Você está aqui: Página Inicial / Noticias / Clasificación de la información según ISO 27001

Clasificación de la información según ISO 27001

La clasificación de la información según ISO 27001 es un proceso en el que la organización evalúa los datos que posee y el nivel de protección que cada uno requiere. Se trata de uno de los aspectos más complejos, pero sin duda más interesantes, en la gestión de la seguridad de la información. 

La clasificación de la información según ISO 27001

Las organizaciones que se toman en serio la protección de su información deben seguir las pautas establecidas en ISO 27001. La norma describe las mejores prácticas para crear y mantener un sistema de gestión de seguridad de la información, y la clasificación de la información según ISO 27001 es un elemento determinante dentro de ese sistema.

El objetivo de control A8.2 se titula Clasificación de la Información, e indica a las organizaciones que “deben asegurarse de que la información reciba un nivel adecuado de protección”.

El estándar no explica cómo hacerlo. Pero el proceso de clasificación de la información según ISO 27001 se puede llevar a cabo siguiendo estos cuatro pasos:

1. Ingresar activos en un inventario

El primer paso es recopilar toda la información en un inventario, que denominamos registro de activos. También se debe tener en cuenta quién es responsable (quién lo posee) y en qué formato está (documentos electrónicos, bases de datos, documentos en papel, otros medios de almacenamiento, etc.).

2. Clasificar la información

A continuación, se debe clasificar la información. Los propietarios de los activos son responsables de ello, pero es una buena idea que la alta dirección proporcione pautas basadas en los resultados de la evaluación de riesgos de la organización.

La clasificación de la información según ISO 27001 sigue parámetros específicos. Las organizaciones, generalmente clasifican la información en términos de confidencialidad; es decir, según a quién se le otorga acceso a ella.

En un hospital, por ejemplo, los médicos y enfermeras necesitan acceso a historias médicas de los pacientes; pero no deberían tener acceso a sus datos personales o a los registros financieros del hospital.

Un sistema típico, debería incluir cuatro niveles de confidencialidad:

  • Confidencial: acceso restringido a la alta dirección.
  • Restringido: directores de área y empleados clave tienen acceso.
  • Interno: relativo a la información accesible solo los miembros de la organización, pero en cualquier nivel.
  • Público: todas las personas, dentro y fuera de la organización, tienen acceso.

Como se espera, las organizaciones más grandes y complejas utilizan más niveles de confidencialidad. Asimismo, la información que está expuesta a mayores riesgos y con mayor impacto, generalmente recibe un mayor nivel de confidencialidad. 

Sin embargo, hay que tener cuidado, porque algunas veces no es así. Nuestro ejemplo anterior muestra que habrá casos en que información confidencial debe estar disponible para un conjunto más amplio de personas, para que puedan realizar su trabajo.

3. Etiquetar la información

Una vez que se haya clasificado la información, el propietario del activo debe crear un sistema para etiquetarla. Necesita diferentes procesos para la información que se almacena digital y físicamente, y debe ser lo más coherente y clara posible.

Por ejemplo, puede decidir que los documentos en papel se etiqueten en la portada, en la esquina superior derecha de cada página posterior y en la carpeta que contiene el documento. Para los archivos digitales, puede enumerar la clasificación en una columna de su base de datos, así como en la página principal del documento y en el encabezado de cada página posterior.

4. Manejo de la información

Finalmente, se deben establecer reglas sobre cómo proteger cada información en función de su clasificación y formato. Por ejemplo, puede decidirse que los documentos en papel internos deben colocarse en un gabinete desbloqueado en una parte de las instalaciones a la que todos los empleados puedan acceder. Mientras,  los documentos restringidos podrían almacenarse en un gabinete cerrado,

Además, se deben establecer reglas adicionales para los datos en tránsito, aquellos que se publiquen, se envíen por correo electrónico o que los empleados lleven consigo.

Crear una política de clasificación de la información según ISO 27001

La clasificación de la información no requiere un conocimiento experto en seguridad de la información, pero sí mucha coordinación entre las diferentes áreas o departamentos. Por lo tanto, es esencial crear una política de clasificación de la información según ISO 27001, para asegurar que todo lo relativo a ella esté agrupada.

La política debe explicar por qué es necesaria la clasificación de la información, quién es responsable de la clasificación y el etiquetado, y el enfoque de clasificación de la organización. Esto debe incluir sus niveles de clasificación y los tipos de información que pertenecen a cada categoría.

 

Reproducido de: Clasificación de la información según ISO 27001 (escuelaeuropeaexcelencia.com)