Podemos mencionar que la información es el nombre, por el que se conoce un conjunto organizado de datos procesados que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje. Pero debemos tener en consideración que no todos los activos de información de la organización son igual de críticos.

Bases de datos, hojas de cálculo, facturas, datos personales de clientes, etc., son muchos los datos que gestiona una empresa y no todos tienen la misma criticidad. Hay algunos que serán esenciales para el negocio y otros que serán más prescindibles. Es importante diferenciarlos y tenerlos localizados para garantizar su protección.

Una de las partes más importantes a la hora de proteger la información de una empresa, es clasificarla correctamente antes de tomar alguna acción, ante esta condición, debemos tener en consideración lo siguiente:

• Debemos identificar los activos de información esenciales para nuestro negocio y protegerlos adecuadamente.
• Deberemos determinar que es importante proteger de cada activo de información y en que medida su CID (Confidencialidad – Integridad – Disponibilidad) u otra característica en partículas de este.

En lo que respecta a como identificar los activos de información críticos y su ubicación en la organización, existen buenas prácticas que nos pueden orientar a realizar algunas actividades, que nos facilitarán y ayudarán en nuestro cometido.

A continuación, presentamos cuatro pasos para el proceso de clasificación de la información:

1. Tener un inventario de activos: Tener en cuenta todos los recursos con los que cuenta la organización, tanto en su formato físico, como en formato digital. Además, es conveniente catalogar otras características, como lo son el tamaño, ubicación, departamentos que realizan gestión sobre ellos, servicios que prestan, entre otros.
2. Criterios de clasificación: Cada empresa tiene sus propias particularidades y se deben escoger lo criterios que se adapten a los requisitos de esta. Se puede realizar una clasificación identificando los distintos criterios como lo puede ser la confidencialidad, integridad o disponibilidad, como, por ejemplo:
   1. Confidencialidad: Información de gran relevancia para el futuro de la organización.
   2. Restringida: Accesible únicamente para un grupo determinado de colaboradores de la organización.
   3. Uso Interno: Accesible exclusivamente para el personal de la organización.
   4. Pública: Información de dominio público, por ejemplo, la que se encuentra en la pagina web de la organización.
3. Clasificación de cada activo: Etiquetar cada activo de una forma adecuada, por ejemplo, con etiquetas que distingan un numero de inventario, un numero de serio u otro elemento identificador.
4. Controles: Existen diversos marcos o estándares que nos proporcionan diversos controles, como lo puede ser la ISO 27001 / 27002, CIS, NIST, entre otros. Debemos tener la claridad de cuales son los requerimientos de la organización para aplicar los controles específicos.

Alternativas de Protección de la Información

Existen múltiples alterativas para proteger la información de la organización, una de ellas, corresponde a la implementación de Controles de Seguridad, los cuales nos ayudarán a mantener resguardada nuestra información.

En lo que respecta a la implementación de controles de seguridad, podemos tomar lineamientos en cuanto al tratamiento de esta:

Tratamiento de la información: Corresponde al listado de controles que se implementarán en cada activo de información que ha sido determinado, donde el enfoque de estos será el siguiente:

o   Limitar el acceso de personas o grupos que no deban tener el acceso a la información: Se deberá llevar un control de accesos para que la información sea accesible, únicamente, por el personal que la necesite para su trabajo, según los roles o perfiles. Por ejemplo, los datos de clientes no son necesarios para el personal de RRHH, ni los cv de candidatos a un puesto deben ser accesibles para los comerciales. No todos los empleados deben tener acceso a todos los recursos.

o   Cifrado de la información sensible de la organización: existen diferentes alternativas que nos permiten realizar el cifrado correspondiente.

o   Respaldos de la información: junto con las pruebas respectivas de estos para que funcionen correctamente al momento de ser requeridos.