¿Cómo clasificar la información de la empresa?

 

La información que utilizamos en nuestras organizaciones todos los días puede ser muy delicada, ya sean datos personales, bases de datos de clientes, documentos internos, etc. y no significa que todos los datos que tenemos sean confidenciales o de alto valor, por lo que llevar a cabo una categorización de cada uno de ellos podrá ayudar a comprender y tener claro lo que se debe proteger dependiendo de su criticidad.

No necesariamente se requieren controles de seguridad a la información tan rigurosos o estrictos, esto depende de su clasificación, siendo esta actividad esencial para cualquier empresa, sin importar su tamaño.

¿Cómo clasificamos la información?

Para poder llevar a cabo una correcta clasificación, podemos hacer uso de algunos puntos importantes:

➥Inventario de activos

Este punto es la base de lo que se tiene en la organización, por lo tanto, debe incluirse cualquier activo, no importa si es físico o digital, un inventario debe incluir el tipo de información que se maneja y el lugar donde se almacena.

➥Definir criterios 

El criterio para clasificar la información deberá realizarse con base en lo crítico de ésta. Cada empresa puede definir la forma en que se clasifique, pudiendo ser Confidencial, Privada, Pública, Interna, etc. Todo siempre asociado y alineado al negocio. En la norma ISO 27001, se recomiendan como mínimo los siguientes criterios.

• Confidencial - Información crítica o muy relevante para la empresa.
• Restringida - Solo determinado personal deberá tener acceso.
• Interna - Todo el personal de la empresa tendrá acceso.
• Pública - Información a la que cualquier persona tendrá acceso.

Puedes aplicar cualquier criterio para clasificar tu información, lo principal es realizar la actividad, tal vez para esto deberás reunirte con los responsables de cada área para poder llevar a cabo una correcta clasificación.

➥Clasificación 

Una vez que se han realizado los puntos anteriores y se tiene la definición, se deberán etiquetar los datos, para ello, puedes hacer uso de cualquier herramienta de clasificación o DLP, e incluso, aplicar etiquetas en el nombre de los documentos, por ejemplo, "CONF_Documento".

Esto servirá para identificar y conocer la categoría de cada uno de estos documentos de forma más rápida.

➥Controles de seguridad

En este punto, y ya con la información etiquetada y/o clasificada, podremos aplicar controles de seguridad necesarios para evitar su robo, pérdida o acceso no autorizado, y para ello podemos hacer uso de la tecnología y algunos controles como lo son:

 

• Control de acceso
• Cifrado de datos
• Copias de seguridad
• Políticas de seguridad
• Herramientas de Data Loss Prevention (DLP)
• Monitoreo constante
   

Al final, deberemos de mantener una revisión constante y auditar que los controles de seguridad asociados a la información funcionen de forma adecuada y si es necesario actualizarlos o modificarlos, por lo que tendremos un proceso de mejora continua.

Cada organización debe elegir la forma de clasificar la información, enfocándose en el negocio, nuestro trabajo como especialistas es adecuar los controles de seguridad a la forma en que opera una empresa, disminuyendo la probabilidad de sufrir un incidente y estar prevenidos para que en caso de que suceda, el impacto que genere en la empresa sea mínimo.