La importancia de la clasificación y protección de la información en tu organización.

A lo largo del tiempo he escuchado en varias ocasiones que en las empresas se refieren a la información como el segundo activo más valioso para ellas. Si bien los usuarios de cualquier empresa son considerados como el principal activo, de poco servirían sus labores, si en las mismas no existiera la valiosa información.

Aunque a veces menospreciada, la información juega un papel importante dentro de las operaciones diarias de cualquier negocio. Imaginemos un área de cobranza sin la información necesaria sobre los clientes para poder contactarlos, o peor aún, que por descuido o mala intención de alguien, sus datos terminaran en manos de la competencia.

Con esto podemos darnos una idea de su importancia y valor, ya sea en el ámbito empresarial o en el personal. Hay que recordar que a través de la información podemos ser identificables e incluso víctimas de fraude o robo de identidad. Por tal razón al ser responsables de la información tenemos la obligación no solo de proteger aquella que es considerada crítica para el negocio, sino también la de índole personal, que en muchas ocasiones es esencial para el giro de una empresa. Aunque ésta viva dentro de la empresa, no debemos olvidar que el legítimo dueño es el colaborador o el cliente según sea el caso.

Pero, ¿qué son los datos personales? De acuerdo a las leyes aplicables en materia de protección de datos en México, los datos personales se dividen en dos tipos: datos personales y datos personales sensibles. Los primeros hacen referencia a toda aquella información que permita identificar a una persona como lo es el nombre, domicilio, RFC, CURP, etc. Los datos personales sensibles son aquellos que afectan a la esfera más íntima del dueño, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. De forma más particular, se consideran como sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, asociaciones religiosas, entre otros.

¿Qué sucedería entonces si toda esta información crítica o sensible llegase a filtrarse a personas no autorizadas? Hablando de la información confidencial o crítica para el negocio, esto podría repercutir en la pérdida de oportunidades o en la reputación misma de la empresa. Por otro lado, si la información personal fuese tratada de una forma diferente a la estipulada por la ley, seríamos acreedores a sanciones administrativas como multas o prisión, dependiendo de la gravedad de la información expuesta, sin mencionar todos los gastos involucrados en el proceso legal.

La forma más eficiente de mitigar los riesgos de fuga de información y prevenir sanciones o mala reputación, es designando dentro de las organizaciones un área destinada a la protección de los datos. En dicha área deberán desarrollarse metodologías, controles y procesos para el manejo de la misma.

Sabemos que ésta no es una tarea fácil, pues se deben considerar distintos elementos que exigen un alto grado de cumplimiento, aunado al gran nivel de amenazas existentes para las cuales debemos estar totalmente preparados y con la suficiente capacidad de respuesta para mitigar cualquier incidente. Así pues, construir una estrategia para la prevención de fuga de información debe realizarse de forma estructurada y sólida.Identificar plenamente la tecnología correcta para la prevención del robo o pérdida de datos requerirá de la evaluación de diversos factores como: el tipo de información a clasificar,  requisitos técnicos, la arquitectura de red, el presupuesto y los recursos de personal, por nombrar algunos.

Para planear la mejor estrategia de ciberseguridad será esencial identificar las necesidades de nuestra organización, seguido de un minucioso análisis de las etapas del ciclo de vida de los datos. Posteriormente determinaremos qué solución de ciberseguridad es la más adecuada para cada una, no sin antes considerar los requerimientos por industria, tamaño de empresa, estándares y normativas para dar cumplimiento y los tipos de datos que la organización maneja.

El cuestionarnos si las acciones realizadas para el manejo de la información sensible son las adecuadas, nos ayudará  a tener una visión general sobre el estado actual de la seguridad tecnológica. No obstante, realizar un acercamiento con especialistas en materia de ciberseguridad nos puede garantizar la mejor manera para llevar a cabo la planeación desarrollo e implementación de nuestra estrategia integral y así dar dar cumplimiento y protección de forma exitosa.

Ing. Alejandro Hernández
IT Security Consultant
Industrial Solutions
ahernandezg@indsol.com.mx