La información es uno de los activos principales de cualquier empresa y como tal tenemos que protegerla adecuadamente.

Los activos de información pueden estar en formato digital o en otros soportes (papel, película fotográfica, etc.).

En formato digital podrán ser desde ficheros de todo tipo (texto, imagen, multimedia, bases de datos,…), pasando por los programas y aplicativos que los utilizan y gestionan, hasta los equipos y sistemas que soportan estos servicios.

Para aplicar las medidas de seguridad ajustadas a cada activo de información debemos realizar un inventario y clasificarlos, de acuerdo con el impacto que ocasionaría su pérdida, difusión, acceso no autorizado, destrucción o alteración, aplicando para ello criterios de confidencialidad, integridad y disponibilidad.

Así sabremos qué información debemos cifrar, quién puede utilizarla, quién es responsable de su seguridad, cada cuanto hacer backup, etc.

Estos son algunos ejemplos:

  • el aplicativo de nóminas es confidencial y sólo tendrán acceso a él ciertos empleados del departamento de personal para los cuales habilitaremos permisos;
  • el acceso al gestor de la página web está restringido al personal de marketing;
  • se han de cifrar los documentos que se envíen a la gestoría por correo electrónico;
  • los servicios que traten datos personales tendrán que cumplir el RGPD;
  • el ERP es crítico para la empresa y se debe hacer backup semanalmente.

 

Además, al clasificar los activos de información debemos establecer su ciclo de vida, que dependerá no sólo de la vida útil del soporte sino también de la vigencia de su contenido.

Si el soporte caduca antes que el contenido tendremos que regenerarlo en otro soporte. El ciclo de vida de la información determinará el momento en el cual dejará de ser útil, y por tanto cuándo tenemos que eliminarla convenientemente

CLASIFICACION DOCUMENTAL

Los criterios de clasificación de la información empleados por AIRON, son:

Por nivel de accesibilidad o confidencialidad.

  • RESTRINGIDA. Información a cuyo conocimiento solo debe tener acceso un grupo reducido y controlado de personas. Los datos personales de Nivel Alto y Medio. Se precisa de aplicación de los máximos niveles de seguridad en el manipulado, conservación y disposición
  • RESTRINGIDA. Uso Interno. Aquella información necesaria para el correcto desempeño de las funciones y de los negocios del grupo que, necesitando protección, no está clasificada como confidencial. Información que puede conocer y usar el personal de la organización de acuerdo con las limitaciones departamentales y de proceso que se consideren oportunas. Los datos personales de Nivel Bajo. Se precisa de aplicación de niveles de seguridad normalizados en el manipulado, conservación y disposición
  • NO RESTRINGIDA. Uso Público. Información que no tiene restricciones en su difusión: puede ser conocida y utilizada por cualquier miembro de la organización o por personas ajenas a la misma (web).

Por utilidad o funcionalidad

  • RRHH. Con información confidencial: Información necesaria de carácter personal de empleados y candidatos. De uso restringido en despacho con acceso limitado al personal del área y dirección.
  • Administración y Finanzas.Con información confidencial: Información necesaria de carácter personal de empleados, clientes,
  • Administración y Finanzas. Con información restringida de uso interno: Datos económicos, balances, etc… De uso restringido en despacho con acceso limitado al personal del área y dirección.
  • Operaciones. Con información restringida de uso interno: Comunicaciones / Informes económicos.
  • Sistemas.Con información restringida de uso interno: Inventarios e informes.

Etiquetado de la documentación;

Se considera CONFIDENCIAL, o posible contenido CONFIDENCIAL, toda la información de los despachos CERRADOS de las áreas RRHH, ADMINISTRACIÓN – FINANZAS y DIRECCIÓN.

A nivel de SERVIDOR, se identificará la carpeta con contenido CONFIDENCIAL con icono reconocible.