Cuando se habla de gestionar la seguridad de una empresa, hay algunos aspectos que se deben tener en cuenta en la política de seguridad y algunos lineamientos sobre cómo implementar modelos de seguridad de la información. Pero muchas veces surge la inquietud acerca de que cuales son las características que debe cumplir la información para considerarla o no dentro de los sistemas de gestión, y esta decisión es la que puede condicionar los análisis de riesgos y por tanto las acciones que se ejecuten.
Hay tres aspectos fundamentales que deben considerarse para clasificar la información: la integridad que debe garantizársele a la información, el grado de confidencialidad con que se debe manejar los dieferentes activos de información y los niveles de disponibilidad que son requeridos. Lo más usual es clasificar la información teniendo en cuenta solamente una de estas tres dimensiones, generalmente la confidencialidad. Por lo tanto es común tener tres niveles como privada, de uso interno e información pública. Esta aproximación es la más aceptada pues uno de los riesgos más críticos para cualquier negocio es la fuga de información. Pero las otras dos dimensiones no deben descuidarse, y en la medida que la integridad y la disponibilidad sean relevantes para el negocio deben tenerse en cuenta. Por ejemplo para una empresa del sector financiero puede ser deseable tener mayor énfasis en la integridad de las transacciones bancarias que para una empresa de retail en la actualización de las bases de datos. O para una empresa cuyo principal canal de venta sea su portal de Internet la disponibilidad sea mucho más crítica que para una empresa que sólo utilice su página web cómo medio informativo.
Teniendo definidas las características que más influyen en la seguridad de la información, se debe realizar un análisis de riesgos sobre todos los activos de información evaluándolos a luz de los criterios elegidos. La valoración se puede realizar utilizando escalas de medición, por ejemplo asignando puntajes de 1 a 5 donde 1 sea los niveles más bajos de criticidad y 5 los de mayor impacto. Como estos análisis pueden resultar bastante subjetivos dependiendo del proceso desde el cuál se evalúe, deberían realizarse siguiendo el criterio de expertos desde las diferentes áreas que interactúan con la información. De esta forma se obtienen calificaciones más equilibradas y que brindan una aproximación a la realidad de la compañía.
Al clasificar la información, la empresa tiene un panorama más claro de cuáles son los aspectos en los que debe enfocar su gestión. De esta forma se pueden identificar cuáles son los riesgos que pueden llegar a tener más relevancia dentro del SGSI y a su vez determinar los controles más apropiados y acordes a la realidad de la empresa. Si por ejemplo, del análisis resulta que la disponibilidad de la información no es un factor crítico tener infraestructura de comunicación de respaldo no va a ser la prioridad de la empresa. Pero si por el contrario hay altos niveles de información confidencial, debería hacerse énfasis en soluciones que permitan intercambiar información cifrada fácilmente.
La clasificación de la información además de ayudar a las organizaciones a enfocar sus esfuerzos en las necesidades más críticas puede en el mediano plazo generar ahorros significativos ya que garantiza eficiencia en la administración de los recursos y efectividad en su implementación. Además con esta clasificación se pueden enfocar otro tipo de servicios cómo los análisis de vulnerabilidades y los pentesting.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research