Clasificación de la información

CLASIFICACIÓN DE LA INFORMACIÓN

Clasificación de la información

Antecedentes

Para aplicar las medidas de seguridad ajustadas a cada activo de información debemos realizar un inventario  y clasificarlos, de acuerdo con el impacto que ocasionaría su pérdida, difusión, acceso no autorizado, destrucción o alteración, aplicando para ello criterios de confidencialidad, integridad y disponibilidad. Así sabremos qué información debemos cifrar, quién puede utilizarla, quién es responsable de su seguridad, cada cuanto hacer backup, etc.

Estos son algunos ejemplos:

  • el aplicativo de nóminas es confidencial y sólo tendrán acceso a él ciertos empleados del departamento de personal para los cuales habilitaremos permisos; 

  • el acceso al gestor de la página web está restringido al personal de marketing; 

  • se han de cifrar los documentos que se envíen a la gestoría por correo electrónico; 

  • los servicios que traten datos personales tendrán que cumplir el RGPD

  • el ERP es crítico para la empresa y se debe hacer backup semanalmente. 

Además, al clasificar los activos de información debemos establecer su ciclo de vida, que dependerá no sólo de la vida útil del soporte sino también de la vigencia de su contenido. Si el soporte caduca antes que el contenido tendremos que regenerarlo en otro soporte. El ciclo de vida de la información determinará el momento en el cual dejará de ser útil, y por tanto cuándo tenemos que eliminarla convenientemente [2].

Objetivos

Clasificar los activos de información para garantizar una eficaz gestión de su seguridad con criterios de confidencialidaddisponibilidad integridad.

Puntos clave

Los puntos clave de esta política son:

  • Inventario de la información. Es necesario establecer un inventario [8] de los activos de información disponible en la empresa, considerando registrar aspectos tales como su tamaño, ubicación, servicios o departamentos a los que pertenecen, quienes son sus responsables, etc. 

  • Criterios de clasificación de la información. Debemos establecer claramente los criterios de clasificación que vamos a aplicar a los activos de información. Estos deberán estar relacionados con las medidas de seguridad que plantearemos aplicar a nuestra información. Algunos de estos criterios podrían ser: 

    • por el nivel de accesibilidad o confidencialidad

      • Confidencial. Accesible solo por la dirección o personal concreto 

      • Interna. Accesible solo al personal de la empresa 

      • Pública. Accesible públicamente 

    • por su utilidad o funcionalidad: 

      • información de clientes y proveedores 

      • información de compras y ventas 

      • información de personal y gestión interna 

      • información sobre pedidos y procesos de almacén 

    • por el impacto por robo, borrado o pérdida: 

      • daño de imagen 

      • consecuencias legales 

      • consecuencias económicas 

      • paralización de la actividad 

  • Clasificación de la información. Asignaremos a cada tipo de información una etiqueta según los criterios de clasificación establecidos. 

  • Tratamientos de seguridad disponibles. Elaboraremos un listado con todos los tratamientos de seguridad de los que dispone la empresa, tales como herramientas de cifrado, sistemas de copias de seguridad [4], sistemas de control de accesos [5], etc.  

  • Establecer y aplicar los tratamientos que corresponden a cada tipo de información. Una vez clasificada la información, debemos asignar y aplicar los tratamientos de seguridad oportunos para cada tipo de información. Entre estos tratamientos, podríamos contemplar los siguientes: 

    • limitar el acceso a las personas o grupos correspondientes 

    • cifrar la información 

    • realizar copias de seguridad 

    • medidas específicas como las reflejadas en el reglamento del RGPD 

    • información sujeta a acuerdos de confidencialidad concretos 

    • control del acceso y/o modificación de la información 

  • Auditorías. Conviene realizar periódicamente auditorías de seguridad que certifiquen que se aplican los tratamientos estipulados para proteger nuestra información. 

 

¡¡¡ NO TE LA JUEGUES !!!

La máxima seguridad es tu comprensión de la realidad

Suscríbase

¡No te pierdas nuestras futuras actualizaciones! ¡Suscríbase hoy!

©2024 DEFENSA DIGITAL.Todos los derechos reservados.