NÍVEIS DE ACESSO E SEGURANÇA
INFORMAÇÃO CONFIDENCIAL
Os artefatos de informação considerados "confidenciais" são todos os materiais que precisam ter seu acesso restringido e regulado para garantir a proteção e segurança de todos os ativos e passivos institucionais da Fundação Lusófona.
O processo de Classificação tem como propósito proteger e restringir o acesso de uso a artefatos de informação. A categorização e definição do status de confidencialidade e restrição de artefatos de informação, bem como sua manutenção, proteção e regulamentação estão sob a jurisdição institucional da Diretoria de Administração de Arquivos e de Segurança de Informação (DAASI).
Para garantir a seguridade dos artefatos de informação institucionais, a Fundação Lusófona emprega o critério da "necessidade de saber" (need-to-know-basis), contando com sistemas de compartimentalização de informações para controlar e limitar o acesso por meio de classificações.
O princípio da necessidade de saber específica que a disseminação de artefatos de informação e conhecimento não deverá ser maior do que o necessário para permitir uma conduta eficiente de operações organizacionais e, portanto, seu acesso deverá ser limitado apenas aos indivíduos que realmente precisam e estão apropriadamente autorizados a ter acesso aos artefatos relevantes para a condução de suas responsabilidades.
Este princípio é aplicado nas relações internas e externas da Fundação Lusófona.
Indivíduos que, por incompetência ou negligência, falham na proteção de material confidencial são penalizados disciplinarmente por meio do Comitê de Ética da Fundação Lusófona de acordo com a gravidade da situação.
CREDENCIAIS DE SEGURANÇA
Autorizações ou Credenciais são classificações especiais que compreendem uma série de normas para controlar permissões necessárias para acessar, manipular e visualizar certos artefatos de informação, além de definir qualificações de como a informação deve ser armazenada, manipulada, transmitida e até mesmo destruída.
Enquanto sob a influência do princípio de "necessidade de saber", as autorizações e credenciais não possuem caráter geral para concessão automática de todo e qualquer tipo de material classificado num mesmo nível ou em níveis inferiores e, também, não são indicadores de posição hierárquica na estrutura institucional.
Institucionalmente, a Fundação Lusófona utiliza níveis de classificação de forma a compartimentalizar o acesso à informação. O sistema de compartimentalização existe para impedir a disseminação descontrolada de informação, garantindo que apenas os indivíduos que realmente precisem da informação a possuam.
Credenciais de segurança são concedidas a indivíduos apenas após investigações extensivas de suas identidades e mediante justificativas razoáveis da necessidade quanto à creditação, assim garantindo que apenas indivíduos com interesses e necessidades legítimas são creditados com credenciais de segurança.
As credenciais de segurança são creditadas de acordo com o princípio de "necessidade de saber" e com base na compartimentalização de informação apenas após as qualificações de um indivíduo terem sido investigadas extensivamente e creditadas e, não necessariamente, indicam a posição hierárquica do indivíduo creditado.
Um exemplo prático de compartimentalização:
Apesar dos Diretores de Sítio das instalações PT10 e PT33 possuírem a mesma posição hierárquica e o mesmo nível de credenciais, o Diretor do Sítio PT10 não tem acesso geral a base de dados do Sítio PT33 e vice-versa, pois não há a necessidade real de nenhum dos dois terem acesso indiscriminado a base de dados alheias as que estão sob sua gestão.
Institucionalmente, a permissão para acessar e manusear quaisquer materiais confidenciais é dependente da concessão formal de uma Credencial de Segurança, que pode ser concedida condicionalmente ou qualificações específicas (acesso parcial, apenas leitura, leitura parcial, etc.).
A maioria das credenciais de segurança são temporárias, necessitando renovação ou expirando automaticamente caso tenham sido concedidas para algum trabalho específico que seja concluído.
Os artefatos de arquivos, documentações e demais registros relativos às infraestruturas de credenciais de segurança estão sob responsabilidade da DAASI, que também é responsável por definir a infraestrutura para aplicação e creditação de credenciais de seguranças. Os registros estão disponíveis para verificação das demais estruturas da Fundação Lusófona, em especial as estruturas responsáveis pela segurança institucional.
O nível de credenciamento de segurança necessário para alguma ocupação ou posto de emprego é definido diretamente pelo oficial responsável pela superintendência, departamento, setor ou projeto. A DAASI auxilia neste processo com a análise das qualificações e requerimentos para a credencial e indivíduo a ser creditado; bem como nas revisões que garantem que a credencial e o indivíduo mantenham-se relevantes aos padrões estabelecidos por suas qualificações e requerimentos.
VERIFICAÇÕES DE SEGURANÇA
De um ponto de vista administrativo, o ativo mais importante de uma organização são os indivíduos que a integram. A aplicação de verificações de segurança é de extrema importância para garantir que os funcionários em posições de confiança não se tornem riscos ou causem danos generalizados ao acessar e manusear informações sem o devido credenciamento e capacitação.
As verificações de segurança, como investigações extensivas da vida de um indivíduo, normalmente são realizadas por divisões especiais da DAASI em conjunto com os setores de segurança e recursos humanos das instalações e superintendências da Fundação Lusófona.
Estas verificações possuem um regime pragmático que inclui checagens físicas e de tecnologia de informação, além da promoção de treinamentos específicos e a designação de funcionários especiais dentro de estruturas para assegurar e verificar o cumprimento de medidas de segurança.
Institucionalmente, o recrutamento e a manutenção do emprego de funcionários segue padrões rigorosos. Todos os funcionários associados à Fundação Lusófona são investigados extensivamente e recebem treinamentos para tratamento de informações. Posições estratégicas estão sujeitas a um nível ainda mais rigoroso de escrutínio.
O propósito de verificações e controles de segurança é garantir que o caráter e as circunstâncias pessoais de indivíduos estejam de acordo com as expectativas e necessidades para que lhe sejam confiadas posições com acesso a ativos e passivos sensíveis, impedindo seu acesso por indivíduos suscetíveis à influências impróprias, que possam ter conflitos de interesse, que demonstrem comportamentos desonestos e/ou instáveis, assim garantindo que as operações da Fundação Lusófona não sejam colocadas em risco para o ganho de terceiros.
O processo de verificação compreende os seguintes elementos: identidade, histórico acadêmico/criminal/empregatício, nacionalidade e status civil.
É a verificação mínima necessária para a concessão e qualificação de um indivíduo que trabalhará com materiais classificados como RESTRITOS.O processo de verificação compreende os seguintes elementos: conclusão de avaliação e entrevistas com oficiais especialistas em segurança, checagem extensiva do histórico de vida do indivíduo, de suas finanças e seus relacionamentos familiares/pessoais, além da checagem extensiva de documentos e demais artefatos produzidos por órgãos de segurança governamentais.
É a verificação mínima necessária para a concessão e qualificação de um indivíduo que trabalhará com materiais classificados como CONFIDENCIAIS.O processo de verificação compreende os seguintes elementos: conclusão de avaliação avançada, investigação de histórico empregatício junto a Fundação e o ingresso do indivíduo no programa institucional de vigilância.
É a verificação mínima necessária para a concessão e qualificação de um indivíduo que trabalhará com materiais classificados como SECRETOS.O processo de verificação compreende os seguintes elementos: conclusão de múltiplas avaliações e entrevistas com oficiais especialistas de segurança, investigações extensivas da vida pessoal e de relacionamentos do indivíduo e aprovação direta por responsáveis da DAASI.
É a verificação mínima necessária para a concessão e qualificação de um indivíduo que trabalhará com materiais classificados como ULTRASSECRETOS.O processo de verificação depende exclusivamente dos critérios qualificativos exigidos pela classificação especial do material.
Entre os tipos mais utilizados, mas não todos, estão:
a) VES-I — relevante para uma divisão institucional específica (e.g. "Setor Médico-Legal do Sítio PT33");
b) VES-II — relevante apenas para uma operação ou projeto específico (e.g. "Projeto Spatial");
c) VES-III — relevante para uma posição institucional específica (e.g. "Diretor do Setor Médico-Legal do Departamento Médico do Sítio PT33");
d) VES-IV — relevante apenas para um indivíduo especificamente designado (e.g. "Doutora Arturia Baccarin");
e) VES-V — relevante para acesso a alguma localização específica institucional (e.g. "acesso ao Sítio PT33");
As Verificações de Segurança são cumulativas e obtidas em ordem crescente de complexidade (e.g. para alguém ser qualificado a receber VAS é necessário ter recebido VCT anteriormente). Na Fundação Lusófona não existem Classificações de Funcionários (Classe A, B, C, etc.), ao invés disso, utilizam-se as Verificações de Segurança para classificar os funcionários.
NÍVEIS DE SEGURANÇA
Os Níveis de Segurança são definidos com base na abrangência do impacto do conhecimento ou operação de um certo artefato de informação ou recurso dentro da estrutura institucional.
Normalmente qualificadas como "CREDENCIAIS DE NÍVEL 2". Permite acesso a ativos e passivos disponibilizados de maneira reservada pelas bases de dados institucionais, bem como permanência ativa em locais de trabalho em que informações confidenciais são manuseadas pela Fundação Lusófona.
Normalmente qualificadas como "CREDENCIAIS DE NÍVEL 3". Permite acesso a ativos e passivos relativos estruturas e operações técnicas institucionais específicas de desenvolvimento e pesquisa de tecnologia, inteligência, logística e segurança da Fundação Lusófona.
Normalmente qualificadas como "CREDENCIAIS DE NÍVEL 4". Permite acesso a ativos e passivos relativos a estruturas e operações complexas institucionais administrativas e técnicas, normalmente com escopos que abrangem partes específicas ou gerais da Fundação Lusófona.
Normalmente qualificadas como "CREDENCIAIS DE NÍVEL 5". Permite acesso a ativos e passivos relevantes de estruturas e operações chaves integrais ou de alta relevância para o desenvolvimento e funcionamento contínuo da Fundação Lusófona inteira como instituição.
Não utilizado formalmente pela Fundação Lusófona. Quando utilizado significa que a Fundação Lusófona possui acesso compartilhado a ativos e passivos de estruturas e operações integrais do Sítio Concordia ou outras filiais internacionais da Fundação, que estão classificados como "ULTRASSECRETOS".
Cada Nível de Autorização de Acesso é relacionado a um nível de Verificação de Segurança, ou seja, nenhum indivíduo é capaz de receber acesso sem que esteja devidamente treinado e capacitado.
CARTÕES DE ACESSO
Cada funcionário da Fundação Lusófona possui um cartão de identificação pessoal eletromagnético (RFID), vulgarmente conhecido como "crachá", que funcionam para o reconhecimento funcional de suas funções por meio das informações visuais (foto pessoal, nome, etc.) e eletrônicas contidas no cartão por sua fita magnética ou chip (tokens de acesso & permissões, ficha funcional, etc.).
As informações eletrônicas do cartão de identificação de um funcionário são atualizadas sempre que necessário para refletir novas funções ou permissões, fazendo com que não seja necessário reemitir cartões de acesso específicos.
Os funcionários também recebem tokens intransferíveis (normalmente no formato de chip ou pen drive quando em formato físico; ou no formato de senhas ou códigos de autenticação quando no formato digital/eletrônico) que são utilizados para acessar terminais específicos, informações específicas e, especialmente, na intranet da Fundação Lusófona.
O uso de biometria é normalmente reservado para proteger acessos em que há necessidade absoluta de gravar exatamente quem está acessando o material confidencial, como por exemplo, registros de ponto eletrônico de entrada e saída de áreas controladas.
Os de agentes cognitivos/meméticos são utilizadas especialmente na proteção de artefatos de informação nas formas materiais textuais, visuais, sensoriais, etc., necessitando, por exemplo, a inoculação contra o agente específico, um procedimento especial ou um nível de resistência natural para acessar o artefato. Demais aplicações de sistemas anômalos de proteção são passíveis de receberem seus próprios tipos de procedimentos de acesso.
Chaves e trancas são utilizadas, de maneira ordinária para proteger caixas, contêineres, guarda-volumes, portas, valises, etc. que requerem controles especiais para dissuadir e proteger contra invasões. É o tipo de proteção de acesso mais comum empregado pela Fundação Lusófona para aplicações de alto nível de segurança para a proteção de seus recursos físicos.