La información que almacenamos en nuestras organizaciones todos los días puede ser muy delicada, ya sean datos personales, bases de datos de clientes, documentos internos, etc. y no significa que todos los datos que tenemos sean confidenciales o de alto valor, por lo que llevar a cabo una categorización de cada uno de ellos podrá ayudar a comprender y tener claro lo que se debe proteger dependiendo de su criticidad.
No necesariamente se requieren controles de seguridad a la información tan rigurosos o estrictos, esto depende de su clasificación, siendo esta actividad esencial para cualquier empresa sin importar su tamaño.
¿Cómo clasificamos la información?
Para poder llevar a cabo una correcta clasificación, podemos hacer uso de algunos puntos importantes.
➥ Inventario de activos
Este punto
es la base de lo que se tiene en la organización, por lo tanto, debe incluirse
cualquier activo, no importa si es físico o digital, un inventario debe de
incluir el tipo de información que se maneja y el lugar donde se
almacena.
➥ Definir criterios
El criterio para clasificar la información deberá de realizarse con
base en lo crítico de ésta. Cada empresa puede definir la forma en que se
clasifique, pudiendo ser Confidencial, Privada, Pública,
Interna, etc. Todo siempre asociado y alineado al negocio. En la norma ISO
27001, se recomiendan como mínimo los siguientes criterios.
- Confidencial. Información crítica o muy
relevante para la empresa.
- Restringida. Solo determinado personal
deberá tener acceso.
- Interna. Todo el personal de la empresa tendrá acceso.
- Pública. Información a la que cualquier persona tendrá
acceso.
Puedes aplicar cualquier criterio para clasificar tu información,
lo principal es realizar la actividad, tal vez para esto deberás reunirte
con los responsables de cada área para poder llevar a cabo una correcta
clasificación.
➥ Clasificación
Una vez
que ya se realizaron los puntos anteriores y se tiene la definición, se deberán
etiquetar los datos, para ello puedes hacer uso de cualquier herramienta declasificación o DLP, e incluso, aplicar etiquetas en el nombre de
los documentos, por ejemplo, ‘CONF_Documento.pdf’
Esto servirá para identificar y conocer la categoría de cada uno
de estos documentos de forma más rápida.
➥ Controles
En este punto, y ya con la información etiquetada y/o clasificada,
podremos aplicar los controles de seguridad necesarios para evitar su
robo, pérdida o acceso no autorizado, y para ello podemos hacer uso de la
tecnología y algunos controles como lo son:
- Control
de acceso.
- Cifrado de datos.
- Copias de seguridad.
- Políticas de seguridad.
- Herramientas DLP.
- Monitoreo constante.
Al final, deberemos de mantener un control y auditar que los controles de seguridad asociados a la información funcionen de forma adecuada y si es necesario actualizarlos o modificarlos, por lo que deberemos auditarlos constantemente, funcionando dentro del proceso de mejora continua.
Cada organización debe de elegir la forma en que clasificará la información, esto está en dependencia de su modelo de negocio, objetivos y visión ya que como siempre lo he comentado, la ciberseguridad debe de ajustarse al negocio y no al revés.
Nuestro trabajo como especialistas es adecuar los controles a la forma en que trabaja una organización, disminuyendo la probabilidad de sufrir un incidente y estar prevenidos para que en caso de que suceda, el impacto que genere en la empresa sea mínimo.
:background_color(white)/hotmart/product_contents/2725f7a4-d76a-46d7-aade-d11796bfd47c/EASYSECPLANDECIBERSEGURIDADDESCARGA.png)
.png)
0 Comentarios
¿Qué te pareció esta lectura?.
EmojiNos interesa saber tu opinión. Deja un comentario.