Pasar al contenido principal

Información confidencial

Nóminas, proyectos, documentación administrativa o bases de datos de clientes son solo algunos ejemplos del tipo información que se suele manejar en cualquier organización. No obstante, no toda esta información tiene la misma importancia, ni su robo o pérdida suponen las mismas consecuencias. Por ello, la clasificación de la información se establece como un proceso necesario en todas las organizaciones. Se divide en 4 pasos:

  • Inventario de activos: Se deben tener en consideración todos los recursos con los que cuenta la organización, tanto en formato físico como digital. Así pues, además de identificar todos los activos de información, es conveniente catalogarlos con características adicionales como son su tamaño, ubicación, servicios o departamentos que intervienen en su gestión, o su responsable. 
  • Criterios de clasificación: Existen varios criterios para clasificar la información, por lo que la organización debe establecer cuáles se ajustan mejor a sus circunstancias. A modo de ejemplo, una forma podría ser:
    • Confidencial: Aplica a toda la información de gran relevancia para el futuro de la organización como los proyectos futuros que se llevarán a cabo.
    • Restringido: Accesible únicamente para personal muy específico de la organización y sin la cual no pueden desempeñar su trabajo.
    • Uso interno: Accesible para todo el personal de la organización exclusivamente.
    • Público: Información de dominio público como la publicada en la página web. 
  • Clasificar los activos: Suele ser trabajo del responsable del activo. 
  • Tratamiento de la información: En este paso se debe elaborar un listado con los tratamientos de seguridad que se han de llevar a cabo para proteger cada activo de información en función de su clasificación. Algunos ejemplos son: limitar el acceso a determinadas personas o grupos; cifrar la información; copias de seguridad; sujeción a acuerdos de confidencialidad

Tras lo expuesto, podemos referirnos a la información confidencial como aquélla a la que, por razones de seguridad e importancia, sólo pueden acceder personas autorizadas. Para proteger su contenido, las empresas han de implementar diferentes medidas de seguridad físicas o electrónicas (por ejemplo, uso de contraseñas o colocación en cajas fuertes de seguridad).

Siempre que la organización tenga que compartir información con otras entidades es conveniente firmar un “acuerdo de confidencialidadque impida que la información sensible llegue a manos de personas no autorizadas. La misma problemática se aplica a las personas cuya relación con la organización ha finalizado (baja voluntaria, despido, jubilación, etc.) y que durante su pertenencia a la plantilla mantuvieron permiso de acceso a documentos confidenciales. De lo contrario, la organización se expone a una divulgación no autorizada de información sensible.

Por último, dicha información también puede contener datos de carácter personal sobre las características físicas, morales, de origen étnico o racial, domicilio… de las personas físicas. En este sentido, la legislación ampara su tutela a través de lo establecido, para el caso europeo, en el “Reglamento General de protección de Datos” (RGPD), que se centra en el derecho a la privacidad, intimidad, honor y dignidad. Así pues, para su clasificación como información confidencial o no, la organización deberá tener en cuenta la tipología de datos tratados, y las exigencias normativas vigentes que le puedan ser de aplicación.

Compartir

Compartir en Linkedin