Para desarrollar un concepto tan amplio como el de la ciberseguridad en el ámbito empresarial, es imprescindible entenderlo relacionándolo con la protección de la información que maneja una organización. La información es poder, de tal manera que protegerla es una prioridad.
Para salvaguardar la información es necesario saber que se puede presentar en múltiples y variados formatos: soportes digitales, papel, película fotográfica, etc. Además, en el ámbito digital, la información puede estar en modo texto, imagen, multimedia, base de datos, etc. Por último, hay que tener en cuenta los programas y aplicaciones que se encargan de gestionar dicha información, así como los equipos y sistemas que a su vez soportarán tanto a aplicaciones como datos.
Teniendo en cuenta todos estos aspectos, para clasificar la información debemos valorar aquellas situaciones que podrían generar algún impacto que pudiera ocasionar su pérdida o difusión no autorizada, accesos que deberán ser autorizados y cuáles restringidos, etc. De esta forma podremos establecer medidas como qué información cifrar, quién podrá utilizarla, identificar el responsable de su seguridad o establecer cada cuánto tiempo hacer backup.
Por ejemplo, en un departamento donde se trabaje con nóminas (datos especialmente sensibles por su contenido confidencial), únicamente deberán tener acceso a esos datos los empleados que deban trabajar con las mismas.
¿Cuáles son los puntos clave para clasificar la información?
Inventario de los activos de información. Para realizarlo se deberán tener en cuenta aspectos como el tamaño, ubicación, servicios o departamentos a los que pertenecen, responsables, etc.
Criterios de clasificación de la información. Estos criterios deberán estar relacionados con las medidas de seguridad que se establecerán en torno a la protección de la información:
por nivel de confidencialidad:
confidencial. Accesible únicamente para personal concreto;
interna. Accesible únicamente para personal de la empresa;
pública. Accesible públicamente;
por utilidad o funcionalidad:
información de clientes y proveedores;
información de compras y ventas;
información de personal y gestión interna;
información sobre pedidos y procesos de almacén;
por el impacto que supondría su robo, pérdida o borrado:
daño de imagen;
consecuencias legales;
consecuencia económicas;
paralización de la actividad.
Clasificación de la información. A cada tipo de información le corresponderá una etiqueta en función de los criterios que se hayan establecido.
Tratamientos de seguridad disponibles. Se deberá realizar un listado con los distintos tratamientos seguridad a los que se puede someter la información de la organización: herramientas de cifrado, sistemas de copias de seguridad, sistemas de control de accesos, etc.
Establecer tratamientos en función del tipo de información. Para ello realizaremos acciones como limitar el acceso a personas o grupos, cifrar la información, realizar backups, establecer las medidas legales necesarias en relación al cumplimiento del RGPD, acuerdos de confidencialidad, control de accesos, etc.
Auditorías. Realizar auditorías de seguridad nos ayudará a certificar que los tratamientos que se han establecido se están llevando al a práctica, así como detectar posibles deficiencias o debilidades en algún punto en concreto.
La información es el principal activo que tiene una organización, por lo que su protección es prioritaria. Además de la propia importancia de los datos, está en juego el prestigio y la imagen de la empresa. Sufrir robos, pérdidas o fugas de información, no es una opción. Protege tu empresa y protege tu información.
Consúltanos sobre nuestros servicios de clasificación de información, podemos coordinar una PoC sobre nuestra metodología de clasificación del principal activo de tu negocio.
Fuente: INCIBE
Comments