CLASIFICACIÓN DE LA INFORMACIÓN

ALCANCE OBJETIVO INTRODUCCIÓN

PROCESO PARA CLASIFICAR LA INFORMACIÓN SEGÚN ISO 27001

PASO 1 INCLUIR LA INFORMACIÓN EN
EL INVENTARIO DE ACTIVOS
La información clasificada podemos tenerla en
distintos formatos y medios, como, por ejemplo:
 Los documentos de carácter electrónico.
 Bases de datos.
 Documentos en formato papel.
 Correos electrónicos.
 Medios de almacenamiento.
 Información verbal.
PASO 3 ASIGNAR UNA ETIQUETA A LA
INFORMACIÓN, UNA VEZ HAYA SIDO
CLASIFICADA
Es necesario que se defina una serie de pautas
a seguir para cada tipo de activo de información.
Esto, igualmente es cuestión de cada empresa,
la cual se hace responsable de definir sus
propias reglas.
PASO 2 PROCEDER A LA CLASIFICACIÓN DE
LA ANTERIOR INFORMACIÓN
Confidencial: cuando el nivel de confidencialidad de la
información se incremente.
Restringido: Solo podrá ser accedida por grupos específicos
de usuarios que requieren del conocimiento de esta
información para estricto cumplimiento de sus funciones.
Uso interno: información con un nivel bajo de
confidencialidad.
Público: cuando todas las personas pueden ver la
información.
PASO 4 HACER UN MANEJO Y TRATAMIENTO SEGURO
DE TAL INFORMACIÓN CLASIFICADA
Cada empresa tiene que definir una serie de
reglas que guíen sobre cómo proteger
cada tipo de información según el nivel de
confidencialidad de cada una.
LOS BENEFICIOS DE CLASIFICAR LA INFORMACIÓN

 Identificar Qué información es sensible y vital para las empresas.

 Identificar Quiénes son los propietarios de la información y los
responsables de la asignación de los permisos de acceso a la misma.
 Definir niveles apropiados de protección de la información y
segregación de acceso a la misma.
 Controlar Qué usuarios tienen acceso a la información.

RIESGOS DE NO CLASIFICAR LA INFORMACIÓN

 Asignación de niveles y/o permisos de acceso a la información errada.

 Pérdida de Información por acciones de usuarios malintencionadas.
 Modificación de la información sin previa autorización.
 Uso de la información por parte de usuarios con fines personales.
 Acuerdo de Confidencialidad
Definición

Un acuerdo de confidencialidad, o cláusula de confidencialidad,

se constituye en una manifestación de la voluntad de las partes
encaminada a producir la obligación de guardar y no revelar a
terceros información que una de las partes desea proteger
 Control
Empleados
Derechos

Seguridad de la
Firmar los

información
Obligación términos y
Contratistas
Contractual condiciones
del contrato

Obligaciones
Terceros
 Guía de Implementación
Acuerdo de
Confidencialidad

Derechos y Responsabilidades
Términos y Condiciones

del Contratista

Las responsabilidades para la clasificación de la información y la

gestión de los activos asociado con los sistemas de información

Políticas de la Las responsabilidades del empleado o tercero para

Organización maniobrar la información recibida

Las responsabilidades de la organización

para maniobrar la información personal

Las responsabilidades que son extendidas

fuera de las premisas de la organización

Acciones por incumplimiento de los

requisitos de seguridad de la organización
 Guía de Implementación
La organización debe asegurarse que los empleados y/o
terceros acepten los términos y condiciones referentes a la
seguridad de información

Donde sea apropiado, las responsabilidades contenidas en

los términos y condiciones del empleo deben continuar por
un periodo definido después del termino del este.