La
información electrónica corporativa y personal está cada día más disponible a nivel nacional e internacional. Sin embargo, es fundamental avalar que toda la información, tanto personal
como organizacional este segura, a pesar
de que la seguridad absoluta no existe.
La
clasificación de la información y la designación de responsabilidades por parte
de los propietarios de la información, son importantes para garantizar que el
valor de la información se está reconociendo. Es el primer paso para probar que
la mayoría de depósitos de información valiosa tienen el más alto nivel de
protección.
Una
correcta clasificación de la información
ayuda a garantizar el correcto nivel de
resguardo que se defina e implemente. La identificación de la información debe
ser realizada en un elevado nivel y además, debe reconocer amplias categorías
de información.
La
información se puede definir como cualquier
comunicación, hecho, dato u opinión, ciertas o no; registrada por cualquier
medio, numérica, grafica o narrativa, y
conservada en cualquier medio, ejemplo, información: Cliente, financiera, confidencial –alianzas, proyectos,
problemas, etcétera-
Todo
dato cambia en sus niveles de sensibilidad
y criticidad. Algunos datos confidenciales pueden requerir un nivel adicional de
protección o un manejo especializado. Con el fin de definir adecuadamente los
niveles de protección requeridos y definir las necesidades de manejo
especializado, debe utilizarse un esquema de clasificación de información.
La
información de la organización se puede clasificar en cuatro niveles que identifican el nivel de
protección solicitado:
- Pública –Nivel 1-: Información no sensible, disponible a todo público.
- Interna –Nivel 2-: Información accesible a empleados y a no-empleados previamente autorizados.
- Confidencial –Nivel 3-: información que es sensible dentro de la compañía y que debe ser usada exclusivamente por grupos específicos de empleados.
- Restringida –Nivel 4-: información que es extremadamente sensible y que debe ser usada únicamente por ciertos individuos dentro de la compañía.
La
responsabilidad de la seguridad de la información es de la alta dirección o de
áreas funcionales, esto es, Financiera,
recursos humanos o sistemas. El propietario de la información es responsable de
clasificarla con base en su valor y sensibilidad, aprobar accesos e Informar
acerca de requerimientos adicionales para prevenir riesgos.
El
director de seguridad de la organización
es el responsable de garantizar que la política es controlada y cumplida. Todo
el personal o cualquier persona que tenga acceso a la información, es responsable de garantizar su cumplimiento,
clasificando adecuadamente toda la información disponible en medio –físico o magnético-
y seguir los procedimientos determinados.
Todos son responsables de informar sobre incidentes o deficiencias
del proceso.
El
Propietario de la información debe identificar y clasificar la información de
la que es responsable, y esta categorización debe basarse en los requerimientos
del negocio en términos de confidencialidad de la información, debe ser protegida
de accesos no autorizados, la Integridad de la información, debe ser protegida
de modificación o destrucción no autorizada, sea accidental o deliberada, disponibilidad
de la información, debe estar disponible cuando los usuarios la necesiten. Por otro lado, deben establecerse
procedimientos y estándares para proteger la información del cliente externo,
incluyendo obligaciones y responsabilidades. Corresponde determinar los
requerimientos legales para la información, en caso de que sea transferida a
otro país. Cualquiera que sea su forma, la información siempre debe ser
adecuadamente conservada para preservar la confidencialidad, integridad y
disponibilidad de los recursos clave de una compañía.
Muchos
doctos en fraudes preguntan ingenuamente: ¿La implementación de estándares de
clasificación de información asegura su uso correcto por parte de los
funcionarios de la organización? ¿Los usuarios renunciarán a enviar archivos no
protegidos a través de Internet corporativo? ¿Entre más
percepción de privacidad, más riesgo de fraude?,¿Si
usted fuera el dueño de la organización,
permitirá que sus empleados
guardaran o escondieran información personal en los recursos que usted
les brinda para desarrollar sus actividades? A lo mejor no, ya que se puede necesitar implementar más controles internos y externos.
Precisamente, la participación de personas implica la posibilidad de error.
En
resumidas cuentas, jamás será posible eliminar el riesgo de fraude, solo administrarlo.
Sin embargo, implementar procedimientos adecuados, quizás asegure que la totalidad de las energías estén dirigidas a la protección de la información.
Hasta
pronto.
0 comentarios:
Publicar un comentario