Situación
Debido a la gran relevancia de la información que se maneja dentro de las instituciones gubernamentales, y para garantizar el cumplimiento con la ley del IFAI, en una institución gubernamental surgió la necesidad de llevar a cabo un proyecto que tomara en consideración el valor de los activos de información, que pudiera aportar los niveles de seguridad adecuados y que estableciera los controles necesarios para su protección.
Para lograr este requerimiento, la institución lanzó una licitación y eligió a Scitum como el proveedor que los apoyaría en la implementación de un proceso de clasificación y valuación de la información en todas las unidades de la organización.
Solución
Dado que el personal de negocio de la institución no conocía el valor real de su información, no sabía cómo cuidarla y contaba con pocos conocimientos sobre seguridad, la primera fase del proyecto consistió en llevar a cabo un curso básico en el que se le explicó a la cabeza de cada unidad que la seguridad de la información consta de un conjunto de prácticas, procedimientos y procesos encaminados a garantizar las propiedades de la información para la operación, minimizando los daños y maximizando las inversiones de la organización.
Una vez superado el nivel básico de capacitación, la segunda fase del proyecto fue llevar a cabo un inventario de activos que incluyera todos los sistemas y redes de información que procesan, almacenan o transmiten información, para clasificarlos con base a los tres atributos de la información:
- Confidencialidad.
- Integridad.
- Disponibilidad.
Posteriormente, con base en la clasificación hecha y el conocimiento del valor real que tiene la información para los procesos del negocio, se recomendaron los controles de mitigación de riesgos necesarios para la protección de los activos de información.
Con estas acciones se logro cumplir con el objetivo de establecer los requerimientos mínimos de seguridad para la protección de la información de la institución, logrando implementar el proceso de “clasificación y valuación de la información” para 37 unidades, entre negocio y tecnología.
Beneficios
Gracias a la implementación del proceso de clasificación y valuación de la información, la institución logró los siguientes beneficios:
- Activos de información alineados con la ley del IFAI.
- Identificación de los recursos críticos.
- Contar con una herramienta para la toma de decisiones en materia de riesgos.
- Propuesta de controles para la protección de la información.
- Apoyo y asesoría en la implementación de controles.
- Reducción de riesgos de la información.
- Capacitación al personal en la clasificación y valuación de activos.
Conclusión
Sin duda alguna el proceso de clasificación y valuación de la información fue un éxito tanto para Scitum como para esta institución gubernamental, ya que este proceso se adoptó como una buena práctica para el manejo de sus activos de información.
Deja tu comentario