforme o desenvolvimento da tecnologia. Somente as proteções relacionadas ao manuseio da informação precisam ser continuamente adaptadas. As novidades tecnológicas são trazidas continuamente a empresas e usuários, porém, os fabricantes normalmente não realizam testes de segurança suficientes ou a

tecnologia não está ainda madura. Com isso, as empresas precisam ter cuidado ao implementá-las, pois podem introduzir diversas vulnerabilidades ao ambiente da empresa e, consequentemente, às suas informações sensíveis. É o caso, por exemplo, da Computação em Nuvem (Cloud Computing) em que fornecedores oferecem o armazenamento remoto de dados e programas em servidores de Centros de Processamento espalhados pelo mundo. Passada a fase de empolgação inicial (Thibodeau, 2010), especialistas apontam que a falta de padrões de manuseio de dados e práticas de segurança na Computação em Nuvem têm frustrado a sua aceitação. Não há nem mesmo acordos obrigando o fornecedor a informar seus clientes onde estão hospedados seus dados, o que é obrigatório para conformidade com regulamentações como a lei Sarbanes-Oxley, por exemplo. Talvez a classificação da informação possa permitir a utilização dessa tecnologia ao segregar o armazenamento de informações sensíveis do restante. Com isso seria possível aliar a flexibilidade e baixo custo da Computação em Nuvem com as necessidades de proteção das informações sensíveis. A virtualização de servidores e o SAN (Storage Area Network) são outras tecnologias que vêm sendo aplicadas visando baixar os custos, mas deve-se considerar a classificação das informações para que essas migrações dos dados dos servidores individuais possam ser feitas com mais segurança ao agrupar as informações nos servidores. Com a evolução crescente do poder de processamento que será obtido num simples computador pessoal, dos avanços da inteligência artificial, da biotecnologia e da nanotecnologia, alguns cientistas futuristas estão prevendo o que se denomina “singularidade tecnológica” (Kurzweil, 2005). A tecnologia começaria a avançar em um passo cada vez maior e num determinado momento (singularidade), o ser humano poderia perder o controle sobre o manuseio das informações. Atualmente, isso pode ser notado em alguns casos, como por exemplo, no controle preciso de onde estão cadastrados nossos próprios dados pessoais. Por isso, o avanço tecnológico deve levar em conta a proteção das informações, especialmente as classificadas como sensíveis para as organizações e as privativas do ser humano.

8.

Referências

DECRETO 4.553, de 27 de Dezembro de 2002, Dispõe sobre a salvaguarda de dados, informações e materiais sigilosos de interesse da sociedade e do Estado, no âmbito da Administração Pública Federal. Disponível em: http://www.planalto.gov.br/. Acesso em: 17/04/2010. ETGES, Rafael; McNEIL,Karen. Understanding Data Classification Based on Business and Security Requirements, 2006.Disponível em: http://www.itgi.org/Template.cfm?Section=Home&CONTENTID=52578&TEMPLAT E=/ContentManagement/ContentDisplay.cfm. Acesso em: 16/04/2010. FOWLER,Susan. Information Classification – Who, Why and How. SANS Institute InfoSec Reading Room, 2003. Disponível em: http://www.sans.org/reading_room/whitepapers/auditing/information-classification-who_846. Acesso em: 15/04/2010.

KURZWEIL, Ray. The Singularity is near. When Humans transcend Biology. Penguin Group, 2005. ISO/IEC TR 13335 Information Technology – Guidelines for the management of IT Security. ISO/IEC 27001 Information Technology – Information Security Management Systems. THIBODEAU, Patrick. Frustrations with cloud computing mount. Computerworld, April 9, 2010. Disponível em: http://www.computerworld.com/s/article/9175102/Frustrations_with_cloud_computing _mount. Acesso em: 16/04/2010.