Qué es la clasificación de la información y cómo se vuelve crítica con la LGPD

¿Sabes qué es la clasificación de la información? ¿No? Curiosamente, este concepto es uno de los más antiguos y estructurales dentro de la asignatura de  seguridad de la información, aplicado incluso antes de la popularización de las computadoras y la migración masiva de documentos a los medios electrónicos. Y es precisamente porque es una práctica ignorada o menospreciada que se producen tantos ciberincidentes en nuestro país.

Aquí no hay muchos secretos: la clasificación de la información es, como su nombre señala, el acto de clasificar el nivel de confidencialidad de un tipo de información que se creará, almacenará y / o se manipulará por los empleados de la empresa. Aunque puedas realizar la clasificación que consideres adecuada, hay excelentes orientaciones para una clasificación exitosa dentro de la norma técnica ISO 27001.

Básicamente, la idea es que, en primer lugar,  elabores un mapeo de tus activos, es decir, descubras y hagas un inventario de toda la información que existe en tu entorno. Luego, de que puedas realizar el proceso de clasificación siguiendo una estructura de niveles que te parezca más conveniente. La más famosa divide la información clasificada en cuatro apartados, que son, en orden descendente: Confidencial, Restringido, Interno y Uso Público.

Siguiendo la norma ISO 27001, después de la clasificación, la información debe etiquetarse, es decir, debe recibir una “etiqueta”, ya sea una etiqueta en la parte inferior de un informe físico o una etiqueta (tag) en el título de un documento de Word. Finalmente, se deben definir reglas sobre el manejo de cada tipo de información. Este es el paso más complicado, ya que implica la creación de reglas de manipulación y el establecimiento de privilegios de acceso.

Problema resuelto

¿Te diste cuenta de lo crucial que es la clasificación de la información? Está en el corazón de todas y cada una de las Políticas de Seguridad de la Información, ya que resuelve los principales problemas con el almacenamiento y procesamiento de datos sensibles dentro del entorno corporativo. Algunas de las ventajas de tener un sistema de clasificación de la información son:

• Mapeo apropiado de todos los activos de información, evitando, por ejemplo, que los datos personales recopilados de sus clientes sean “olvidados” accidentalmente;

• Creación de un sistema de identificación estandarizado para etiquetar el nivel de confidencialidad de la información, asistiendo en los procesos de protección y acciones post-incidente;

• Implantación de reglas de acceso y privilegios de manipulación, asegurando que solo las personas adecuadas puedan manejar información altamente sensible.

La falta de mapeo de datos a menudo provoca la pérdida de información o el incumplimiento de las leyes de protección de datos, como la propia Ley General de Protección de Datos (LGPD). Es imposible proteger adecuadamente lo que no ves o ni siquiera sabes que existe.

Asimismo, la falta de una política estricta de privilegios de acceso es un motivo constante de filtración de datos, especialmente debido a personas internas malintencionadas (empleados “corruptos” que pueden acceder la información clasificada sin la debida necesidad y grado de confianza necesarios). En otras palabras, estamos hablando de dos problemas que deben resolverse para asegurar el cumplimiento del estándar de privacidad brasileño.

El papel de la concienciación

Obviamente, la concienciación del usuario juega un papel importante en la clasificación de la información. Es fundamental que todos los empleados de una empresa, desde el cargo más alto al más bajo, conozcan este sistema de clasificación, sus niveles, sus reglas de manipulación y su importancia para perpetuar la cultura de privacidad corporativa. Solo entonces lo que definas en teoría se seguirá efectivamente en la práctica.

Traducido de: O que é classificação da informação e como ela se torna crítica com a LGPD — Perallis Security