Propiedad de la información por la que se garantiza que es accesible únicamente a personal autorizado a dicha información. La confidencialidad de la información constituye la piedra angular de la seguridad de la información. Junto con la integridad y la disponibilidad suponen los tres pilares de la seguridad de la información.
Cuando la confidencialidad se ve comprometida se producen filtraciones de información. Hoy en día son habituales las noticias de filtraciones de datos que afectan a numerosas compañías de todo el mundo cuya confidencialidad se ha visto comprometida provocándoles grandes daños económicos y reputacionales.
La confidencialidad se consigue implantando una serie de técnicas:
- Clasificando correctamente la información teniendo en cuenta aspectos como su sensibilidad, tratamiento y requisitos legales.
- Cifrando la información para que únicamente sea comprensible para quienes dispongan de las claves.
- Controlando el acceso a los lugares donde se aloja la información ya sean físicos (edificios, instalaciones…) o digitales (sistemas, repositorios, plataformas…) así como controlando la red por la que la información viaja evitando que sea interceptada.
- Concienciando a la s personas sobre la importancia de la confidencialidad para que la información que manejan cada día esté protegida.
- Estableciendo acuerdos de confidencialidad (NDA) formalmente con los proveedores, partners o socios que traten con información sensible.
Esta última opción consiste en un acuerdo legal entre dos o más partes para dejar claro qué información puede ser compartida o usada con unos determinados términos de uso establecidos. La palabra NDA viene del inglés Non-Disclosure Agreement. Estos acuerdos pueden ser de tres tipos:
- Unilateral: solo una de las partes revela información.
- Bilateral: ambas partes revelan información y por tanto tienen obligaciones en ese intercambio.
- Multilateral: más de dos partes acuerdan proteger la información que revelan y reciben.
Estos acuerdos son muy usados para proteger lo que se denominan secretos industriales cuando aún no hay una patente y así proteger el futuro invento. De este modo, se evita la divulgación de datos clasificados a terceros que puedan beneficiar a la competencia.
Todo acuerdo de confidencialidad debe indicar las partes que intervienen, la finalidad, qué información se considera protegida, la duración, los medios por los que es accesible, el compromiso en caso de incumplimiento, la legislación que aplique y la jurisdicción a la que quedan sometidas las partes intervinientes.
Lo más importante es que el objetivo del acuerdo quede bien explicado y se especifique qué información queda sometida al acuerdo para que en caso de incumplimiento se pueda calcular el alcance de la información comprometida. También se debe indicar si la información debe ser devuelta al finalizar el servicio o no. De esta forma, la empresa se asegura de que su información que supone un gran valor económico quede protegida legalmente.
