¿Cómo clasificar la información?

La información que almacenamos en nuestras organizaciones todos los días puede ser muy delicada, ya sean datos personales, bases de datos de clientes, documentos internos, etc. y no significa que todos los datos que tenemos sean confidenciales o de alto valor, por lo que llevar a cabo una categorización de cada uno de ellos podrá ayudar a comprender y tener claro lo que se debe proteger dependiendo de su criticidad. 

No necesariamente se requieren controles de seguridad a la información tan rigurosos o estrictos, esto depende de su clasificación, siendo esta actividad esencial para cualquier empresa sin importar su tamaño.

¿Cómo clasificamos la información?

Para poder llevar a cabo una correcta clasificación, podemos hacer uso de algunos puntos importantes.

➥ Inventario de activos

Este punto es la base de lo que se tiene en la organización, por lo tanto, debe incluirse cualquier activo, no importa si es físico o digital, un inventario debe de incluir el tipo de información que se maneja y el lugar donde se almacena.

➥ Definir criterios

El criterio para clasificar la información deberá de realizarse con base en lo crítico de ésta. Cada empresa puede definir la forma en que se clasifique, pudiendo ser Confidencial, Privada, Pública, Interna, etc. Todo siempre asociado y alineado al negocio. En la norma ISO 27001, se recomiendan como mínimo los siguientes criterios.

• Confidencial. Información crítica o muy relevante para la empresa.
• Restringida. Solo determinado personal deberá tener acceso.
• Interna. Todo el personal de la empresa tendrá acceso.
• Pública. Información a la que cualquier persona tendrá acceso.
  
  

Puedes aplicar cualquier criterio para clasificar tu información, lo principal es realizar la actividad, tal vez para esto deberás reunirte con los responsables de cada área para poder llevar a cabo una correcta clasificación.

➥ Clasificación

Una vez que ya se realizaron los puntos anteriores y se tiene la definición, se deberán etiquetar los datos, para ello puedes hacer uso de cualquier herramienta declasificación o DLP, e incluso, aplicar etiquetas en el nombre de los documentos, por ejemplo, ‘CONF_Documento.pdf’ 

Esto servirá para identificar y conocer la categoría de cada uno de estos documentos de forma más rápida.

➥ Controles

En este punto, y ya con la información etiquetada y/o clasificada, podremos aplicar los controles de seguridad necesarios para evitar su robo, pérdida o acceso no autorizado, y para ello podemos hacer uso de la tecnología y algunos controles como lo son:

• Control de acceso.
• Cifrado de datos.
• Copias de seguridad.
• Políticas de seguridad.
• Herramientas DLP.
• Monitoreo constante.
  
  

Al final, deberemos de mantener un control y auditar que los controles de seguridad asociados a la información funcionen de forma adecuada y si es necesario actualizarlos o modificarlos, por lo que deberemos auditarlos constantemente, funcionando dentro del proceso de mejora continua.

Cada organización debe de elegir la forma en que clasificará la información, esto está en dependencia de su modelo de negocio, objetivos y visión ya que como siempre lo he comentado, la ciberseguridad debe de ajustarse al negocio y no al revés.

Nuestro trabajo como especialistas es adecuar los controles a la forma en que trabaja una organización, disminuyendo la probabilidad de sufrir un incidente y estar prevenidos para que en caso de que suceda, el impacto que genere en la empresa sea mínimo.