Blog de Innevo

Estrategias efectivas para la clasificación de la información

Escrito por Tania López | Aug 4, 2023 3:15:00 PM

Comprender cómo abordar la clasificación de la información en tu empresa para lograr la protección adecuada, pero con el menor costo posible, es esencial para que no caigas en "Proceso Esclerosis" y tu Sistema de Gestión de Seguridad de la Información sea un aliado y no una molesta carga burocrática.

¿Qué encontrarás en este artículo?

¿Qué es la clasificación de la información? ¿por qué es importante hacerla?

La clasificación de la información en el ámbito de la administración de la seguridad de la información se refiere al proceso mediante el cual se categoriza la información en una organización según su nivel de sensibilidad, importancia y confidencialidad.

Esta clasificación permite establecer medidas de protección y controles de acceso adecuados según su relevancia y necesidades de acceso, y en combinación con una infraestructura de información y tecnología robustas, permite proteger la información con eficiencia, evitando gastos innecesarios por proteger información que no lo requiere.

🗂️ Estrategia efectiva #1

Lo más importante que debes tener en cuenta para tener un sistema de clasificación de la información adecuado es entender que no toda la información es igual, por lo que antes de protegerla es necesario clasificarla. 

De esta forma sientas las bases para una protección óptima tanto en niveles de seguridad y administración como en costos de medidas e infraestructura.

Esta clasificación forma parte de tu Sistema de Gestión de Seguridad de la Información (SGSI) y la norma ISO 27001 te dará y mejores prácticas para asegurar que los datos se manejen y protejan adecuadamente según su nivel de sensibilidad y valor para la organización.

Criterios guía para hacer la clasificación de la información

Al abordar la clasificación de la información de tu negocio puedes comenzar por identificar los dos grandes grupos de información que toda organización posee:

  • Información de origen interno
  • Información de origen externo

Después de agruparlos de esta manera, podrás hacer una mejor distinción del tipo de protección que requieren y clasificarla según si es:

  1. Información pública: datos que pueden ser divulgados libremente al público.
  2. Información de uso interno: datos internos no destinados a divulgación pública.
  3. Información confidencial: datos que, si se ven comprometidos, podrían afectar negativamente las operaciones de tu empresa.
  4. Información restringida: datos corporativos altamente confidenciales que, si se ven comprometidos, podrían poner en riesgo operativo, financiero o legal a tu empresa.

Puedes aprender más sobre la evaluación de riesgos de seguridad de la información aquí.

Información de origen interno

Tu negocio genera información todos los días como parte de sus operaciones habituales. Esta información requiere diferentes niveles de protección y restricción según su sensibilidad e importancia.

Información de uso interno

Un primer grupo de información es aquella que se genera como resultado de sus actividades comerciales y operativas. No es de interés público y por lo tanto no deben estar disponible para cualquier persona fuera de la empresa. Debe protegerse debido a consideraciones de propiedad y/o éticas.

Ejemplos de esto son los mensajes de correo electrónico internos, minutas de reunión, reportes de estado de un servicio.

Información de uso interno confidencial y restringida

Otro tipo de información de uso interno es la documentación de tus procesos, tus criterios de fijación de precios, tus métodos de trabajo o producción de tus servicios o productos, tus planes estratégicos, manuales de ventas, el organigrama de tu empresa, información financiera, catálogos de clientes, catálogos de proveedores, etc. 

Comprenderás que la información personal de tus colaboradores como curriculum, dirección, puesto ocupado y demás también debe ser considerada como confidencial. 

Así mismo la información relativa a tu infraestructura tecnológica, mapas de red de cómputo, mapas de bases de datos debe ser tratada como confidencial y restringida por motivos de seguridad: 

  • Direcciones IP de redes y dispositivos informáticos
  • Información de tarjetas de crédito
  • Números de Seguro Social
  • Información fiscal
  • FODAS
  • Planes estratégicos

🗂️ Estrategia efectiva #2

Toda la información de origen interno debe ser de uso restringido (no solo confidencial). Esto significa que, además de que no puede ser entregada a terceros, no cualquiera en la empresa la puede consultar. Dependiendo de sus responsabilidades es que deberás determinar si requiere consultar dicha información.

Recuerda que las violaciones a este tipo de datos deben estar acompañadas de multas, sanciones, juicios o perjuicios comerciales, administrativos y legales, así que el personal debe estar notificado por escrito y de forma individual lo que implica el incumplimiento de los procesos y política de seguridad de la información en la empresa.

Información pública

La información de origen interno que generalmente se mantiene desprotegida es la de tipo comercial como son los precios de productos o servicios (si es parte de tu estrategia tenerlos públicos), el catálogo de marketing, la información contenida en tu sitio web y redes sociales. Es información pública.

Información de origen externo

Esta información no se genera dentro de tu empresa, sino que viene del exterior, fundamentalmente de tus clientes, proveedores o asociados.

Por definición, la información de tus clientes no debe publicarse sin la autorización específica por escrito del cliente y, reitero, solo debe emplearse para el fin que se la solicitaste. Te recomiendo explorar sobre los temas de confidencialidad de la información.

🗂️ Estrategia efectiva de clasificación #3

Todos los datos que sean necesarios para que tu empresa ejecute sus actividades pero que no sea generada por tu organización, sino que provenga o pertenezca a terceros ya sea de tu personal, proveedores, asociados o clientes debe ser protegida como confidencial y restringida, a menos de que te den autorización para publicarla. 

Tus proveedores generalmente estarán de acuerdo en que publiques información que te han proporcionado, ya que esto les brinda publicidad gratuita. Sin embargo, ten en cuenta que pueden no querer que se divulguen los precios que te han ofrecido.

La información de tus asociados es similar a la de tus proveedores, pero cada caso es diferente. Algunos asociados pueden desear que su información sea pública, especialmente si están involucrados en actividades altruistas. Sin embargo, otros pueden tener restricciones debido a su pertenencia a organizaciones industriales o empresariales.

 

Comienza a clasificar la información en tu organización

Entender la clasificación de la información en el ámbito de la seguridad es esencial para proteger tu empresa y sus activos de manera adecuada.

Sabemos que cada dato es valioso y que no todos son iguales, por eso, clasificarlos según su sensibilidad te permitirá establecer medidas de protección precisas y evitar gastos innecesarios.

Con estas estrategias podrás asegurarte de proteger lo más confidencial con especial atención.

Recuerda que estamos aquí para ayudarte a mantener tu Sistema de Gestión de Seguridad de la Información como un aliado, evitando burocracia excesiva y garantizando una protección óptima sin perder de vista la importancia de cada dato en tu empresa, tomando como guía la norma ISO 27001 que te dará una hoja de ruta precisa para lograrlo en el menor tiempo y costo posible.