¿Cómo podría identificar qué información es importarte proteger?

por

En el contexto de la seguridad de la información, identificar qué información es importante implica un proceso de clasificación de la información basado en su valor, sensibilidad y criticidad para la organización.

La información importante se identifica mediante su valor para la organización, su impacto en caso de incidente y los requisitos legales. Una adecuada clasificación y protección (cifrado, controles de acceso, etc.) es esencial para cumplir con estándares como ISO 27001 o NIST Cybersecurity Framework.

Vamos a describir distintos pasos y criterios básicos para llevarlo a cabo:

1. Análisis de los Activos de Información

  • Inventariar la información: Identificar todos los datos, documentos, bases de datos, sistemas y procesos que maneja la organización.
  • Fuentes comunes: Correos electrónicos, documentos internos, bases de datos de clientes, propiedad intelectual, registros financieros, etc.

2. Criterios para Evaluar la Importancia

La información se considera importante si se encuadra dentro de alguna de las siguientes categorías:

  • Confidencialidad:
    • Datos personales (ej.: RGPD, Ley de Protección de Datos).
    • Secretos comerciales (ej.: fórmulas, estrategias de negocio).
    • Información clasificada (ej.: contratos con cláusulas de confidencialidad).
  • Integridad:
    • Datos que, si se alteran, afectan decisiones críticas (ej.: registros financieros, informes legales).
  • Disponibilidad:
    • Información necesaria para operaciones diarias (ej.: sistemas de facturación, accesos a plataformas clave).
  • Impacto Legal o Regulatorio:
    • Información sujeta a regulaciones (ej.: datos de salud bajo HIPAA, información bancaria bajo PCI-DSS).
    • Sanciones por pérdida o filtración.
  • Impacto Operacional:
    • Datos cuya pérdida o exposición causaría interrupciones graves o pérdidas económicas.
  • Reputación:
    • Información cuya filtración dañaría la imagen de la organización (ej.: comunicaciones internas sensibles).

3. Clasificación de la Información

Las organizaciones suelen catalogar la información de la forma siguiente:

  • Pública: Sin riesgos si se divulga (ej.: información de marketing).
  • Interna: Uso restringido a empleados (ej.: manuales de procedimientos).
  • Confidencial: Acceso limitado (ej.: datos de clientes, contratos).
  • Crítica/Secreta: Alto impacto si se expone (ej.: planes estratégicos, contraseñas de sistemas).

4. Herramientas y Métodos para Identificar Información Importante

  • Evaluación de Riesgos: Análisis de amenazas y vulnerabilidades asociadas a los datos. Muy importante.
  • Mapas de Procesos: Identificar qué información se usa en procesos críticos.
  • Etiquetado: Marcando de documentos con metadatos (ej.: «Confidencial», «Restringido»).
  • Soluciones Automatizadas:
    • DLP (Data Loss Prevention): Detecta y protege datos sensibles (por ejemplo los números de las tarjetas de crédito).
    • SIEM (Security Information and Event Management): Monitoreando accesos a esa información catalogada como crítica.

5. Algunos ejemplos

  • Sector Financiero: Datos de tarjetas bancarias, historiales de crédito.
  • Salud: Historias clínicas, resultados de exámenes médicos.
  • TI: Credenciales de acceso, código fuente de aplicaciones.
Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos.
Privacidad