Archivo mensual: Febrero 2021

La importancia de clasificar datos.

Para entender mejor cómo se puede clasificar la data, debemos remontarnos a la siguiente pregunta: ¿por qué clasificamos información? El objetivo de clasificar la información es poder llegar a entender qué se debe proteger con base en su importancia y relevancia. En vista de ello, es necesario determinar que hace que la información sea importante y crucial para la organización:

Información Importante

Las variables que hacen que la información sea importante pueden variar de persona a persona, o de organización a organización. Por esta razón, es importante determinar pilares objetivos que permitan discernir los varios tipos de información. Si bien la información puede tener importancia por varias razones, existen algunos pilares predeterminados que usualmente determinan la importancia o criticidad de la información:

  • Si está regulada por leyes o regulaciones
    • Información Personal
    • Información de Salud
    • Información Genética
    • Información de Tarjetas de Crédito.
    • Información de seguridad nacional.
  • Secretos industriales.
  • Información privilegiada e información interna sobre la bolsa de valores.
  • Investigación y Desarrollo
  • Información que se confía a terceros y que está protegida por un NDA.
  • Información que puede afectar la seguridad de otras personas.

Con el objetivo de determinar la importancia de la información, es muy valioso revisar cuáles son las consecuencias de una fuga o pérdida de información. Si por ejemplo un documento se fuga y ningún tipo de consecuencia resulta de ello, lo más probable es que es documento sea público o de uso interno. Si por el contrario, la fuga de información causa pérdidas debido al uso indebido de la misma, multas, demandas o mala publicidad entonces esta debe considerarse como restringida o confidencial.

Es importante recalcar que no importa si la persona que creó el documento o que trabaja con esa información piensa que su contenido es crítico o confidencial. La clasificación nunca debe basarse en la evaluación subjetiva de una persona, sino que siempre debe evaluarse en función a la importancia para la organización.

Los criterios para determinar el nivel de confidencialidad de cada documento deberían ser fáciles de entender y si están bien definidos, incluso en una clasificación manual deberían dar resultados consistentes. Incluso si se llegara a utilizar algún tipo de tecnología para clasificar la información, los criterios deben poderse entender. Para seguridad de la información esto es especialmente útil, ya que la facilidad de explicar los criterios permite de igual manera explicar a los usuarios un potencial bloqueo o protección de la información. Mientras más complicados sean los criterios de clasificación, más confusión se generará sin que exista un valor agregado. A final de cuentas es mejor tener un sistema de niveles menos preciso que funciona, en vez de un sistema de niveles altamente sofisticado que no funciona.