ISO 27001 ¿Cómo se debe realizar la clasificación de la información?
ISO 27001
La gestión de la seguridad de la información con la norma ISO 27001 para algunas organizaciones es muy importante a la hora de realizar la clasificación de la información.
Es una de las principales tareas que se realizan en dicho ámbito desde que se tiene constancia de ello.
Para clasificar la información según la norma ISO 27001, existen diferentes criterios en los que basarnos. El criterio más utilizado por las empresas es el basado en el carácter confidencial de la información.
Para una correcta gestión de la información podemos usar un proceso que consta de cuatro pasos y que nos ayudará a proteger este activo.
Proceso para clasificar la información según ISO 27001
Para realizar una buena gestión de la información que se tiene que clasificar es necesario que se lleve a cabo el siguiente proceso. Cada empresa, en su política de clasificación de la información, describe cómo llevar a cabo cada una de las etapas de este proceso de cuatro pasos:
Paso 1 Incluir la información en el Inventario de Activos
Según esta etapa, es necesario conocer a la perfección de qué tipo de información disponemos, así como quién es el responsable de la misma.
La información clasificada podemos tenerla en distintos formatos y medios, como por ejemplo:
- Los documentos de carácter electrónico.
- Bases de datos.
- Documentos en formato papel.
- Correos electrónicos.
- Medios de almacenamiento.
- Información verbal.
Paso 2 Proceder a la clasificación de la anterior información
La norma ISO 27001 no establece cuales son los niveles de clasificación concretos, sino que cada empresa, en base a sus criterios particulares y las generalidades de las características de su industria tiene que definir sus criterios de clasificación concretos.
Una empresa establece más niveles de clasificación a medida que la misma sea de mayor tamaño y presente una mayor complejidad.
Las empresas de tamaño medio, pueden establecer estos niveles para clasificar la información según el carácter confidencial de la misma:
- Confidencial: cuando el nivel de confidencialidad de la información se incremente.
- Restringido: para niveles medios de confidencialidad.
- Uso interno: información con un nivel bajo de confidencialidad.
- Público: cuando todas las personas pueden ver la información.
El propietario del activo, es la persona encargada de proceder a realizar la clasificación de la información, por lo que se realizará según los resultados obtenidos tras la evaluación del riesgo.
Es posible que la misma empresa tenga dos sistemas de clasificación de la información diferentes, en función de si trabaja para el gobierno o no, lo hace para cualquier empresa que se encuentre en el sector privado.
Paso 3 Asignar una etiqueta a la información, una vez haya sido clasificada
Realizada la anterior clasificación de la información, se tiene que etiquetar de forma adecuada.
Es necesario que se defina una serie de pautas a seguir para cada tipo de activo de información. Esto, igualmente es cuestión de cada empresa, la cual se hace responsable de definir sus propias reglas, dado que la norma ISO 27001 no es prescriptiva en este sentido.
Una empresa puede establecer las siguientes reglas para indicar el carácter confidencial en cada uno de los documentos en papel que posee: indicar en la esquina superior del lado derecho del documento concreto el nivel de confidencialidad atribuido al mismo y que aparezca en el frente de la portada y en la carpeta donde se archive tal documento.
Paso 4 Hacer un manejo y tratamiento seguro de tal información clasificada
Cada empresa tiene que definir una serie de reglas que guíen sobre cómo proteger cada tipo de información según el nivel de confidencialidad de cada una.
Es necesario presentar un ejemplo de posibles reglas para proteger la información, según su nivel de confidencialidad y siendo el medio en el que se presente, podríamos establecer la siguiente regla: los documentos en formatos papel, que se encuentran categorizados como de carácter “restringido” deben ser guardados en un gabinete. Es necesario que se transfiera dentro o fuera de la empresa pero siempre que se encuentren en sobres cerrados. En caso de enviarse fuera, el documento tiene que enviarse con un servicio de devolución.
Este proceso de clasificar la información según la norma ISO 27001 pueda parecer complejo, realmente es muy comprensible. A esto le sumamos la gran libertad que confiere la norma ISO 27001 para que cada empresa adapte sus reglas según a sus particularidades.
Software ISO 27001
ISOTools Excellence permite una implementación automatizada de los Sistemas de Gestión de la Seguridad de la Información, aportando una variedad de funcionalidades que faciliten en gran medida la gestión del mismo. Además, añadimos la flexibilidad que permite, al poder adaptarse a las características de cada organización.