Cómo clasificar la información corporativa

Cuando se habla de gestionar la seguridad de una empresa, hay algunos aspectos que se deben tener en cuenta en la política de seguridad y algunos lineamientos sobre cómo implementar modelos de seguridad de la información. Pero muchas veces surge la inquietud acerca de que cuales son las características que debe cumplir la información para considerarla o no dentro de los sistemas de gestión, y esta decisión es la que puede condicionar los análisis de riesgos y por tanto las acciones que se ejecuten.

Hay tres aspectos fundamentales que deben considerarse para clasificar la información: la integridad que debe garantizársele a la información, el grado de confidencialidad con que se debe manejar los dieferentes activos de información y los niveles de disponibilidad que son requeridos. Lo más usual es clasificar la información teniendo en cuenta solamente una de estas tres dimensiones, generalmente la confidencialidad. Por lo tanto es común tener tres niveles como privada, de uso interno e información pública. Esta aproximación es la más aceptada pues uno de los riesgos más críticos para cualquier negocio es la fuga de información. Pero las otras dos dimensiones no deben descuidarse, y en la medida que la integridad y la disponibilidad sean relevantes para el negocio deben tenerse en cuenta. Por ejemplo para una empresa del sector financiero puede ser deseable tener mayor énfasis en la integridad de las transacciones bancarias que para una empresa de retail en la actualización de las bases de datos. O para una empresa cuyo principal canal de venta sea su portal de Internet la disponibilidad sea mucho más crítica que para una empresa que sólo utilice su página web cómo medio informativo.

Teniendo definidas las características que más influyen en la seguridad de la información, se debe realizar un análisis de riesgos sobre todos los activos de información evaluándolos a luz de los criterios elegidos. La valoración se puede realizar utilizando escalas de medición, por ejemplo asignando puntajes de 1 a 5 donde 1 sea los niveles más bajos de criticidad y 5 los de mayor impacto. Como estos análisis pueden resultar bastante subjetivos dependiendo del proceso desde el cuál se evalúe, deberían realizarse siguiendo el criterio de expertos desde las diferentes áreas que interactúan con la información. De esta forma se obtienen calificaciones más equilibradas y que brindan una aproximación a la realidad de la compañía.

Al clasificar la información, la empresa tiene un panorama más claro de cuáles son los aspectos en los que debe enfocar su gestión. De esta forma se pueden identificar cuáles son los riesgos que pueden llegar a tener más relevancia dentro del SGSI y a su vez determinar los controles más apropiados y acordes a la realidad de la empresa. Si por ejemplo, del análisis resulta que la disponibilidad de la información no es un factor crítico tener infraestructura de comunicación de respaldo no va a ser la prioridad de la empresa. Pero si por el contrario hay altos niveles de información confidencial, debería hacerse énfasis en soluciones que permitan intercambiar información cifrada fácilmente.

La clasificación de la información además de ayudar a las organizaciones a enfocar sus esfuerzos en las necesidades más críticas puede en el mediano plazo generar ahorros significativos ya que garantiza eficiencia en la administración de los recursos y efectividad en su implementación. Además con esta clasificación se pueden enfocar otro tipo de servicios cómo los análisis de vulnerabilidades y los pentesting.

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Autor , ESET

  • panto

    Hola Camilo.
    el post está muy bueno. Lo que me interesa y es la gran duda, es como identificar los activos de información, obviamente cada caso es particular, pero se me ocurre que la dificultad radica en encontrar un nivel de granularidad de la información adecuado para que el proceso. por un lado que sea realmente úti al final l y por otro que no haga inabarcable el proceso. Además me gustaría, si podés, un consejo acerca de como encarar la identificación por base de datos, por unidad de negocio, por estructura organizacional, etc. Gracias.

    • Saludos, con respecto a la identificación de activos de información lo necesario es determinar todos aquellos que hacen parte de la ejecución de las actividades diarias y que conforman los procesos de la compañía. POr ejemplo, propablemente como parte de muchas actividades se utilicen informes de bases de datos procesados en Excel para generar algún tipo de informe. Esa información en Excel debería tenerse en cuenta dentro de los activos de información así sea un paso intermedio dentro de todo el proceso.
      La identificación debería hacerse siguiendo los procedimientos de la compañía. Debe ser claro que en una organización los procesos pueden fluir a través de varias unidades de negocio e intevienen diferentes actores de la estructura organizacional.

  • pablogm

    Cuando yo clasifico la información corporativa, es decir mis activos, los activos que son creados por terceros y que son de uso o insumo para mi negocio los debo contemplar, o cuando hablo de clasificar los activos de información son únicamente de los que yo soy responsable o elaboro? Les agradecería una aclaración sobre este tema!!!

Síguenos