Un punto de partida para las organizaciones que quieran madurar en seguridad de la información, es establecer sus niveles de confidencialidad para todos los activos que presenta. Entiéndase a activos a la serie de elementos que conforman a una empresa, tanto tangibles como intangibles que presentan depreciación en el tiempo, por ejemplo, el conocimiento de los trabajadores, equipos, softwares, oficinas, documentos físicos y electrónicos. Pero ¿Todos tienen el mismo tratamiento de seguridad? Es ahí donde parte el concepto de Nivel de confidencialidad.

Público

Hay información que es pública para el mundo desde una orgnanización, como la misión, visión y valores. Muchas organizaciones incluso las colocan en su página web, hay otras que hacen públicas sus tarifas. Este tipo de información tiene leve control y es uno de los niveles más fáciles de gestionar.

Uso interno

Este tipo de información sólamente será utilizada dentro de la organización por cualquier trabajador. Por ejemplo tenemos los procedimientos para solicitud de permisos fuera de oficina, controles de seguridad para todos los trabajadores de la organización, listas de elementos permitidos, descripción de procesos y áreas.

Restringido

Hay información donde no todos deben tener conocimiento, por ejemplo, una lista de ubicación de llaves de accesos a compartimientos especiales de la organización, sólamente debe saberlo las áreas correspondientes. Otro ejemplo, los contratos sólamente deben tener conocimiento el cliente y las áreas correspondientes a la gestión de los servicios brindados. También tenemos las planillas, los diagnósticos de enfermedades, los resultados de tests, etc. Toda esta información debe respetar cierto patrón de conducta en seguridad de la información, por ejemplo, enviar esta información encriptada si se trata de un medio electrónico, enviar documentos con una notificación de recepción, entre otros.

Confidencial

Uno de los más extremos en seguridad, aquí se encuentra información TOP SECRET, esta informacion es tan delicada que no se puede por ejemplo: enviar con cualquier persona, debe ser una persona de extrema confianza por la organización. Si en la empresa se necesita conversar de un tema muy delicado, debe presentar un ambiente aislante acústico. Si la empresa tiene documentos muy confidenciales, deberá almacenarlos en caja fuertes, y medidas de esa índole.

Consejo audit

La definción de todo tipo de información existente en la organización es muy importante si se desea iniciar un camino claro de seguridad de la información, ya que después de este análisis se necesitará establecer una Declaración de aplicabilidad para determinar qué controles se aplicarán en la organización o área, según el alcance de su segurida de la información. De manera puntual, inicie por cada uno de estos niveles de confidencialidad el etiquetado físico y digital. En audit lo asesoramos en la adecuada clasificación de nivel de confidencialidad de sus activos.