Buscar
Cerrar este cuadro de búsqueda.

Política de Clasificación de la Información

La información es uno de los activos principales de cualquier empresa y como tal hay que protegerla adecuadamente.

Los activos de información pueden estar en formato digital o en otros soportes (papel, película fotográfica, etc.). En formato digital podrán ser desde ficheros de cualquier tipo (texto, imagen, multimedia, bases de datos, …), pasando por los programas y aplicativos que los utilizan y gestionan, hasta los equipos y sistemas que soportan estos servicios.

Para aplicar las medidas de seguridad ajustadas a cada activo de información hay que realizar un inventario y clasificarlos, de acuerdo con el impacto que ocasionaría su pérdida, difusión, acceso no autorizado, destrucción o alteración, aplicando para ello criterios de confidencialidad, integridad y disponibilidad. Así se puede saber qué información hay que cifrar, quién puede utilizarla, quién es responsable de su seguridad, cada cuanto hacer copias de seguridad, etc.

Estos son algunos ejemplos:

  • el aplicativo de nóminas es confidencial y sólo tendrán acceso a él ciertos empleados del departamento de personal para los cuales habilitaremos permisos;
  • el acceso al gestor de la página web está restringido al personal de marketing;
  • se han de cifrar los documentos que se envíen a la gestoría por correo electrónico;
  • los servicios que traten datos personales tendrán que cumplir el RGPD;
  • el ERP es crítico para la empresa y se debe hacer una copia de seguridad de la base de datos al menos semanalmente.

Además, al clasificar los activos de información hay que establecer su ciclo de vida, que dependerá no sólo de la vida útil del soporte sino también de la vigencia de su contenido. Si el soporte caduca antes que el contenido habrá que regenerarlo en otro soporte. El ciclo de vida de la información determinará el momento en el cual dejará de ser útil, y por tanto cuándo tenemos que eliminarla convenientemente.

El objetivo es clasificar los activos de información para garantizar una eficaz gestión de su seguridad con criterios de confidencialidad, disponibilidad e integridad.

1.- Inventario de la información

Es necesario establecer un inventario de los activos de información disponible en la empresa, considerando registrar aspectos tales como su tamaño, ubicación, servicios o departamentos a los que pertenecen, quienes son sus responsables, etc.

2.- Criterios de clasificación de la información

Hay que establecer claramente los criterios de clasificación que vamos a aplicar a los activos de información. Estos deberán estar relacionados con las medidas de seguridad que plantearemos aplicar a nuestra información.

Algunos de estos criterios podrían ser:

            – por el nivel de accesibilidad o confidencialidad:

  • Confidencial. Accesible solo por la dirección o personal concreto.
    • Interna. Accesible solo al personal de la empresa.
    • Pública. Accesible públicamente.

            – por su utilidad o funcionalidad:

  • Información de clientes y proveedores.
    • Información de compras y ventas.
    • Información de personal y gestión interna.
    • Información sobre pedidos y procesos de almacén.

            – por el impacto por robo, borrado o pérdida:

  • daño de imagen
    • consecuencias legales
    • consecuencias económicas
    • paralización de la actividad

3.- Clasificación de la información

Asignar a cada tipo de información una etiqueta según los criterios de clasificación establecidos.

4.- Tratamientos de seguridad disponibles

Elaborar un listado con todos los tratamientos de seguridad de los que dispone la empresa, tales como herramientas de cifrado, sistemas de copias de seguridad, sistemas de control de accesos, etc.

5.- Establecer y aplicar los tratamientos que corresponden a cada tipo de información

Una vez clasificada la información, hay que asignar y aplicar los tratamientos de seguridad oportunos para cada tipo de información. Entre estos tratamientos, se pueden contemplar los siguientes:

  • limitar el acceso a las personas o grupos correspondientes
  • cifrar la información
  • realizar copias de seguridad
  • medidas específicas como las reflejadas en el reglamento del RGPD
  • información sujeta a acuerdos de confidencialidad concretos
  • control del acceso y/o modificación de la información

6.- Auditorías

Conviene realizar periódicamente auditorías de seguridad que certifiquen que se aplican los tratamientos estipulados para proteger nuestra información.

Artículos relacionados

Dónde encontrarnos

C/ Santiago 25, 4ºD
47001 Valladolid
Tel: 983 09 94 35
unojuridica@unojuridica.com

Nosotros

Contacto

Más información

Blog

2024 © UnoJurídica

Diseño web ValladolidDiseño y desarrollo web livire.es