Não, você não precisa proteger * todas * informações não classificadas com o mesmo nível de rigor. Embora todas as informações devam ser tratadas com responsabilidade, o nível de proteção necessário depende da sensibilidade das informações, mesmo que não seja classificada.
Por exemplo:
*
Informações disponíveis publicamente: O preço das ações de capital aberto de uma empresa não requer proteção especial.
* Memorandos internos: Um memorando interno sobre os próximos almoços de equipe provavelmente precisa de proteção mínima.
*
Dados pessoais dos funcionários: Números de segurança social dos funcionários ou informações sobre saúde, embora não classificadas, requer proteção significativa sob regulamentos como HIPAA ou GDPR.
*
Propriedade intelectual: Mesmo se não for classificado, os segredos comerciais de uma empresa ou projetos proprietários precisam de uma forte proteção para evitar roubo ou concorrência injusta.
Portanto, o nível apropriado de proteção para informações não classificadas armazenadas nos sistemas de TI depende de sua sensibilidade e do impacto potencial de uma violação. As organizações devem ter políticas e procedimentos para classificar as informações com base em sua sensibilidade e aplicar controles de segurança apropriados. Isso pode envolver controles de acesso, criptografia, medidas de prevenção de perda de dados etc.