Clasificar la información según ISO 27001

En el ámbito de la gestión de la seguridad de la información, para aquellas organizaciones que han implementado un Sistema de Gestión de la Seguridad de la Información de acuerdo a ISO 27001, tiene especial relevancia clasificar la información según ISO 27001.

De hecho, es una de las primeras tareas que se vienen realizando en dicho ámbito desde que tenemos constancia de ella.

A la hora de clasificar la información según ISO 27001, existen muchos criterios en los cuales poder basarnos. Sin embargo, el criterio que más se utiliza por las organizaciones para realizar esta clasificación es el basado en el caracter confidencial de la información a clasificar.

Veamos a continuación el conocido como proceso de cuatro pasos para la gestión de la información clasificada.

Proceso de cuatro pasos para clasificar la información según ISO 27001

Una buena gestión de la información a clasificar debe hacerse siguiendo el siguiente proceso. Cada organización, en su Política de Clasificación de la Información, describirá cómo llevar a cabo cada una de las etapas de este proceso de cuatro pasos:

Paso 1- Incluir la información en el Inventario de Activos

Mediante esta etapa, buscamos tener un conocimiento de qué tipo de información tenemos, así como quién es el responsable de la misma.

La información clasificada podemos tenerla en diferentes formatos y medios, como por ejemplo:

• Documentos de carácter electrónico.
• Bases de datos.
• Documentos en formato papel.
• Correos electrónicos.
• Medios de almacenamiento.
• Información verbal.

Paso 2- Proceder a la clasificación de la anterior información

La norma ISO 27001 no establece unos niveles de clasificación en concreto, sino que cada organización , en base a sus criterios particulares y generalidades características de su industria debe definir sus criterios de clasificación concretos.

Una organización establecerá más niveles de clasificación a medida que la misma sea de mayor tamaño y presente una mayor complejidad.

A modo de ejemplo, organizaciones de tamaño medio, podrán establecer estos niveles para clasificar la información según el carácter confidencial de la misma:

• Confidencial: cuando el nivel de confidencialidad de la información sea elevado.
• Restringido: para niveles medios de confidencialidad.
• Uso interno: para información de nivel de confidencialidad más bajo.
• Público: cuando todas las personas pueden ver esa información.

El propietario del activo, es la persona encargada de proceder a realizar la clasificación de la información, la cual se hará en base a los resultados obtenidos tras la evaluación del riesgo.

Además, también es posible que una misma organización tenga dos sistemas de clasificación de la información diferentes, en función de si trabaja para el gobierno o si lo hace para alguna orgniazación del sector privado.

Paso 3- Asignar una etiqueta a la información, una vez haya sido clasificada

Realizada la anterior clasificación de la información, debe etiquetarla de manera adecuada.

Para ello, debe definir una serie de pautas a seguir para cada tipo de activo de la información. Esto, igualmente es cuestión de cada organización, la cual se hace responsable de definir sus propias reglas, dado que la norma ISO 27001 no es prescriptiva en este sentido.

Por ejemplo, una organización puede establecer las siguientes reglas para indicar el carácter confidencial en cada uno de los documentos en papel que posee: indicar en la esquina superior del lado derecho del documento concreto el nivel de confidencialidad atribuido al mismo y que a su vez, ello también aparezca en el frente de la portada y en la carpeta donde se archive tal documento.

Este tercer paso, referente al etiquetado, viene siendo habitualmente responsabilidad del propietario del activo.

Paso 4- Hacer un manejo y tratamiento seguro de tal información clasificada