Cualquier película de espías del siglo XX tiene escenas donde un habilidoso agente fotografía documentos en papel marcados como “Confidencial”, “TopSecret” u otros parecidos. Casi siempre era información muy sensible cuya difusión era poco conveniente para el enemigo del espía. Estas escenas describen como eran aquellos esquemas de clasificación de la información, …, y como un actor de amenaza competente y motivado los vulneraban. (Espías del Siglo XXI y de cómo derrotarlos)

En este siglo, las organizaciones ya son conscientes del valor de la información para la correcta toma de decisiones empresariales y en su operación diaria. También conocen que no toda la información tiene el mismo valor y entienden por ello la utilidad de clasificar su información y de protegerla de acuerdo con este valor. Ya no se trata de una preocupación limitada al ámbito militar o gubernamental. De hecho, la clasificación de la información aparece explícitamente como control de seguridad requerido en estándares y regulaciones tan extendidas como ENS, ISO 27001 o NIST. Las organizaciones ya no pueden ignorar que deben definir y aplicar estos esquemas.

Esta realidad motivó a los miembros del grupo de Trabajo de Calidad y Seguridad de AUTELSI para desarrollar su estudio “Clasificación de la Información, DLP E IRM”[1] que está disponible para descarga gratuita. Los miembros del Grupo incluyen a CISOs de grandes empresas, responsables de seguridad de CCAA y EELL y a organizaciones especialistas en Ciberseguridad, que han aportado su experiencia práctica en la definición, aplicación y operación de esquemas de clasificación y de sus herramientas de apoyo.

El estudio sugiere que las organizaciones deben identificar la taxonomía de las informaciones que manejan y sus atributos para determinar su esquema de información óptimo. Presenta también ejemplos populares de esquemas ya desarrollados, como la Ley de Secretos Oficiales, TLP o los usados por OTAN, revisando los criterios y responsabilidades que aplican a lo largo del ciclo de vida de gestión de la información, tanto durante su creación, almacenamiento, uso, mantenimiento, compartición y retención como en su eliminación. En particular, se ofrece un ejemplo práctico de una norma y procedimiento que implementan un esquema de clasificación en una organización.

Asimismo, se visitan DLP o IRM, como herramientas tecnológicas que automatizan las medidas de protección y control de acceso a la información en ese ciclo de vida, y garantizan su correcta aplicación. El estudio las analiza y compara, estableciendo los escenarios donde resultan más efectivas, sus semejanzas y las características que las diferencian.

Finalmente, se plantean los factores de éxito que deben considerarse, incluyendo la correcta selección de herramientas, un enfoque pragmático pero ambicioso, establecer amplios periodos de monitorización y prueba, o contemplar inicialmente la aplicación en áreas de mayor sensibilidad o necesidad.

Esperamos que esta Guía sea de utilidad para ustedes, y les invitamos a su lectura.

[1] https://autelsi.es/pdfs/seminarios/ciberseguridad2024/AUTELSI_Clasificacion_Informacion_DLP_IRM_2024.pdf

Mariano J. Benito Gómez, CiberSecurity & Privacy Advisor. GMV y miembro del Grupo Seguridad AUTELSI.