“La importancia de establecer un Sistema de Gestión de Seguridad de la Información y realizar una adecuada Clasificación de la Información”.

La seguridad es una de las preocupaciones de las empresas hoy en día, donde la información se ha convertido en uno de sus principales activos.

Garantizar la privacidad e integridad de los datos que maneja un negocio le permite ganar un mayor grado de confianza por parte de sus clientes a la vez que cumple con las normativas legales en relación con la protección de datos.

El sistema SGSI es una guía que permite a las empresas evaluar los riesgos y definir las aplicaciones de control necesarias para poder eliminarlos o minimizar sus consecuencias negativas.

A decir de Sharon Gonzalez, gestora de Seguridad de la Información, el sistema de seguridad de la información o SGSI (Information Security Management System) tiene como objetivo evaluar todos los riesgos asociados con los datos e información que se manejan en una empresa. El SGSI es un elemento fundamental de la norma internacional ISO 27001 (Sistemas de Gestión de la Seguridad de la Información), que persigue asegurar la integridad y confidencialidad de los datos y los sistemas encargados de procesarlos.

Es una herramienta para conocer y gestionar los riesgos a los que se enfrenta el negocio al manejar su información en el día a día. Al implementar SGSI se podrá eliminar esos riesgos o establecer los mecanismos necesarios para mitigar sus consecuencias.

Los principales beneficios que obtiene una empresa al implantar un sistema SGSI para la seguridad de sus datos son:

• Reducción de riesgos.
• Reducción de costes.
• Integración de la seguridad en el negocio.
• Cumplimiento de la normativa vigente en seguridad.
• Incremento de la competitividad.

La gestora mencionó que la implementación de un SGSI también cuenta con otras características y elementos como la definición de objetivos, la formación del personal en seguridad, el enfoque en los riesgos, la necesidad del apoyo de la dirección de la empresa en materia de seguridad, o el compromiso de una mejora continua del sistema.

Hay que tener en cuenta que el SGSI es un sistema dinámico que persigue una mejora continua en la detección, evaluación y reducción de amenazas y riesgos de la información. Por lo tanto, se trata de un ciclo que se repite, con cambios de planificación, nuevas implementaciones en seguridad, monitoreo y control continuo, y aplicaciones y ajustes constantes para alcanzar un alto nivel de seguridad de los datos de la empresa.

Los riesgos a los que se enfrenta una organización en la actualidad son muy amplios y peligrosos con ataques externos a sus servidores (como los de denegación de servicio) e infecciones de malware (como los peligrosos ransomware o phishing).

Adicional a lo anterior, enfatizó que en paralelo a un SGSI se debe de realizar la clasificación de datos el cual es un método para definir y categorizar los archivos y otra información empresarial clave.  El uso más importante de la clasificación de datos es comprender la sensibilidad de la información almacenada para crear las herramientas adecuadas de ciberseguridad, controles de acceso y monitorización. 

La clasificación es el proceso de categorizar los activos de datos basándose en la sensibilidad de la información. Mediante la clasificación de datos, las organizaciones pueden determinar dos elementos clave:

• Quién debe tener autorización para acceder a esta.
• Qué políticas de protección aplicar al almacenarla y transferirla.

La clasificación también ayuda a determinar los estándares normativos aplicables para proteger los datos. En general, la clasificación ayuda a las organizaciones a gestionar mejor sus datos para propósitos de privacidad, cumplimiento y ciberseguridad.

La clasificación es un primer paso fundamental para cumplir con casi cualquier normativa de conformidad de datos. HIPAA, RGPD, FERPA y otros organismos reguladores gubernamentales exigen que los datos se etiqueten para que los controles de seguridad y autenticación puedan limitar el acceso. El etiquetado de datos ayuda a organizar y proteger la información. El ejercicio también reduce la duplicación innecesaria de datos, reduce los costes de almacenamiento, incrementa el rendimiento y hace posible registrarlo cuando se comparte.

La clasificación de datos es la base de unas políticas eficaces para protección de datos y reglas para la prevención de pérdida de datos (DLP). Para tener unas reglas de DLP eficaces, primero se deben clasificar sus datos para asegurarse de conocer bien los datos almacenados en cada archivo.

Tipos de clasificación de datos:

Cualquier dato almacenado se puede clasificar en categorías. Para clasificar sus datos, es necesario formular diversas preguntas a medida que se va descubriendo y revisando. Use las siguientes preguntas de ejemplo al revisar cada sección de sus datos:

• ¿Qué información almacena para sus clientes, empleados y proveedores?
• ¿Qué tipos de datos crea la organización al generar un nuevo registro?
• ¿Qué tan sensibles son los datos en una escala numérica (¿p. ej. 1-10, donde 1 indica la mayor sensibilidad?)
• ¿Quién debe acceder a estos datos para seguir operando con productividad?

Usando estas preguntas, es posible definir categorías generales para sus datos, por ejemplo:

• Alta sensibilidad.
• Sensibilidad intermedia.
• Baja sensibilidad.

Técnicas de clasificación de datos:

La clasificación de datos colabora estrechamente con otras tecnologías para proteger y gobernar mejor los datos. Si la organización sufre una vulneración de datos, la clasificación de datos ayuda a los administradores a identificar datos perdidos y potencialmente ayuda a rastrear al cibercriminal.

La gestora menciona algunas técnicas de clasificación de datos:

• Gestión de acceso a la identidad (IAM).
• Cifrado de datos.
• Automatización.
• Análisis forense de datos.

La importancia de la clasificación de datos es fundamental ya que el “nivel de sensibilidad” de los datos determina cómo los procesaremos y los protegeremos. Incluso si sabemos que los datos son importantes, es necesario evaluar sus riesgos. El proceso de clasificación de datos ayuda a descubrir potenciales amenazas e implementar las soluciones de ciberseguridad más beneficiosas para la organización.

Al asignar niveles de sensibilidad y categorizar los datos, se comprenden las reglas de acceso para los datos clave. Podremos monitorizar mejor los datos para hallar potenciales filtraciones de datos y, más importante aún, mantener un alto nivel de conformidad. Las normativas de conformidad ayudan a determinar cuáles son los controles de ciberseguridad adecuados, pero antes se debe ejecutar una evaluación de riesgos y clasificar los datos. Las organizaciones suelen requerir de ayuda externa para la clasificación de datos, de modo que la implementación de la ciberseguridad se pueda ejecutar más eficientemente.

La exactitud de la clasificación de datos es fundamental para futuras estrategias de DLP; por tanto, muchas organizaciones, grandes y pequeñas, han optado por usar automatización basada en IA. La inteligencia artificial aprovecha los modelos de aprendizaje automático para determinar el nivel de clasificación y categoría adecuados.

A decir de Sharon Gonzalez, las organizaciones deben seguir estas buenas prácticas:

• Identificar cuidadosamente en dónde se ubican todos los datos delicados, incluyendo la propiedad intelectual, en todas las ubicaciones de almacenamiento.
• Definir categorías de datos, para que los datos delicados se puedan etiquetar y configurar con los permisos adecuados. Las categorías deben ser granulares, para que los permisos también lo sean. Las categorías también deben permitir a los administradores categorizar los datos en grupos.
• Identificar los datos más sensibles y claves. Después, las herramientas de automatización pueden etiquetarlos con la clasificación y mandatos normativos correctos.
• Capacitar a los empleados para que comprendan cómo manejar información delicada. Darles las herramientas necesarias para proteger datos delicados y seguir buenas prácticas de ciberseguridad.
• Examinar todos los estándares normativos de modo que se cumpla con las reglas y se eviten sanciones.
• Crear políticas que permitan a los usuarios identificar datos mal clasificados o sin clasificar, para arreglar el problema.