Como este tema funciona na sua empresa
Classificação é informal: maioria dos dados é "tudo importante". Desafio: falta proteção diferenciada, vazamentos afetam tudo. Abordagem: definir 3 categorias simples (público, interno, confidencial); usar rótulos em emails e documentos; acesso controlado por pasta. Implementação: 1 mês. Resultado: clareza sobre o que proteger.
Dados espalhados em sistemas diferentes com proteção inconsistente. Desafio: cumprir LGPD sem saber onde está dados pessoal. Abordagem: política de classificação formal com 4-5 níveis (público, interno, confidencial, secreto, dados pessoais); marcação automática por sistema; controle de acesso por classificação. Implementação: 2-3 meses. Conformidade: LGPD, Resolução BACEN.
Dados em centenas de repositórios com requisitos setoriais (financeiro, saúde). Desafio: manter classificação consistente, auditar acesso, gerenciar ciclo de vida. Abordagem: plataforma de DLP (Data Loss Prevention) integrada com classificação automática por ML; governança de dados centralizada; auditoria contínua. Conformidade: LGPD, ISO 27001, regulação setorial.
Classificação da informação é processo de categorizar dados conforme sensibilidade (impacto de vazamento ou não autorizado) para aplicar proteção proporcional. Categorias variam: público (sem restrição), interno (apenas colaboradores), confidencial (acesso restrito), secreto (acesso mínimo). Resultado: política clara de acesso, conformidade regulatória, resposta a incidentes coordenada[1].
Estrutura de classificação: categorias recomendadas
Não existe classificação única. A estrutura depende de risco de negócio. Recomendação para maioria das empresas:
- Público: informações que podem ser divulgadas publicamente sem impacto (site corporativo, comunicados de imprensa, produtos/serviços). Proteção: mínima. Exemplo: brochura de marketing.
- Interno: informações para uso interno de colaboradores, mas confidencialidade é importante (políticas, processos, atas de reunião). Restrição: apenas colaboradores corporativos. Proteção: controle de acesso. Exemplo: manual de procedimentos, organograma.
- Confidencial: informações sensíveis — vazamento prejudica negócio (estratégia, planos financeiros, contatos de clientes). Restrição: apenas equipes relevantes. Proteção: criptografia, auditoria de acesso. Exemplo: plano estratégico, lista de clientes, contrato em negociação.
- Secreto: informações críticas — vazamento causa dano grave (dados pessoais de clientes, segredos comerciais, credenciais). Restrição: acesso mínimo, necessidade explícita. Proteção: criptografia forte, MFA, auditoria contínua. Exemplo: senhas, chaves criptográficas, dados de pagamento de clientes.
- Dados pessoais: informações que identifica pessoa (nome, email, CPF, endereço, dados bancários). Restrição: LGPD — acesso apenas para fim legítimo. Proteção: criptografia, direito ao esquecimento. Exemplo: cadastro de RH, dados de clientes, lista de funcionários.
Usar 3 categorias: Público, Interno, Confidencial. Dados pessoais são automaticamente Confidencial com identificação de LGPD. Rótulo em email/documento (ex: [CONFIDENCIAL]). Acesso: Confidencial restrito a papéis específicos em Active Directory local.
Usar 4 categorias: Público, Interno, Confidencial, Secreto. Política formal escrita; treinamento obrigatório. Marcação de email/documento manual ou semi-automática (por pasta/sistema). DLP básico: bloqueio de email com Confidencial/Secreto enviado para domínio externo sem aprovação.
Usar 4-5 categorias com sub-categorias por domínio (financeiro, saúde, RH, etc.). Classificação automática por ML (conteúdo do documento, remetente, contexto). DLP avançado integrado com SIEM. Auditoria: relatório de acesso mensal, alertas em tempo real para Secreto.
Implementação da classificação: passos práticos
Passo 1: Definir categorias. Reunião com lideranças de negócio + TI; decidir quais categorias fazem sentido. Documentar em política escrita.
Passo 2: Mapear dados existentes. Identificar onde dados sensíveis vivem (sistemas, pastas, bases de dados). Auditoria simples: questionar proprietários "o que é confidencial aqui?"
Passo 3: Marcar dados. Ativar marcação em email (Office 365, Gmail, Exchange), documentos (Word, SharePoint), sistemas de arquivo (rótulos em pasta). Treinar usuários: como marcar, como respeitar marcação de outros.
Passo 4: Controlar acesso conforme classificação. Acesso a Confidencial requer pertencer a grupo de segurança. Acesso a Secreto requer aprovação. Auditoria: log de quem acessou e quando.
Passo 5: Proteger dados em repouso e trânsito. Confidencial: criptografia de pasta/arquivo. Secreto: criptografia forte (AES-256), chaves gerenciadas. Em trânsito: TLS para email, VPN para acesso remoto.
Passo 6: Auditoria contínua. Relatório mensal: quantos dados por categoria, quem acessou, anomalias. Alert: se alguém de fora da equipe acessa Confidencial/Secreto.
Conformidade regulatória: LGPD, BACEN, setorial
Classificação é requisito de conformidade. LGPD exige: conhecer onde estão dados pessoais, quem acessa, como protege. Bancos (BACEN) exigem criptografia de dados de clientes. Saúde (HIPAA se aplicável) exige controle de acesso a dados médicos.
Benefício: auditoria é trivial — "aqui estão todos os dados Secreto, com acesso auditado, criptografados, com período de retenção definido".
Sinais de que sua empresa precisa classificar informações
Se você se reconhece em três ou mais cenários abaixo, implemente classificação imediatamente.
- Não há distinção clara entre dados públicos e confidenciais
- Vários colaboradores têm acesso a dados de clientes sem necessidade clara
- Dados sensíveis não estão criptografados ou protegidos diferenciadamente
- Não há auditoria de quem acessa dados confidenciais
- Regulação (LGPD, BACEN) exige controle de dados mas empresa não tem documentação
- Colaborador desligado continuou tendo acesso a dados sensíveis
- Vazamento de dados ocorreu e empresa não conseguiu rastrear origem
Caminhos para implementar classificação de informações
Duas estratégias para estruturar a proteção de dados conforme sensibilidade.
Viável quando equipe de TI/segurança tem conhecimento de proteção de dados.
- Perfil necessário: gestor de TI, analista de segurança, proprietário de dados (de cada departamento)
- Tempo estimado: 2-4 meses (definir política + mapear dados + ativar proteção)
- Faz sentido quando: estrutura de dados é relativamente simples, orçamento limitado
- Risco principal: gaps na classificação, subestimar dados sensíveis, falta de conformidade com regulação
Recomendado para compliance garantida e cobertura completa.
- Tipo de fornecedor: Consultoria de Segurança, Especialista em LGPD/Compliance, Implementador de DLP
- Vantagem: expertise em regulação, descoberta automática de dados sensíveis, implementação robusta
- Faz sentido quando: empresa é regulada (financeiro, saúde), dados espalhados em múltiplos sistemas
- Resultado típico: política formal, 100% de dados mapeados e classificados, DLP operacional em 2-3 meses
Precisa estruturar classificação de dados na sua empresa?
Se dados sensíveis não estão claramente identificados e protegidos, o oHub conecta você gratuitamente a especialistas em LGPD e segurança de dados. Em menos de 3 minutos, descreva seu contexto e receba propostas personalizadas, sem compromisso.
Encontrar fornecedores de TI no oHub
Sem custo, sem compromisso. Você recebe propostas e decide se e com quem avançar.
Perguntas frequentes
Quais são as categorias de classificação recomendadas?
Recomendação padrão: Público (sem restrição), Interno (apenas colaboradores), Confidencial (acesso restrito), Secreto (acesso mínimo). Alguns domínios têm categorias adicionais: Dados Pessoais (LGPD) ou Financeiro/Médico (regulação setorial).
Como saber se um dado é confidencial ou secreto?
Pergunta prática: "se vazar, qual é o dano?" Confidencial: dano à negócio (estratégia, financeiro, clientes) — dias/semanas para remediar. Secreto: dano grave (identidade de cliente, segredo comercial) — meses para remediar ou impossível. Use essa métrica para classificar.
Classificação é obrigatória por lei?
Não é obrigatória especificamente por lei, mas é requisito prático de conformidade: LGPD exige saber onde estão dados pessoais; bancos (BACEN) exigem proteção diferenciada de dados de clientes; ISO 27001 exige classificação como prática. É de facto obrigatória se empresa é regulada.
Como implementar classificação sem causar friction para usuários?
Começar com classificação manual simples (3 níveis, rótulos em email). Treinamento claro: "marque assim, e sistema controla acesso automaticamente". Após 6 meses, implementar detecção automática (ML) para reduzir esforço manual. Adoção gradual funciona melhor que tudo de uma vez.
Como lidar com dados já existentes não classificados?
Auditoria inicial: varrer sistemas em busca de keywords (contrato, CPF, dados de cliente). Classificar em lote. Dados antigos sem proprietário claro: questionar "é necessário guardar?" Se sim, classificar como Interno mínimo. Após 6 meses, todos os novos dados devem entrar classificados.
Classificação de dados ajuda em resposta a incidentes?
Sim. Em vazamento, você identifica rapidamente: quantos dados Secreto vazaram, quantos clientes afetados, quem acessou (auditoria), se criptografado (diminui impacto). Investigação de incidente é muito mais rápida.