La clasificación de la información se puede establecer en varias categorías, confidencial; interna y pública, tal y como pudimos ver en el anterior boletín. Esta clasificación resulta fundamental para valorar la criticidad de la información y determinar así su riesgo específico para enfocar las medidas más adecuadas.
La realización de un análisis de riesgos resulta imprescindible para determinar las medidas técnicas y organizativas necesarias para proteger la privacidad. Este análisis consiste en averiguar el nivel de riesgo que la empresa está soportando. Para ello, tenemos que conocer los siguientes conceptos:
- La información: es el activo principal que debemos proteger, también tenemos que considerar otros activos en la empresa, como la infraestructura informática, equipos auxiliares, redes de comunicaciones, instalaciones y personas.
- Las amenazas: para valorar los daños en la información, procesos y soportes, podemos hacernos las siguientes preguntas; ¿qué valor tiene este activo para mi empresa? ¿cuánto cuesta su mantenimiento? ¿cuánto costaría recuperarlo o volverlo a generar?
- Las vulnerabilidades: aquellas frente a las que se debe proteger a los sistemas de información dependerán de la naturaleza del activo, por ejemplo, aplicaciones informáticas, que por su diseño son más inseguras que otras y el personal sin la formacion adecuada.
IMPORTANTE
Debemos proteger la información de riesgos que puedan afectar a una o varias de sus tres principales propiedades: confidencialidad; integridad y disponibilidad.
