Clasificación de la información (I)

En las auditorías de seguridad de la información, al igual que en las de protección de datos personales, uno de los temas que es motivo frecuente de incumplimiento, es la carencia de un procedimiento de clasificación de la información y adicionalmente, la clasificación de los riesgos inherentes a aquella. ¿Cómo se entiende que una organización pueda controlar la información que gestiona (importante activo) sin establecer ciertas categorías en la misma y aplicar los debidos controles para su validación, protección y limitación de uso y acceso?

Unos ejemplos

El periódico que está sobre la mesa de recepción, no tiene clasificación alguna y es de acceso público, pero si casualmente hablase de la organización, probablemente se intentaría evitar su acceso (en caso negativo) o se pincharía en el tablón de anuncios (caso positivo); vemos que el contenido —la información— delimita la categoría del soporte. Un albarán de envío de materiales (pongamos una fábrica de tubos) a un cliente sólo mostrará la dirección social del cliente y la lista de productos, siendo por tanto una información confidencial, pero de bajo nivel de riesgo. Sin embargo, si el mismo albarán va valorado, mostrará precios aplicados al cliente así como posibles descuentos y formas de pago (no quisiera pensar que mostrase la cuenta bancaria), conteniendo de este modo información confidencial de un nivel superior en relación al caso anterior, dado que cualquiera que tuviera acceso a él, podría conocer detalles sobre los términos comerciales de acuerdos en precios, descuentos y formas de pago con el cliente. Esta información es sensible y muy apetecida por la competencia.

Imaginemos ahora que la organización fabrica medicamentos (o distribuye) y el cliente es un paciente al cual se envían productos para su tratamiento. En tal situación, el albarán mostrará el nombre y dirección del paciente, la lista de productos y sus cantidades e igualmente cualquier condición personalizada de entrega, tal como podría ser “es sordo: no oye el timbre”, “es ciego: requiere identificar al transportista”, etc. (estos son casos reales). La información mostrada en este último caso es muy confidencial y está clasificada como de nivel alto en la LOPD, ya que con ella no sólo se sabe que la persona está enferma, sino que fácilmente se deduce su estado de salud y su tratamiento. Esta información, si se divulga indebidamente, puede crear serios problemas a la organización, en materia de reputabilidad y frente a la autoridad competente en protección de datos personales, sin olvidar el impacto que ésta puede tener en la persona del paciente (imaginen cualquier enfermedad que pueda implicar una discriminación por parte de terceras personas, como por ejemplo SIDA o hepatitis). Por tanto, el soporte y el medio de proceso de la información (mismo documento, programa y base de datos) no determinan la categoría de la información, sino que es su contenido lo que define claramente los controles requeridos y riesgos inherentes a la misma. Según hemos visto, un simple albarán puede tener un nivel de información muy diferente, según su uso y contenido. Es aquí donde entra el concepto de clasificación de la información.

El periódico de la mesa de la entrada, puede clasificarse como información no confidencial y de acceso público. El albarán no valorado puede ser clasificado como información confidencial (toda la que no es pública) y de valor para el negocio ya que muestra los datos de un cliente y sus niveles de compras. El mismo albarán, valorado con precios, descuentos y términos de pago, se convierte en información confidencial que requiere de un mayor nivel de control interno ya que muestra datos de mayor importancia para el negocio. Por último, el albarán para el paciente del ejemplo anterior es información altamente confidencial, tanto por su clasificación de nivel alto en el Reglamento de la LOPD, como por su impacto sobre la reputación de la compañía en caso de divulgación, y debe ser protegida y gestionada con unas normas muy rigurosas de control de calidad, acceso, retención y archivo.

Queda claro que clasificar la información es necesario, no sólo para diferenciarla —que también— sino para establecer procedimientos y normas de captura, almacenamiento, procesado, acceso, divulgación o comunicación, retención, destrucción, etc. Por lo general, a la clasificación de la información se le asignan también niveles de riesgo, con el fin de que en los flujos que sigue en su proceso, se apliquen los controles de calidad, acceso y disponibilidad adecuados a las normativas vigentes y a las buenas prácticas de los negocios. Un clasificación muy simple es: Información pública, Información Confidencial, Información Confidencial y Personal, Información Secreta. A estas categorías les podríamos aplicar niveles de riesgo nulo, básico, medio, alto, muy alto. Aunque existen diversas opciones disponibles, según la entidad y necesidades de la organización.

Finalmente, en cualquier auditoria disponer de un documento serio de clasificación de la información y sus riesgos es siempre un punto a favor, ya que muestra una preocupación real por el control de la información gestionada por la organización, y se supone que es la base para establecer procedimientos de control de la misma. La semana que viene, Antonio Villalón dará más detalles sobre qué aspectos tener en cuenta a la hora de definir un procedimiento de clasificación de la información.

* * *

N.d.E.: En relación con la encuesta de Google, que planteaba la cuestión de hasta qué punto el “Don’t be evil” sigue vigente, parece que la balanza se inclina hacia un Google más “malvado” que “bondadoso”; de manera aproximada, casi un 60% piensan que Google “ya no es lo que era”, mientras que un 15% se muestran dubitativos, otro 15% lo condicionan al lanzamiento de un sistema operativo, y el restante 10% considera a Microsoft inalcanzable en el “Hall of Fame” de la maldad. Los resultados se los muestro debajo:

[poll id=”12″]

Para las próximas cuatro semanas, la encuesta va orientada al uso de claves en Internet. Espero que les parezca interesante:

[poll id=”13″]

Por lo demás, pasen un buen fin de semana, nos vemos, si nada lo impide, la próxima semana.

Trackbacks

  1. […] que esté en consonancia con la Política de Clasificación de la Información (ver estas dos entradas sobre el tema). Hay que destacar que un aspecto crítico en todo este jaleo es el aspecto […]