3 minute read
ANÁLISIS TECNOLÓGICO
Si nos detenemos un momento a pensar la cantidad de información que generamos, administramos, compartimos, guardamos y usamos, probablemente coincidirás en que no se compara con la que destruimos. Con el avance de la tecnología hemos incrementado más el uso de aplicaciones, de dispositivos electrónicos como celulares, tabletas, bocinas, asistentes digitales, y la lista solo crece y la noticia es que seguirá en aumento.
Lo hablamos en el artículo anterior, donde te compartía que existe un mundo físico y uno digital que interactúan entre sí, haciendo uno solo, y aunque convergen, se cuidan de manera diferente. Siguiendo este mismo principio hablar de seguridad de la información o privacidad en el mundo digital puede sonar un poco “abstracto”, pues preferimos renunciar a ellos cada que queremos comprar algo por la red, usar una red de wi-fi “gratuita” o pública, instalar alguna aplicación de interés, algún juego novedoso que encontramos, entre muchas acciones que hoy hacemos de manera “normal” sin detenernos un momento a pensar en la seguridad de nuestros datos al momento de compartirlos.
Lo anterior nos lleva a ser mucho más relajados en los procesos de gestión para asegurar la información y no poner los controles adecuados según su tipo; comencemos justo ahí, es verdad que la infinidad de datos y de información es tanta que no sabemos por dónde comenzar o, mejor aún, cómo identificarla, ordenarla y clasificarla.
No perdamos de vista que la información es un activo, de los más importantes, que puede ser tangible o intangible; el medio de transmisión, el lugar de almacenamiento y el acceso a la misma es igualmente importante, por lo que la identificación y clasificación es un buen punto de partida.
ISO2700 en la gestión de seguridad de la información
Para ayudar con esta tarea tenemos el ISO 27001, este estándar es el más conocido para el sistema de gestión de seguridad de la información, sin embargo, no es el único, las mejores prácticas adicionales en protección de datos y resistencia cibernética están cubiertas por varios estándares de la familia ISO 27000. De esta manera las organizaciones de todos los sectores y de cualquier tamaño podrán gestionar la seguridad de los activos de la información como por ejemplo financiera, propiedad intelectual, datos de empleados, información de terceros por mencionar algunos.
Realizar una buena gestión de la información requiere conocer a la perfección qué tipo de información tenemos y el responsable de esta, así como su clasificación en los diferentes formatos y medios en que se tiene, como puede ser documentos electrónicos, bases de datos, documentos en papel, correos electrónicos, medios de almacenamiento o información verbal.
Con lo anterior deberíamos poder clasificarla, esto dependerá principalmente de cada empresa, y es lo que nos indica la ISO 27001: “Que la información deberá ser clasificada de acuerdo con la seguridad de la información de las necesidades de la organización basadas en la con- fidencialidad, integridad y disponibilidad, así como los requisitos de las partes interesadas”.
Hablemos del sistema típico de clasificación que normalmente incluye cuatro niveles: confidencial, restringido, interno y público. Es importante recalcar que esto depende, sin lugar a duda, de la organización, su estrategia y “governance”, así como del apetito de riesgo, visión, objetivo y misión. No olvidemos que el propietario del activo es quien se encarga de realizar la clasificación de la información.
Es importante “etiquetar” la información una vez que fue clasificada y asignar los accesos correctos a las personas autorizadas, así como los privilegios de cada uno para el manejo de esta. Hacer un manejo y tratamiento seguro de la información clasificada es de suma importancia, ya que con esto podremos gestionar el riesgo de que pierda cualquiera de los atributos con los que debe cumplir la información: confidencialidad, integridad y disponibilidad.
Después de este pequeño análisis sobre cómo podríamos clasificar la información estoy segura de que tienes más bases para mirar dentro de tu empresa u organización y hacer algunas preguntas y los ajustes que el mismo ISO nos marca como mejora continua.
Probablemente algunos de ustedes ya tienen implementado el ISO 27001 y otros de la familia principal, otros probablemente están implementando el estándar y otros están aún pensando en si lo implementan o no. Lo importante es que seamos más conscientes de que tipo de información es la que estamos generando, compartiendo, usando o almacenando y poder gestionar los riesgos que están alrededor de ella.
