Clasificación de Activos de Información en Excel

¿Cómo valorar la criticidad de un activo de información?

Las empresas hoy en día dependen cada vez más de la información y su correcto manejo para poder seguir siendo competitivas. Valorar la criticidad de un activo de información es esencial para proteger dicha información y garantizar la continuidad del negocio. En este contexto, ¿cómo podemos clasificar y valorar los activos utilizando la confidencialidad, integridad y disponibilidad?

En el proceso inicial, se debe utilizar una plantilla de Excel que permita clasificar los activos según estos tres criterios fundamentales:

• Confidencialidad: Determina quién puede acceder al activo. Se evalúa en alto, medio o bajo, dependiendo de la sensibilidad de la información.
• Integridad: Asegura que la información no sea alterada de manera no autorizada. Al igual que la confidencialidad, puede ser alta, media o baja.
• Disponibilidad: Se refiere al acceso rápido a la información cuando se necesita. Se clasifica en las mismas escalas.

La fórmula automatizada en Excel ayuda a determinar la criticidad del activo en base a estas valoraciones. Incluso si la confidencialidad o la disponibilidad son bajas, si la integridad es alta, el activo aún podría considerarse crítico.

¿Cómo se clasifica la información después de valorarla?

Utilizar una plantilla facilita el proceso de clasificación automática de la información de acuerdo con los valores asignados a cada criterio:

1. Confidencialidad:
   • Con un valor bajo, la información puede ser pública.
   • Con valor alto, la información es altamente confidencial.
2. Integridad:
   • Afecta directamente la criticidad; un valor alto incluso con otras clasificaciones bajas puede elevar la criticidad general.
3. Disponibilidad:
   • Clasifica el acceso y la accesibilidad de la información.

Cualquier cambio en la valoración afectará inmediatamente la clasificación del documento o activo, facilitando así su protección.

¿Qué tipo de controles se deben implementar?

Después de clasificar la información, es necesario determinar los controles para protegerla. Los tipos de controles pueden ser:

• Manual: La información se guarda, por ejemplo, en una cajonera con llave. La actividad es realizada íntegramente por el usuario.
• Semiautomático: Se combina el sistema de información con trabajo manual. Por ejemplo, un archivo físico y su registro digital correspondiente.
• Automático: La información es almacenada y gestionada completamente por sistemas, como en un servidor con directorio activo.

La responsabilidad de estos controles debe estar claramente definida. Por ejemplo, un secretario puede ser responsable de un control manual, mientras que el departamento de TI gestiona los controles automáticos.

¿Es necesario utilizar software especializado?

Al inicio, no es recomendable invertir en software especializado debido al costo que representa y porque es fundamental familiarizarse con el proceso manual. Una vez que se tiene un buen entendimiento y robustez del sistema en Excel, se puede considerar una automatización más sofisticada. Este enfoque gradual permite una adaptación más llevadera y un aprovechamiento óptimo de recursos.

Finalmente, recordar que el aprendizaje y la práctica constante en la clasificación y gestión de activos de información no solo fortalecerá las habilidades personales, sino que también ayudará a proteger la integridad y sostenibilidad de las organizaciones.