Clasificar la información según ISO 27001
Clasificar la información según ISO 27001 es una de las partes de la misma de mayor relevancia y de los primeros aspectos a gestionar en el ámbito de la seguridad de la información.
Hay muchos criterios a seguir de cara a realizar la clasificación de la información. En este artículo vamos a exponer cómo clasificar la información según ISO 27001 basándonos en criterios de confidencialidad, al ser ésta la manera más habitual de clasificar la información.
Proceso para gestionar la clasificación de la información
A continuación, presentamos el modelo de 4 pasos para clasificar la información según ISO 27001. Los cuatros pasos del mencionado proceso son:
1.-Realizar un inventario de Activos de Información (Registro de Activos)
Mediante este primer paso queremos conocer qué activos de la información tiene nuestra organización en su posesión, viendo además quiénes son los responsables de la misma, es decir quién su propietario.
2.-Clasificar los activos identificados
Cada organización puede clasificar la información de acuerdo a criterios y medios de comunicación diferentes. Así, a modo de ejemplo, y de acuerdo al medio de comunicación empleado, distinguimos entre documentos electrónicos y en papel, bases de datos, información transmitida verbalmente, correo electrónico, entre otras formas.
En cuanto a los criterios para su clasificación, tal como hemos comentado antes, vamos a basarnos en el carácter confidencial. ISO 27001 no plantea los niveles de clasificación a seguir, sino que da flexibilidad para que cada organización adopte aquel más empleado en función de la industria. Así, por ejemplo, para una organización de mediano tamaño, podríamos definir los siguientes 4 niveles para clasificar el carácter confidencial de su información:
- Confidencial (cuando presenta un nivel mayor de confidencialidad).
- Restringida (nivel medio de confidencialidad).
- De uso interno (nivel más bajo de confidencialidad)
- Público (cuando la información es accesible a todo el público)
De manera general, será el propietario de la información el encargado de realizar tal clasificación en base a los resultados de la evaluación de riesgos, el cual sigue la lógica de que mientras más valiosa sea una información, mayor será las consecuencias en caso de incumplir con su confidencialidad, de modo que el nivel de clasificación en base a ello será mayor.
3.- Etiquetar los Activos
En este punto, de nuevo la norma ISO 27001 no es preceptiva. Cada organización debe elaborar su propias normas para el etiquetado de los activos de información que ha clasificado.
A modo de ejemplo, para la información almacenada en formato papel en la organización, la manera de etiquetarla, podría ser indicando el nivel de confidencialidad en la esquina superior del lado derecho de cada una de las páginas del documento en cuestión, así como en la cubierta del documento o en la carpeta dónde almacenemos el mismo.
Igualmente, esta tercera etapa es responsabilidad del propietario de la información en cuestión.
4.- Manejo de los activos de la información de manera segura
Cada organización debe detallar una serie de reglas para dar protección a las diferentes categorías de información que tiene clasificadas por su carácter confidencial y según el tipo de medio de comunicación en el que se encuentre. De nuevo la norma ISO 27001 permite flexibilidad para redactar tales normas.
Por ejemplo, para los documentos en formato papel físico, clasificados con un nivel de confidencialidad de Restringido, la organización puede definir como regla, que se almacenen en armarios con llaves, que la forma de transferirlos dentro y fuera sea siempre incluido en sobres cerrados y que en caso de ser enviados fuera de la organización, se haga siempre con acuse de recibo.
En definitiva, como podemos ver, el proceso de clasificar la información según ISO 27001 es complejo, pero gracias a la libertad que aporta la mencionada norma, es posible que cada organización ajuste tal proceso de acuerdo a sus necesidades particulares permitiendo asegurar la protección de su información confidencial.
Recomendamos la lectura de Cómo hacer rentable la certificación en ISO 27001.
Software ISO 27001
El Software ISOTools Excellece te permite dar seguridad a la información contenida en tu organización. Mediante la automatización que aporta, es posible agilizar la gestión del Sistema de Gestión de la Seguridad de la Información, viéndose incrementada la eficiencia del mismo.
Si te estás planteando implementar en tu organización un SGSI según la norma ISO 27001, puedes solicitar que nuestros consultores contacten contigo para ofrecerte el asesoramiento que necesites.
¿Desea saber más?
Entradas relacionadas
Decreto 1072 La norma OHSAS 18001 y el Decreto 1072 de 2015 siguen la metodología de mejora continua…
Gestión de riesgos Las nuevas versiones de la norma ISO 9001 e ISO 14001 exigen que todas las…
Software ISO 9001 Durante este artículo queremos que conozca cómo puede ayudarle el software ISO 9001 ISOTools. Es…
Decreto 1072 Conservar los documentos es necesario como medida preventiva adoptada para asegurar la integridad física y funcional…