Clasificación de la Información

Una vez que la información relevante ha sido localizada e identificada, es esencial clasificarla según su **criticidad, sensibilidad o valor de negocio**. Esta clasificación proporciona la base para solicitar medidas de protección que sean proporcionales al valor del negocio, lo que resulta en controles más rentables.

Un volumen significativo de datos e información en una empresa típica no será ni crítico ni confidencial, por lo que sería un desperdicio de recursos considerable gastar en protegerlos en exceso. Asignar valores a la información, de manera similar a como se valora cualquier otro recurso físico de la empresa, permite **priorizar los esfuerzos de protección limitados por el presupuesto** y determinar los niveles de protección necesarios.

Muchas empresas carecen de un conocimiento preciso sobre la información que poseen. No suelen tener procesos para eliminar datos inútiles, desactualizados o potencialmente peligrosos, ni aplicaciones sin usar. Sin un catálogo completo de información o procesos que defina qué es importante y quién es el propietario, todo tiende a protegerse bajo la premisa de que el almacenamiento es más barato que la clasificación, lo que puede llevar a proteger terabytes de datos inútiles y miles de aplicaciones obsoletas. Esta situación dificulta la elaboración de un plan de protección racional.

Un enfoque útil para determinar el valor de la información es la **evaluación de la dependencia del negocio**. Este proceso implica definir los procesos críticos del negocio y luego determinar qué información y activos físicos se utilizan en esos procesos. La contribución de estos recursos a las ganancias puede servir como medida de su criticidad, lo que a su vez orienta los esfuerzos de protección.

La sensibilidad de la información a menudo es una decisión más subjetiva, ya que la divulgación no intencional de información sensible puede tener muchas ramificaciones difíciles de determinar con exactitud. Los propietarios de los datos suelen ser la mejor fuente para determinar las posibles consecuencias de una "fuga de datos" y comúnmente definen el nivel de clasificación. La mayoría de las empresas utilizan tres o cuatro clasificaciones de sensibilidad y criticidad, como confidencial, de uso interno y pública.

La clasificación es una tarea imponente pero crucial para lograr un gobierno de seguridad eficiente, efectivo y relevante. Si se realiza correctamente, mitiga el costo de sobreproteger información no importante y reduce el riesgo de descuidar información de alto valor. Además, es una tarea cuyos costos crecerán exponencialmente si no se aborda a tiempo. Se deben desarrollar políticas, estándares y procesos para impulsar la clasificación y evitar que los problemas empeoren.

La **sobreclasificación** es un problema serio para la implementación efectiva de la clasificación. Puede ser particularmente problemático en empresas con una "cultura de culpa" donde los errores no son bien tolerados. En tales entornos, los propietarios de los datos pueden pecar por exceso de precaución al marcar los datos como más sensibles o críticos de lo que realmente están justificados, lo que anula los posibles beneficios de la clasificación.

Una solución práctica para las empresas donde la TI opera con un sistema de devolución de cargos (es decir, los servicios de TI son un costo para las unidades de negocio) es implementar **cargos adicionales por clasificaciones más altas**. Esto tiende a compensar la tendencia a sobreclasificar, ya que las unidades de negocio incurrirán en un costo mayor por cada clasificación superior, incentivando una evaluación más precisa de la sensibilidad de la información.