Uno de los activos más valiosos de las empresas sin duda es la información, toda aquella que nos ayuda a entregar un producto o servicio de forma eficiente. La adaptación acelerada a la nueva realidad obligó a muchas empresas a repensar sus procesos y las alternativas para asegurar la información generada por sus negocios.
Esta apresurada adaptación presentó nuevos desafíos y brechas de seguridad, para empresas que aún no tienen claro de forma integral como proteger la información de sus clientes, proveedores y la generada por la operación del negocio.
Hoy queremos compartir contigo algunas claves y el proceso recomendado para hacerlo eficientemente, no sin antes recordarte que en Inforc Ecuador contamos con la experiencia para implementar procesos inteligentes de seguridad de la información.
Los sistemas de clasificación de datos existentes reconocen diferentes niveles de sensibilidad, valor e importancia de la información, así como niveles variados de severidad y probabilidad de compromiso. A menos que los niveles de seguridad para ciertos datos estén prescritos por ley (por ejemplo, para información de seguridad nacional o privacidad) y/o requieran alineación con compromisos regionales o internacionales, la definición de los niveles de seguridad queda a discreción de la organización particular.
Con esto claro recomendamos 4 fases en el proceso para clasificación de la información:
Inventario de activos de la información: El paso inicial para una gestión eficiente será siempre tener muy claro cuales son los principales activos de información que se va a proteger, ya sean estos físicos y digitales, de esta forma se facilitará el etiquetado de la información y el posterior diseño de los criterios de clasificación. Realizar este proceso permitirá realizar un mapeo total de la información generada por usuarios internos, clientes, proveedores, etc. Así mismo permitirá identificar procesos automáticos que generen información que posteriormente deba clasificarse.
Diseño y estructuración de criterios de clasificación: Con el conocimiento total de los activos que deben protegerse es momento de diseñar criterios de clasificación de la información que apoyen la operación del negocio, sin poner en riesgo la filtración o pérdida de datos. En este punto del proceso es importante tener en consideración las regulaciones de órganos de control así como los procesos internos de negocio que no se pueden permitir una demora por los criterios seguridad establecidos en la política. Los criterios más comunes son: Confidencial: Aquellos activos que son de uso exclusivo y determinado a cierto nivel jerárquico de la organización, por ejemplo: Nóminas, Bases de Datos, Códigos fuente, etc. Restringido: Aquellos activos a los que se puede acceder siempre que se cuente con la debida autorización de la organización, por ejemplo: Listas de precio, Condiciones de uso, Accesos a fuentes de información, etc. Uso Interno: Son todos aquellos activos que se pueden utilizar sin restricción dentro de la organización, pero que no pueden salir de esta sin estar debidamente etiquetados y rastreados, por ejemplo: Políticas internas, DataSheets, Productos Beta, etc. Público: Se trata de todos los activos que pueden ser enviados libremente a clientes externos y proveedores, sin que esto signifique que no deban estar clasificados y resguardados, por ejemplo: Cotizaciones, Comunicaciones Generales, Ofertas de Productos, etc. En este proceso es importante el soporte externo para evitar un sesgo interno, por ello puede contactarnos aquí.
Clasificación de archivos: Es un error común que al momento de implementar procesos de protección de la información se inicie desde la etapa de clasificación, pues existen alternativas tecnológicas que automatizan estos procesos y permiten ser más eficientes y rápidos en la implementación de las políticas, sin embargo esto puede significar una clasificación errónea de los activos y por consiguiente generar interrupciones en la continuidad del negocio o pérdidas de oportunidades de negocio por procesos burocráticos. Se deben considerar también protocolos internacionales como el ISO/IEC 27001 indica que cada organización debe establecer los criterios que mejor se adapten a sus circunstancias particulares. Especialmente el inciso A8 en el que se indican las claves para la preservación de los activos de información como soporte del negocio, puedes conocer más aquí. Al contar con criterios de clasificación adecuados se pueden utilizar herramientas de software como Kriptos que permite una clasificación automática, eficiente e inteligente de los activos de la organización. Para más información de este producto puede acceder aquí.
Gestión de la información: Finalmente una vez se ha construido un proceso eficiente y automatizado de la gestión de la información se debe implementar un control automático y manual que permita validar la eficiencia de la protección e El tratamiento de la información nos permitirá: - Limitar el acceso a las personas o grupos correspondientes. - Cifrar la información. - Realizar copias de seguridad. - Cumplir y evaluar la aplicación de medidas específicas de seguridad de la información como por ejemplo RGPD o la futura Ley de Protección de Datos de Ecuador. - Obtener información y respaldos de acuerdos de confidencialidad concretos. Para la gestión automática puedes contar con Safética, que le ayudará a proteger a tu empresa de las fugas de información y amenazas internas.
Con todo esto como Inforc Ecuador es importante recalcar que cada organización debe establecer criterios y procesos adaptados a su realidad, objetivos de negocio y presupuesto. Es un proceso que debe ser realizado con la celeridad y responsabilidad del caso, ya que no hacerlo de esta manera podría representar un riesgo importante para el negocio.