Saltear al contenido principal
clasificar la información según ISO 27001

Cómo clasificar la información según ISO 27001

clasificar la información según ISO 27001

Clasificar la información según ISO 27001

En el ámbito de la gestión de la seguridad de la información, para aquellas organizaciones que han implementado un Sistema de Gestión de la Seguridad de la Información de acuerdo a ISO 27001, tiene especial relevancia clasificar la información según ISO 27001.

De hecho, es una de las primeras tareas que se vienen realizando en dicho ámbito desde que tenemos constancia de ella.

A la hora de clasificar la información según ISO 27001, existen muchos criterios en los cuales poder basarnos. Sin embargo, el criterio que más se utiliza por las organizaciones para realizar esta clasificación es el basado en el caracter confidencial de la información a clasificar.

Veamos a continuación el conocido como proceso de cuatro pasos para la gestión de la información clasificada.

Proceso de cuatro pasos para clasificar la información según ISO 27001

Una buena gestión de la información a clasificar debe hacerse siguiendo el siguiente proceso. Cada organización, en su Política de Clasificación de la Información, describirá cómo llevar a cabo cada una de las etapas de este proceso de cuatro pasos:

Paso 1- Incluir la información en el Inventario de Activos

Mediante esta etapa, buscamos tener un conocimiento de qué tipo de información tenemos, así como quién es el responsable de la misma.

La información clasificada podemos tenerla en diferentes formatos y medios, como por ejemplo:

  • Documentos de carácter electrónico.
  • Bases de datos.
  • Documentos en formato papel.
  • Correos electrónicos.
  • Medios de almacenamiento.
  • Información verbal.

Paso 2- Proceder a la clasificación de la anterior información

La norma ISO 27001 no establece unos niveles de clasificación en concreto, sino que cada organización , en base a sus criterios particulares y generalidades características de su industria debe definir sus criterios de clasificación concretos.

Una organización establecerá más niveles de clasificación a medida que la misma sea de mayor tamaño y presente una mayor complejidad.

A modo de ejemplo, organizaciones de tamaño medio, podrán establecer estos niveles para clasificar la información según el carácter confidencial de la misma:

  • Confidencial: cuando el nivel de confidencialidad de la información sea elevado.
  • Restringido: para niveles medios de confidencialidad.
  • Uso interno: para información de nivel de confidencialidad más bajo.
  • Público: cuando todas las personas pueden ver esa información.

El propietario del activo, es la persona encargada de proceder a realizar la clasificación de la información, la cual se hará en base a los resultados obtenidos tras la evaluación del riesgo.

Además, también es posible que una misma organización tenga dos sistemas de clasificación de la información diferentes, en función de si trabaja para el gobierno o si lo hace para alguna orgniazación del sector privado.

Paso 3- Asignar una etiqueta a la información, una vez haya sido clasificada

Realizada la anterior clasificación de la información, debe etiquetarla de manera adecuada.

Para ello, debe definir una serie de pautas a seguir para cada tipo de activo de la información. Esto, igualmente es cuestión de cada organización, la cual se hace responsable de definir sus propias reglas, dado que la norma ISO 27001 no es prescriptiva en este sentido.

Por ejemplo, una organización puede establecer las siguientes reglas para indicar el carácter confidencial en cada uno de los documentos en papel que posee: indicar en la esquina superior del lado derecho del documento concreto el nivel de confidencialidad atribuido al mismo y que a su vez, ello también aparezca en el frente de la portada y en la carpeta donde se archive tal documento.

Este tercer paso, referente al etiquetado, viene siendo habitualmente responsabilidad del propietario del activo.

Paso 4- Hacer un manejo y tratamiento seguro de tal información clasificada

 

Cada organización debe definir una serie de reglas que guíen sobre cómo proteger cada tipo de información según el nivel de confidencialidad de cada una.

De cara a presentar una ejemplo de posibles reglas para proteger la información, según su nivel de confidencialidad y medio en el que se presente, podríamos establecer la siguiente regla: Los documetos en formato papel, categorizados como de carácter «Restringido» deben ser guardados en un gabinete. Pueden tranferirse tanto dentro como fuera de la organización pero siempre que vayan en sobres cerrados. En caso de enviarse fuera, el documento debe enviarse con un Servicio de devolución.

En definitiva, aunque este proceso de clasificar la información según ISO 27001 pueda parecer complejo, realmente es bastante comprensible. Además, a ello sumamos la amplia libertad que confiere ISO 27001 para que cada organización adapte sus reglas de acuerdo a sus particularidades.

Software ISO 27001

ISOTools Excellence permite una implementación automatizada de los Sistemas de Gestión de la Seguridad de la Información, aportando una variedad de funcionalidades que faciliten en gran medida la gestión del mismo. Además, añadimos la flexibilidad que permite, al poder adaptarse a las características de cada organización.

¿Desea saber más?

Entradas relacionadas

Plan De Respuesta A Emergencias
6 Puntos clave para probar su plan de respuesta a emergencias

Hemos hablado de la importancia del plan de respuesta a emergencias, de las características que este documento debe…

Ver más
Volver arriba