Consejos básicos sobre clasificación de información – Parte 2

 

Conexiones¿Quién decide la clasificación correcta?

  1. Los dueños de datos son responsables de garantizar que dicha información sea clasificada correctamente en una de las tres categorías.
  2. Los “autores” o “creadores” de la información generalmente determinarán la categoría apropiada consultando al personal de seguridad de la información, según sea necesario.
  3. Los dueños y autores deben considerar el impacto y probabilidad de divulgación al clasificar la información. El impacto es evaluado en términos de pérdida o ganancia potencial, riesgo de daño a personas, daño a la reputación de la organización y a la participación de mercado, entre otros factores.
  4. La probabilidad del daño se evalúa en colaboración con el personal de seguridad de la información y otros sectores según se requiera.
  5. Las clasificaciones establecidas por los dueños y autores de la información deben ser revisadas solo con la aprobación del dueño/autor.
  6. Para agregar información a un documento o colección nueva, se requiere que quien la agrega, evalúe su sensibilidad y garantice su clasificación correcta.

Los dueños de datos son personas de alta gerencia que son responsables, entre otras cosas, de los niveles de clasificación asignados a la información de la organización. Aunque los dueños de la información son responsables de la correcta clasificación, dicha responsabilidad muchas veces será delegada a los autores que crean la información. En muchos casos, los autores entienden mejor el contenido y están en mejor posición de clasificarla correctamente.

Los autores pueden generar o crear información “desde cero” o pueden recopilarla a partir de fuentes existentes. La información recibida de otra fuente, ya sea un empleado o un tercero, debe haber sido clasificada previamente. Tomarla y combinarla con otra de una segunda fuente, ya sea en forma verbal o escrita, crea efectivamente información “nueva” que debe ser clasificada.

Por ejemplo, el material A podría contener información personal y ser clasificado como información de “uso interno”.

El material B podría contener información sensible utilizada para algún proceso específico (por ejemplo, información relativa a la salud o religión) y ser clasificado también como información de “uso interno”. Cuando creamos materiales nuevos que contienen información de ambas fuentes, dicha información se podría clasificar como “confidencial”.

Es importante entender que si creamos una carpeta para que la vean los demás, en papel o electrónica, que contenga tanto el material A como el material B, entonces habremos creado una fuente de información combinada. La persona que agrega información necesitará confirmar que la carpeta resultante esté catalogada de manera adecuada.

En términos generales, los pasos involucrados en la clasificación son:

  1. Evaluar el posible impacto en caso de que la información de documentos o archivos electrónicos sea divulgada. Los dueños y autores deben considerar el nivel de impacto, el daño potencial a los clientes y a la reputación de la organización.
  2. Evaluar la probabilidad de divulgación de la información en documentos o archivos electrónicos.
  3. Asignar la clasificación correcta según el contenido y sensibilidad de la información.
  4. Implementar las medidas de seguridad apropiadas para el almacenamiento, distribución y desecho del documento o archivo electrónico, y proporcionar instrucciones adecuadas a los usuarios o receptores que deseen comunicar la información.

Aunque los dueños/delegados nominados son responsables de determinar y aplicar la clasificación correcta, cada persona que maneja información, incluyendo empleados y contratistas, son responsables de garantizar que cualquier información sensible sea manejada de forma correcta y apropiada.

Gracias a todos, y espero que hayan sido de utilidad estos consejos que hemos compartido.

[email protected]

Fabián Descalzo, COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, ISMS Auditor/Lead Auditor ISO/IEC 27001

Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Deloitte & Co., con 28 años de experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información. Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN), auditor ISO 20000 (LSQA-Latu), IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001 y Lead Auditor ISO/IEC 20000 TÜV Rheinland. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Docente del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks” y de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA); Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.