¿Qué incluye nuestro modelo de política de clasificación de datos?

January 29, 2025
 - 
6
  min read

Con el objetivo de proporcionar directrices claras sobre cómo funciona nuestro servicio de protección de datos, nuestra organización proporciona un modelo de política de clasificación de la información que permite a las empresas conocer en qué consiste el proceso con el cual catalogamos, organizamos y protegemos sus datos según el nivel de sensibilidad de estos. 

Este modelo permite que las empresas estén enteradas de los términos a los que aplica nuestra operación. De esta manera, las compañías que, como parte de su estrategia de ciberseguridad confían en el ejercicio automatizado que realizan los algoritmos del software de Kriptos, pueden tener seguridad sobre la efectividad de nuestra gestión. 

Nuestro propósito con esta política es que las organizaciones tengan mayor garantía sobre la elección que hacen al asegurar la confidencialidad e integridad de su información a la gestión de nuestra herramienta de inteligencia artificial, la cual cumple con normativas legales y regulatorias vigentes como la ISO 27001 y las leyes de protección de datos personales, tal como veremos a continuación. 

Esperamos que este artículo contribuya a despejar posibles dudas y sirva como razón de peso para confiar la gestión de tus datos a Kriptos, minimizando los riesgos de fuga y filtración de la información y asegurando así la continuidad de tu negocio. ¡Comencemos!

Elementos clave que incluye nuestra política 

1. Propósito 

Hacemos hincapié en reconocer el objetivo que tiene nuestra política, que tal como mencionábamos en la introducción del artículo, consiste en brindar directrices precisas sobre en qué consisten los servicios que presta nuestro software para asegurar la protección de la información de las empresas a través de la gestión automatizada, garantizando el cumplimiento normativo en cuanto a protección de datos.  

2. Alcance

Nuestra política aplica a todos los empleados, contratistas, socios y terceros que tienen acceso a la información de la empresa que adquiere nuestros servicios. Cubre todos los tipos de datos que maneja la organización, tanto en formato físico como digital, incluidos datos personales, financieros, operacionales, comerciales y confidenciales.

3. Definiciones

Con el fin de poder ser concisos acerca de las funciones de nuestros servicios, disponemos una lista de definiciones en nuestra política que hacen concretos y concisos los términos relacionados a nuestra operación. De esta manera, las siguientes definiciones precisan a qué nos referimos con:

  • Clasificación de Datos: Proceso de asignar un nivel de sensibilidad a la información con base en su impacto potencial.
  • Datos Personales: Información que permite la identificación directa o indirecta de una persona física, sujeta a protección bajo la ley.
  • Confidencialidad: Garantía de que la información es accesible solo para quienes están autorizados a verla.
  • Integridad: Salvaguardar la exactitud y completitud de la información.
  • Disponibilidad: Asegurar que la información esté accesible y utilizable cuando se necesite.

4. Metodología para la clasificación de datos

Nuestro ejercicio de clasificación de datos se basa en la evaluación del impacto que podría tener la divulgación no autorizada, pérdida o alteración de la información en los siguientes factores:

  • Impacto Regulatorio: Considera las sanciones legales y regulatorias que podrían surgir si la información es divulgada o usada indebidamente. Se debe cumplir con leyes como el RGPD o la LFPDPPP.
  • Impacto Financiero: Evalúa las posibles pérdidas económicas o sanciones financieras derivadas de la filtración o uso incorrecto de la información.
  • Impacto Operativo: Analiza el efecto que la indisponibilidad o mal uso de la información tendría en la continuidad de las operaciones de la empresa.
  • Impacto Reputacional: Considera el daño que la divulgación de la información podría causar en la imagen de la empresa ante sus clientes, socios, accionistas y medios de comunicación.

5. Niveles de clasificación de datos

Con base a la metodología anterior, nuestra clasificación de datos se hace de acuerdo a los siguientes niveles de sensibilidad:

  1. Público:
    • Información que puede ser compartida libremente sin ningún impacto negativo en la empresa.
    • Ejemplo: Información publicada en el sitio web corporativo, comunicados de prensa.
  2. Interno:
    • Datos que no deben ser divulgados fuera de la empresa, pero cuyo impacto es limitado si se filtran.
    • Ejemplo: Políticas operativas internas no críticas, directrices generales.
  3. Confidencial:
    • Información que, si se divulga, podría causar daños financieros, operativos o reputacionales significativos.
    • Ejemplo: Contratos comerciales, datos de clientes, planes estratégicos.
  4. Secreto o Restringido:
    • Información extremadamente sensible cuya divulgación podría causar graves daños a la empresa en términos regulatorios, financieros, operativos o reputacionales.
    • Ejemplo: Propiedad intelectual, datos personales sensibles, detalles financieros confidenciales.

6. Directrices para la clasificación y etiquetado de datos 

Estas son las directrices y consideraciones con las cuales gestionamos la clasificación y el etiquetado:

  • Inventario de Datos: Cada departamento es responsable de realizar un inventario de los tipos de información que maneja y clasificarlos según los niveles de sensibilidad definidos.
  • Etiquetado: Toda la información debe estar etiquetada adecuadamente para reflejar su nivel de clasificación. Las etiquetas deben ser claras y consistentes, y pueden incluir marcas visuales en documentos físicos o digitales, así como etiquetas automatizadas en sistemas de gestión documental.

Ejemplo de Etiquetado:

  • Público: [Etiqueta: "Público"]
  • Interno: [Etiqueta: "Interno"]
  • Confidencial: [Etiqueta: "Confidencial"]
  • Secreto: [Etiqueta: "Secreto"]

  • Criterios de evaluación de sensibilidad: La clasificación de cada documento debe basarse en los criterios de impacto regulatorio, financiero, operativo y reputacional previamente definidos. Cualquier documento que incluya información regulada o sujeta a protección de datos personales deberá ser clasificado como Confidencial o Secreto.

7. Controles de acceso

Realizamos una limitación sobre los controles de acceso, diferenciando los usuarios de la empresa que pueden acceder a cierto tipo de información. De esta manera, el acceso a la información se otorga con base en el principio de “necesidad de saber”, asegurando que solo los empleados y contratistas con permisos apropiados puedan acceder a datos sensibles, así:

  • Público: Acceso abierto sin restricciones.
  • Interno: Acceso limitado a empleados dentro de la organización.
  • Confidencial: Acceso solo para empleados autorizados, con controles como autenticación multifactorial.
  • Secreto: Acceso extremadamente restringido, con medidas adicionales de seguridad como cifrado avanzado, control de acceso basado en roles (RBAC), y auditorías regulares.

8. Protección y manejo de la información

Cada nivel de clasificación exige diferentes controles de seguridad para asegurar la confidencialidad, integridad y disponibilidad de los datos. A continuación, se detallan algunas de las medidas a implementar según el nivel de clasificación:

  • Público: No requiere controles especiales, pero es importante garantizar la integridad de la información.
  • Interno: Uso de contraseñas para acceder a los archivos. Los datos deben ser almacenados en sistemas seguros dentro de la red corporativa.
  • Confidencial: Cifrado de los datos tanto en tránsito como en reposo. Se deben aplicar auditorías regulares para monitorear el acceso a la información.
  • Secreto: Cifrado de grado militar, acceso restringido a un número muy limitado de personas. Los registros de acceso deben ser revisados continuamente, y la eliminación de los datos debe ser realizada de manera segura e irreversible.

9. Capacitación y socialización

Para asegurar la correcta implementación de nuestra política de clasificación y protección de datos, realizamos sesiones de capacitación periódicas dirigidas a todo el personal de la empresa que contrata nuestros servicios. Las capacitaciones deben cubrir los aspectos clave de la clasificación de datos, el etiquetado y las medidas de protección necesarias para cada nivel de sensibilidad.

Hacemos también sesiones de actualización, realizadas anualmente o cuando surgen cambios significativos en la política o en las normativas aplicables con las que esta funciona.

10. Monitoreo y auditoría

  • Monitoreo: La empresa que contrate nuestros servicios debe implementar herramientas de monitoreo para rastrear y controlar el acceso a los datos clasificados. Cualquier acceso no autorizado o manejo inadecuado será investigado inmediatamente.
  • Auditoría: Se realizarán auditorías periódicas para asegurar el cumplimiento de esta política. Los resultados de las auditorías se revisarán con el Comité de Seguridad de la Información para realizar las mejoras pertinentes.

11. Revisión y actualización de la política

Nuestra política es revisada al menos una vez al año o en caso de cambios significativos en las normativas, tecnologías o estructura de la empresa que contrata nuestros servicios. Las revisiones son coordinadas por el Oficial de Seguridad de la Información (CISO), quien se asegurará de que la política se mantenga actualizada y alineada con las mejores prácticas del sector y los requisitos regulatorios.

12. Consecuencias del incumplimiento

Dentro de este apartado de nuestra política, señalamos las consecuencias que puede tener el incumplimiento de la misma para la empresa y sus empleados, los cuales pueden enfrentarse a medidas disciplinarias o posibles acciones legales al no cumplir con los lineamientos establecidos o incurrir en violaciones de la ley. 

13. Cumplimiento legal y normativo

Es preciso que dentro de nuestra política demarquemos una cláusula de responsabilidad por parte de la empresa que contrata nuestros servicios, pactando que esta se compromete a cumplir con todas las normativas locales e internacionales aplicables, incluyendo el RGPD, la Ley de Protección de Datos Personales, y la ISO 27001, para asegurar la protección adecuada de sus datos sensibles.

Como puedes ver, este modelo de política proporciona un marco integral que permite a las empresas gestionar la información de manera segura, asegurando el cumplimiento de las regulaciones y minimizando riesgos operacionales, financieros y reputacionales. Esperamos que hayamos resuelto tus dudas sobre cómo operan los acuerdos sobre nuestro servicio y que esta política sirva como una garantía de nuestra reputación, seriedad y compromiso con la ciberseguridad de las organizaciones.

Latest

Related Posts for You

Discover more articles to keep you engaged.
__wf_reserved_heredar
Technology
11
minutos de lectura

¿Cómo crear nuestros propios ''sistemas de cifrado''?

Carlos Vaca, backend de Kriptos, nos habla de Kriptos Enhanced Security, una herramienta de ciberseguridad perfecta para proteger tus datos. ¡Ven a conocerla!

__wf_reserved_heredar
Technology
11
minutos de lectura

Inteligencia Artificial: El mejor aliado contra el ''error humano''

Platicamos sobre la importancia de la IA en la prevención de errores humanos en las empresas con la finalidad de disminuir la fuga de información ocasionada por empleados o colaboradores internos.

__wf_reserved_heredar
Technology
13
minutos de lectura

La importancia del cumplimiento de regulaciones en la seguridad de información

¿Por qué es importante cumplir con las normas que regulan la seguridad en la información? Te contamos todo lo que debes saber sobre este tipo de normas.

View all
__wf_reserved_heredar

Descubre el Poder de la Clasificación

Obtén Visibilidad Completa de tu Información Sensible.

Solicitar DemoContáctenos
Suscríbete a nuestro Newsletter
Permanece actualizado con nuestras últimas noticias y reportes de mercado.
¡Gracias! ¡Su presentación ha sido recibida!
¡Uy! Algo salió mal al enviar el formulario.
casos de uso
Auditoría y cumplimientoDescubrimiento automáticoGestión de riesgos
Por sector
Finanzas y bancaSeguros
plataforma
ProductoIntegracionesCalculadoraIASolicita una demostración
recursos
BlogTodas las publicaciones del blog
empresa
Acerca de nosotrosConviértase en socioCarrerasContáctanosDeclaración de privacidad
casos de uso
por sector
plataforma
recursos
empresa
__wf_reserved_heredar

© 2024 Kriptos. Todos los derechos reservados

__wf_reserved_heredar__wf_reserved_heredar__wf_reserved_heredar__wf_reserved_heredar