La información de nuestra empresa constituye uno de los activos más importantes de nuestra organización.
En el mundo empresarial, hay una tendencia generalizada a considerar como activos de la empresa únicamente los bienes tangibles: mobiliario, maquinaria, servidores, etc. Sin embargo, no debemos olvidar que existen bienes intangibles como la cartera de clientes, la nómina, proyectos, las tarifas, el conocimiento comercial, la propiedad intelectual, bases de datos, etc.
Lo que hemos de saber, es que no todos estos documentos cuentan con la misma importancia en la organización ya que, el robo o pérdida de alguno de ellos tendría diferente tipo de repercusión. Para proteger estos activos se pueden llevar a cabo controles de seguridad, pero ¿cómo saber si estos son demasiado restrictivos o demasiado laxos? La respuesta a esta pregunta tiene como respuesta la clasificación de la información que tengamos en nuestro negocio.
Gracias al uso de la tecnología, el procesamiento y almacenamiento, clasificación y protección de grandes volúmenes de datos se ha vuelto muy sencillo
Clasificación de la información
Inventariado de los activos:
Esta es una etapa fundamental para el proceso de clasificación, ya que se deben tener en consideración todos los recursos con los que cuenta la organización, tanto en formato físico, como en formato digital. Además de identificar todos los activos de información es conveniente catalogar varias características adicionales, como son su tamaño, ubicación, servicios o departamentos que intervienen en su gestión o quién es su responsable.
Criterios de clasificación
Aunque existen multitud de criterios para clasificar la información, el estándar ISO/IEC 27001 indica que cada organización debe establecer los criterios que mejor se adapten a sus circunstancias particulares. Por lo tanto, se deberán establecer inequívocamente los criterios de clasificación para que sean tenidos en cuenta por todos los responsables afectados. Además, deberán estar alineados con las medidas de seguridad que se llevarán a cabo para proteger la información. A modo de ejemplo, una forma de clasificar la información es en base a la confidencialidad de la misma y el impacto para la empresa en caso de pérdida o robo: Confidencial, Restringido, Uso interno y Público
Tratamiento de la información
En este paso se debe elaborar un listado con los tratamientos de seguridad que se han de llevar a cabo para proteger cada activo de información en función de su clasificación. Algunas de las herramientas más comunes usadas en el tratamiento de la información son las de cifrado, copias de seguridad y control de accesos.
Seguridad de la información
La seguridad de la información se articula sobre tres dimensiones, que son los pilares sobre los que aplicar las medidas de protección de nuestra información: La disponibilidad hace referencia a que la información esté accesible cuando la necesitemos. La integridad de la información hace referencia a que la información sea correcta y esté libre de modificaciones y errores. La confidencialidad implica que la información es accesible únicamente por el personal autorizado.
Protección de datos personales
Existen categorías especiales de datos, los denominados datos sensibles que exigen una protección reforzada y que están sujetos a un régimen jurídico especial. Estos datos son: datos personales que revelan ideología, afiliación sindical, opiniones políticas, creencias religiosas; datos personales que revelan el origen racial o étnico y los relativos a la salud o la vida sexual, orientación sexual, datos genéticos y biométricos y por ultimo datos de condenas penales o administrativas. La nueva legislación de protección de datos de carácter personal se basa en un enfoque de riesgos y en la responsabilidad proactiva. Esto implica que se han de aplicar las medidas técnicas y organizativas adecuadas y necesarias para garantizar los derechos y la privacidad de las personas cuyos datos personales tratemos, en base a un análisis de riesgos y para poder demostrarlo.
Cada organización deberá crear el esquema que mejor se adapte a sus necesidades. La realización de esta tarea será de gran utilidad para salvaguardar las bases sobre las que se cimienta la ciberseguridad.
Por ello presentamos Azure Information Protection (AIP) es un servicio alojado en la nube de Microsoft que permite a las organizaciones proteger los datos confidenciales con los que trabajan, aplicando encriptación estén en local o en la nube, asegurando que, aunque el documento salga de la empresa hacia un entorno no seguro, solo los usuarios autorizados podrán tener acceso al mismo.
En líneas generales, Azure Information Protection nos ayudará a clasificar, proteger y controlar la información, documentos y correos electrónicos de la empresa, desde el momento en que han sido creados.
