Quando era criança e mesmo na adolescência, costumava ouvir dos meus pais que nem tudo que se falava em casa era para divulgar para outras pessoas, fossem elas colegas da escola ou da rua em que morava. “Naquela época”, era comum ter muitos colegas no bairro e também participar ativamente de suas vidas. Por outro lado, não existiam as redes sociais, o que, acredito, preservou muitas informações sensíveis.
Em contrapartida, hoje é possível acessar informações pessoais e monitorar a vida das pessoas e de seus familiares, mesmo sem conhecê-las, potencializando assim o risco para todos os envolvidos. Sei que não tenho o direito de criticar ou julgar o tipo de informação que as pessoas publicam nas redes sociais, afinal, a responsabilidade é de quem publica, de acordo com os seus critérios, valores e percepções.
No entanto, como profissional da área de Segurança da Informação, destaco a importância da análise do valor da informação que se pretende divulgar. Por exemplo, questões que podem ajudar a refletir sobre o assunto são: existem dados/informações que podem comprometer a sua segurança física e/ou a de seus familiares? Existem dados/informações que expõem terceiros que não foram consultados? Ou então, existem informações daqueles sonhos e planos para o futuro, aqueles que só os íntimos conhecem?
Ao meu ver, são questões que devem ser consideradas para a classificação e divulgação de informações pessoais nas redes sociais. Já para informações corporativas, a norma ISO/IEC 27001:2013 apresenta controles que abordam o tema. O controle A.8.2 Classificação da Informação tem o seguinte objetivo: Assegurar que a informação receba um nível adequado de proteção, de acordo com a sua importância para a organização. Além disso, em A.8.2.1, a norma explicita: A informação deve ser classificada em termos do seu valor, requisitos legais, sensibilidade e criticidade para evitar modificação ou divulgação não autorizada.
Diante disso, é possível traçar um paralelo entre os dois tipos de informações citadas neste artigo, as pessoais e as corporativas. Em resumo, as duas precisam de critérios para serem divulgadas. Para as organizações que possuem um Sistema de Gestão de Segurança da Informação implementado e certificado, é comum encontrar uma norma ou outro documento que define os níveis e critérios para se classificar uma informação em Confidencial, Restrita, Interna e Pública, por exemplo. No âmbito pessoal, não é preciso elaborar uma norma para tratar do assunto. Mas, sugiro cuidado e atenção ao divulgar informações pessoais nas redes sociais. Ah, e os sonhos? Estes devem ser classificados como confidenciais e divulgados somente para aqueles que nos amam (minha opinião). Por que? Porque sonhos são valiosos e devem ser protegidos contra acessos indevidos.
Fonte:
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. NBR ISO/IEC 27001: Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Requisitos. Rio de Janeiro, 2013.