Primeros pasos para clasificar la información de tu organización
Nóminas, proyectos, documentación administrativa o la base de datos de clientes son solo algunos ejemplos del tipo de información que se suele manejar en cualquier empresa. Lo que hemos de saber, es que no todos estos documentos cuentan con la misma importancia en la organización ya que, el robo o pérdida de alguno de ellos tendría diferente tipo de repercusión en base a los datos que contengan. Para proteger estos activos se pueden llevar a cabo controles de seguridad, pero ¿cómo saber si estos son demasiado restrictivos o demasiado laxos? La respuesta a esta pregunta tiene como respuesta la clasificación de la información que tengamos en nuestro negocio.
Clasificación de la información
La clasificación de la información es un proceso que deben llevar a cabo todas las organizaciones que decidan implantar un Sistema de Gestión de la Información de acuerdo al estándar ISO/IEC 27001.
El proceso puede ser divido en 4 pasos.
Paso 1 – Inventariado de los activos
Esta es una etapa fundamental para el proceso de clasificación, ya que se deben tener en consideración todos los recursos con los que cuenta la organización, tanto en formato físico, como en formato digital.
Además de identificar todos los activos de información es conveniente catalogar varias características adicionales, como son su tamaño, ubicación, servicios o departamentos que intervienen en su gestión o quién es su responsable.
En función del tamaño de la empresa y la cantidad de información que esta gestione, esta tarea podría llegar a resultar muy compleja. Una buena forma de determinar qué tipo de información se gestiona en un negocio es mantener reuniones con el personal de los distintos departamentos que participan en su día a día.
Paso 2 – Criterios de clasificación
Aunque existen multitud de criterios para clasificar la información, el estándar ISO/IEC 27001 indica que cada organización debe establecer los criterios que mejor se adapten a sus circunstancias particulares.
Por lo tanto, se deberán establecer inequívocamente los criterios de clasificación para que sean tenidos en cuenta por todos los responsables afectados. Además, deberán estar alineados con las medidas de seguridad que se llevarán a cabo para proteger la información. A modo de ejemplo, una forma de clasificar la información es en base a la confidencialidad de la misma y el impacto para la empresa en caso de pérdida o robo:
- Confidencial. Aplica a toda información de gran relevancia para el futuro de la empresa como los proyectos futuros que se llevarán a cabo.
- Restringido. Accesible únicamente para determinado personal de la organización y sin la cual no pueden desempeñar su trabajo.
- Uso interno. Accesible para todo el personal de la empresa exclusivamente.
- Público. Información de dominio público como la publicada en la página web.
Paso 3 – Clasificar cada activo
Una vez se han identificado todos los activos de información y se ha establecido el criterio con el que serán clasificados, se ha de etiquetar cada uno de ellos de manera adecuada. Este paso tampoco está recogido en el estándar ISO/IEC 27001, por lo que cada organización deberá implementarlo según considere más conveniente. Suele ser trabajo del responsable del activo.
Un ejemplo a la hora de etiquetar cada activo de información en formato digital podría ser añadiendo una etiqueta al comienzo del nombre del fichero tal y como muestra la siguiente imagen.
Además dentro de cada documento se puede realizar una marca o seguir un código de colores, estos podrán ser utilizados además en los activos de información en formato físico.
Paso 4 – Tratamiento de la información
En este paso se debe elaborar un listado con los tratamientos de seguridad que se han de llevar a cabo para proteger cada activo de información en función de su clasificación. Algunas de las herramientas más comunes usadas en el tratamiento de la información son las de cifrado, copias de seguridad y control de accesos.
Con las herramientas identificadas se han de aplicar los tratamientos que corresponden a cada tipo de información. Algunos de ellos son:
- Limitar el acceso a las personas o grupos correspondientes.
- Cifrar la información.
- Realizar copias de seguridad.
- Medidas específicas como las reflejadas en el reglamento del RGPD.
- Información sujeta a acuerdos de confidencialidad concretos.
Por último, será importante realizar auditorías periódicas que certifiquen que se están aplicando los tratamientos estipulados para proteger la información.
Si hablamos de clasificar los activos de información, cada organización deberá crear el esquema que mejor se adapte a sus necesidades. La realización de esta tarea será de gran utilidad para salvaguardar las bases sobre las que se cimienta la ciberseguridad. Además, habrá una mayor economía del esfuerzo, ya que cada activo de información contará con los controles más óptimos en función de su clasificación.
Y tú, ¿cuentas con un esquema de clasificación de la información?