Una actividad ampliamente recomendada en los estándares y buenas prácticas de seguridad consiste en la clasificación de la información, que permite determinar su sensibilidad y en consecuencia definir las medidas que se llevarán a cabo para su protección.
Lógicamente, cuando mayor sea la sensibilidad de la información, mayores serán los recursos que se deban destinar para cuidar de ella.
En la publicación "Cómo clasificar la información corporativa", hemos expuesto los aspectos a considerar para llevar a cabo la clasificación, así como las ventajas que obtiene la organización si se emplea esta práctica.
Sin embargo, en ocasiones la aplicación de estos criterios se convierte en una actividad demandante, ya que luego de la categorización, el control de la información y de los documentos requiere recursos, principalmente para aquellos datos que han sido marcados como sensibles.
La tarea se vuelve imprescindible cuando se debe cumplir con alguna norma o regulación, convirtiendo la actividad en algo desgastante si la documentación es extensa y además se maneja en distintos formatos.
La automatización de tareas y el uso de herramientas resultan de gran ayuda cuando se debe llevar a cabo una actividad sencilla que debe ser aplicada de manera constante y a diferentes instancias, como la clasificación de la información de una organización.
Data Classification Toolkit
Una herramienta que puede facilitar la terea de clasificar la información en formato digital, para los sistemas operativos Windows es Data Classification Toolkit, ya que permite identificar y categorizar los documentos dentro de los distintos servidores con este sistema operativo dentro de una organización.
Es importante mencionar que antes de comenzar a utilizar esta o cualquier otra herramienta, debe existir un esquema de clasificación de información dentro de la organización, que defina los criterios a aplicar. Generalmente, la decisión para clasificar archivos tiene como base en el valor de los datos para las funciones de la empresa y los requisitos legales a los cuales se debe dar cumplimiento.
Luego de contar con lo anterior, los criterios se pueden establecer en una política si se considera necesario y posteriormente aplicar los lineamientos a los archivos, que pueden incluir entre otros, permisos de acceso, retención, vigencia o almacenamiento.
Entonces se podrá hacer un mejor uso del software, que funciona a partir de la Infraestructura de Clasificación de Archivos (FCI por sus siglas en inglés) de Windows Server, que se enfoca en el almacenamiento y retención de archivos de acuerdo al valor para la organización o el impacto que pudiera generar para la misma algún tipo de amenaza que se pueda materializar.
Si bien utilizar esta herramienta no garantiza el cumplimiento de los requisitos legales, contractuales o regulatorios de la organización en materia de manejo y clasificación de la información, su uso contribuye de manera considerable a reducir los recursos que podría ser dedicado a esta actividad, principalmente el tiempo.
Para su funcionamiento, es necesario tener instalado Windows Server File Classification Infrastructure (FCI) y opcionalmente Microsoft SQL Server para generar informes desde la base de datos.
En próximas publicaciones ahondaremos en el uso de este software para la clasificación de información y mostraremos tutoriales para llevar a cabo la instalación y aplicación de esta herramienta, así como de los requisitos que deben estar instalados previamente. ¡Hasta entonces!
[Actualización 15/09/2014: Hemos publicado un tutorial para instalar el rol Administrador de recursos del servidor de archivos, además de cómo agregar propiedades y reglas de clasificación en los documentos, y la forma de exportar esas reglas a otro servidor.]
