Clasificar la información según ISO 27001 es una de las tareas más interesantes en el área de Gestión de Seguridad de la Información. La clasificación, no obstante, implica algunas dificultades debido a la cantidad de fuentes de las que proviene la información y la diversidad de formatos en que se encuentra disponible.
Antes bastaba adherir una etiqueta a un sobre con la leyenda “confidencial”, sin que existiese un criterio claro sobre la razón por la que se restringía el acceso a los informes contenidos ahí. La introducción de un estándar de Gestión de Seguridad de la Información hace que clasificar la información según ISO 27001 requiera observar ciertos protocolos y adoptar criterios claros sobre lo que es confidencial y lo que no lo es.
¿Cómo clasificar la información según ISO 27001 en cuatro pasos?
Una buena práctica para iniciar, es crear una política sobre cómo clasificar la información según ISO 27001. En este documento se desglosarían los pasos que conoceremos a continuación.
Es importante advertir que la clasificación de la información tiene alcance sobre la información en papel, la digital y la virtual, así como grabaciones de audio y de vídeo en cualquier formato.
El proceso inicia con un inventario de activos – información – de la organización:
1. Crear un inventario de información
El propósito es comprender la cantidad, la procedencia y los formatos en los que se presenta la información que se clasificará, además de asociar el propietario. Algunos de las clasificaciones iniciales para crear este inventario son:
- Archivos electrónicos o digitales.
- Bases de datos y de registros.
- Documentos en papel.
- Dispositivos de almacenamiento digital: memorias USB, discos, discos duros externos…
- Informes transmitidos de forma verbal.
- Cuentas de correo electrónico.
2. Clasificar la información según ISO 27001
El objetivo en este segundo paso, que es en la práctica la parte medular del proceso, es establecer categorías de la información de acuerdo con su importancia y su requerimiento de confidencialidad.
Por supuesto, la información clasificada en los niveles más altos necesitará controles de protección excepcionales. Es necesario comprobar en este punto si los datos o registros clasificados requieren un tratamiento especial de acuerdo con alguna regulación como RGPD, por ejemplo.
Otros criterios para clasificar la información según ISO 27001 son la accesibilidad o la facilidad con la que la información puede corromperse o degradarse, aunque no sea confidencial, si no se aplican determinados controles.
La clasificación, además de la tarea en sí, requiere considerar:
a. el responsable de la información
Se trata de la persona de mayor jerarquía en los procesos de tratamiento de la información. También puede ser el propietario del activo que trata o contiene la información. La persona responsable de administrar una cuenta de correo, por ejemplo, serpa el responsable o propietario de la información que se transmite por ese medio.
b. los niveles de confidencialidad
ISO 27001 no ofrece ninguna guía para establecer niveles de confidencialidad para ningún tipo de información. O al menos, no los declara específicamente. Sin embargo, es necesario hacerlo.
De otra forma, toda la información sería sometida a los mismos controles de seguridad y protección, lo que significaría un consumo de recursos excesivo. El otro camino llevaría a una exposición indeseada e indiscriminada de toda la información de la organización.
Usualmente se consideran, basados en el sentido común, cuatro grandes niveles de confidencialidad:
- Máxima confidencialidad.
- Acceso restringido.
- Solo uso interno.
- Acceso público.
Cada organización, de acuerdo con sus necesidades puede agregar otros niveles, o abrir cada uno de ellos en sub clasificaciones.
Aprende a clasificar la información según #ISO27001 en cuatro sencillos pasos #SeguridadInformación Share on X3. Etiquetar la información
El tercer paso es etiquetar la información, anotando su nivel de confidencialidad, el propietario y las instrucciones generales de tratamiento o controles asignados para su protección.
Es otro tema sobre el que ISO 27001 no establece ningún proceso obligatorio. La organización tiene la libertad de crear los procedimientos de etiquetado que considere adecuados.
El etiquetado en documentos de papel es relativamente fácil. En la información contenida en dispositivos basta con sobre poner la etiqueta al respectivo activo. La información digital o virtual plantea algunas dificultades para el etiquetado, que deben ser resueltas por el propietario del activo o de la información.
4. Tratamiento de la información
Aunque la parte procedimental y reglamentaria ya está efectuada, este paso, que consiste en poner en práctica todo lo planificado, es la más compleja. Y lo es, porque es en este punto en el que aparecen fallas o imposibilidad de poner en práctica algo de lo dispuesto.
ISO 27001 entrega libertad para establecer reglas para el tratamiento de la información en la práctica diaria. Es importante, reiteramos, que exista una política sobre el tema que provenga directamente de la Alta Dirección.
El modelo PDCA funciona muy bien para la implementación de este proceso de cuatro pasos. De hecho, una revisión periódica del proceso conducirá a una mejora continua de las condiciones de seguridad de la información y a una mayor conformidad con la solicitud del estándar.
Clasificar la información según ISO 27001 es una tarea compleja, pero interesante y muy formativa. Las organizaciones que cuentan con Sistemas de Gestión digitalizados y automatizados encontrarán pocos obstáculos al desarrollar la tarea.
Las que invierten en formación de profesionales especializados igualmente tendrán una ventaja comparativa en el propósito de proteger su información. Una buena sugerencia al respecto, a continuación:
Diplomado en Seguridad de la Información – ISO 27001
Clasificar la información según ISO 27001 es una de las competencias que desarrollan los alumnos del Diplomado de Seguridad de la Información ISO/IEC 27001. Es un tema menor, si se considera el alcance total de este programa de excelencia.
Los alumnos que terminan el Diplomado están en capacidad de planificar, implementar, mantener, auditar y llevar a la certificación un Sistema de Gestión basado en la norma ISO 27001.
Es, además, una gran oportunidad de iniciar una interesante carrera que te llevará a trabajar en cualquier país de Europa o de América Latina. Descubre cómo aquí.