Identificarse
x
x
x

Ratio: 4 / 5

Inicio activadoInicio activadoInicio activadoInicio activadoInicio desactivado
 

Las organizaciones deberían clasificar su información en términos de seguridad. La clasificación de información se refiere a la categorización de datos para su uso más eficiente y efectivo.

Esta clasificación le permite a las organizaciones asignar un valor económico a sus datos y las habilita para que establezcan una adecuada administración y gestión de acuerdo a ello. Para determinar qué controles son más apropiados para proteger la información se debe primero clasificarla correctamente.

Los datos pueden ser clasificados de acuerdo a muchos criterios, por ejemplo: importancia o frecuencia de uso.

Trabajando de cerca con cada departamento, la información propietaria debería ser clasificada de acuerdo al nivel de seguridad que mejor se ajuste a las necesidades de la organización. Un documento podría ser etiquetado como "privado" para el personal en general, pero luego podría ser etiquetado como "restringido" cuando se traslade al departamento de marketing para el manejo de precios.

TIPOS DE CLASIFICACIÓN

Los estándares de clasificación de datos militares abundan, pero no existen estándares de clasificación de datos comerciales o datos que no pertenecen a instituciones del gobierno.

La siguiente lista de clasificación puede ser tomada como referencia para que una organización privada la use:

  • Sensitiva, los datos deben ser protegidos al más alto nivel de seguridad. La publicación o acceso no autorizado a ésta información debería causar el máximo nivel de alerta en la organización.
  • Confidencial, los datos aquí clasificados son menos restrictivos que los sensitivos pero su publicación podría ocasionar un daño importante en la organización.
  • Privada, es la información que debe ser protegida contra una publicación deliberada a nivel de departamento, por ejemplo: recursos humanos.
  • Propietaria, información que generalmente no está disponible a terceros fuera de la organización.
  • Pública, los datos que están disponibles a terceros y al publico en general fuera y dentro de la organización.

Incluso sin existir estándares, la clasificación de la información debería tener ciertas características en general que van orientadas a la dependencia de los datos y al nivel de confidencialidad requerido.

OTROS TIPOS DE CLASIFICACIÓN

Algunas organizaciones simplemente usan dos categorías para su clasificación: Pública y Privada, otros usan niveles más complejos como el indicado arriba. Dicha clasificación siempre dependerá del nivel de protección requerido en la organización.

CÓMO DETERMINAR LOS DATOS A CLASIFICAR ?

Una vez definidos los niveles se procede a clasificar la información como tal dentro de cada uno de ellos. Para el éxito de ésta actividad se deberían responder las siguientes preguntas:

  1. Cuál es el uso de la información ?
  2. Cuál es el valor de dicha información ?
  3. Cuán vieja es la información ?
  4. Qué daños sufriría la organización si la información fuese revelada ?
  5. Qué pasaría si la información fuese modificada sin autorización ?
  6. Qué leyes gobiernan la protección de esa información ?
  7. Cuál sería el impacto en la sociedad si fuera revelada ?

Una vez que la información a sido clasificada en su nivel correspondiente, la administración y gestión de la misma podrían conducir a un análisis y evaluación de riesgos con el fin de determinar el costo-beneficio de protegerla de dicha manera.

NORMATIVIDAD EXISTENTE

Según ISO 27001, en su Anexo A, objetivo de control A.8.2, la información debería tener un nivel de protección adecuado de acuerdo con su importancia en la organización, ya sea con un "etiquetado", "clasificación" o "directrices de manejo".

Referencias

IT Governance, http://www.itgovernance.co.uk/data-classification-software.aspx 

 Julián Ríos

Investigador de Fraudes certificado por la ACFE (Asociación de Examinadores del Fraude Certificados), Ciber Investigador experto en Inteligencia y Contrainteligencia certificado por el Instituto McAfee, Profesional en seguridad de la Información certificado por ISC2 (Certified Information Systems Security Professional) y perito Forense Informático (CHFI) con énfasis en la gestión de incidentes (ECIH) y hacking ético (CEH), certficado por EC-Council. Lleva 10+ años dedicado a la gobernanza en el campo de las tecnologías de la información, certificado en COBIT, ITIL, Red Hat y hoy en día se dedica a aplicar todos los conocimientos en seguridad de la información y las TICs para combatir el fraude de manera innovadora, desarrollando nuevos productos y metodologías. Colaborador de Auditool.

Medellín, Colombia


Directorio Firmas de Auditoría

lateralG3.2