Inicio > Blog > Un enfoque sencillo para proteger su información: Parte 1

Un enfoque sencillo para proteger su información: Parte 1

Introducción

En la primera parte de nuestra nueva serie sobre seguridad de la información, presentamos un enfoque simple para ayudarlo a archivar, realizar copias de seguridad o destruir gran parte de la información que puede estar causándole preocupaciones. Luego podrá concentrar su energía (y sus recursos limitados) en implementar medidas de seguridad adecuadas para la información con la que trabaja. Primero, en este artículo debemos ayudarte a responder:

  1. ¿Cuál es su información más valiosa y sensible?

La seguridad de la información se está convirtiendo rápidamente en uno de los mayores problemas que enfrentan las organizaciones benéficas modernas. Lamentablemente, la preocupación no se está traduciendo en acciones. Esta situación se debe a una serie de factores:

  • La gran cantidad de información ya acumulada.
  • La creación y adquisición incontrolada de información en el futuro.
  • Falta de recursos (o falta de asignación presupuestaria a la seguridad de la información).
  • Falta de voluntad o incapacidad para cambiar.
  • Espero que algunas herramientas protejan todo de todos los posibles ataques.
  • Confusión sobre qué hacer.

Es esencial comenzar lo antes posible porque el desafío será mayor cada día que pase. La realidad es que no será posible proteger toda tu información de todas las formas posibles en que pueda verse comprometida, por lo que debes priorizar. El primer paso es identificar qué está intentando proteger y por qué.

Al abordar este problema, suele ser útil distinguir entre dos tipos de activos de información según el papel que desempeñan dentro de su organización:

  • Operacional: Garantizar el funcionamiento administrativo de su organización.
  • Estratégico: Lograr el cambio deseado por su organización en el mundo.

Esta distinción puede tener algunas áreas grises, pero en general es una buena manera de dividir los activos de información de su organización para que puedan abordarse por separado.

El primer paso es identificar qué está intentando proteger y por qué.Click To Tweet

Value alto

La seguridad de la información a menudo se presenta desde una perspectiva negativa. Por ejemplo, a menudo se considera prohibitivo al prohibir ciertas formas de trabajar o utilizar ciertas herramientas que gustan a la gente. También se le considera a menudo como un dictador, que impone limitaciones y hace que el trabajo de la gente sea más difícil de lo necesario. Si esta es tu percepción, entonces es probable que el asesoramiento que has recibido hasta el momento no haya tenido en cuenta un elemento esencial: la propuesta de La información juega en tu trabajo.

Parte de su información tendrá valor en las operaciones eficientes de su organización, como la nómina o los recursos humanos. Es probable que las obligaciones legales y financieras desempeñen un papel importante en la solución para proteger esta información operativa. Otra información respaldará su trabajo de promoción. Simplemente resaltar un problema no atraerá la atención del público ni de aquellos en el poder sobre quienes se busca influir; La evidencia de su posición es esencial para una promoción exitosa. Como tal, esta información es necesaria para lograr sus objetivos estratégicos.

La información estratégica no es estática. Debe compartirse con las personas adecuadas y utilizarse para crear nueva información, como informes, infografías y campañas que resuenen en el público objetivo. Las actividades que involucran activos de información de alto valor pueden llevarse a cabo de una manera menos segura cuando lo justifica el deseo de realizar todo el valor estratégico de un activo. Sin embargo, si bien recibirá el crédito cuando las cosas salgan bien, también debe aceptar la responsabilidad si las cosas no salen según lo planeado. En consecuencia, además del valor, se debe considerar la daño eso podría ocurrir si las cosas van mal.

Daño

Las organizaciones benéficas que se esfuerzan por lograr un cambio positivo en el mundo no son vistas por todos de manera positiva. Cambiar el status quo significa inevitablemente que algunos, que están contentos con la situación actual, se verán amenazados por sus acciones. Si bien los daños potenciales a veces pueden limitarse a sentimientos negativos o apatía, algunas consecuencias pueden ser mucho más graves. Si bien algunas de sus actividades pueden basarse en información disponible públicamente, otras pueden requerir aportes de fuentes confidenciales. Los denunciantes que aportan pruebas de irregularidades suelen correr el mayor riesgo.

Debe haber cierta consideración sobre el riesgo que corren las personas que trabajan con usted. Aquellos que le confían información merecen cierta medida de protección por su parte. Debe considerar los posibles daños que podrían surgir si se compromete la seguridad de esta información. Estas consecuencias podrían variar desde molestias hasta posibles multas regulatorias para su organización; También pueden incluir que la fuente pierda su trabajo o incluso enfrente un proceso penal. En los casos más graves, la fuente o un miembro de su personal puede enfrentar represalias por sus acciones en forma de lesiones, secuestro, tortura o muerte.

Si bien es esencial que considere cuál es el peor de los casos, no toda su información provocará estos daños graves si se ve comprometida. Entonces, también debes considerar probabilidad al priorizar sus activos de información.

Probabilidad

A menudo se dice que la seguridad es demasiado cara y consume mucho tiempo cuando no es necesaria, pero muy barata y merece la pena cuando es necesaria. Desafortunadamente, nunca podemos saber con certeza cuándo será necesario, por lo que debemos proceder sistemáticamente sobre la base del riesgo más que de la certeza. Determinar la probabilidad de que algo suceda no es una ciencia pero tampoco es arbitrario.

Cuando se trata de propuesta de de información, debe determinar tanto el valor potencial que podría tener como cuándo espera realizar este valor potencial. Por ejemplo, es poco probable que la información que se ha conservado durante años y no se ha utilizado sea de gran valor para su organización en el futuro. Esto no quiere decir que la información no sea intrínsecamente valiosa, sino que su valor puede ser menor con respecto a otras actividades y prioridades planificadas de su organización.

Cuando se trata de daño, puede haber muchos factores que determinarán si es probable que algo suceda o no. Debe considerar quién es el adversario, qué daño pretende infligir y si tiene la capacidad para infligir ese daño. También deberá juzgar si realmente infligirían el daño, incluso si está dentro de sus capacidades hacerlo. Por ejemplo, la publicidad negativa puede disuadir a ciertos actores –por ejemplo, las corporaciones– de actuar de una manera particular, mientras que otros actores –como los gobiernos, las bandas del crimen organizado y los grupos de presión vocales– pueden no tener tales inhibiciones.

Próximos pasos

Debe considerar los diferentes tipos de información que posee y tratar de comprender mejor tanto su valor para su trabajo como los daños que podría sufrir usted y otros si un atacante los comprometiera.

Si bien hay una serie de posibles sistemas de puntuación de riesgos que podrían utilizarse para decidir por dónde empezar, en esta etapa suele ser mejor un enfoque simplificado. El enfoque puede volverse más sofisticado y detallado según sea necesario con el tiempo. El diagrama aquí establece cuatro categorías amplias de acción basadas en el valor potencial y los daños de sus diferentes activos de información.

Se debe considerar la información de bajo valor y bajo potencial de daño. archivo seguro, mientras que la información con un valor bajo pero un alto potencial de daño debe considerarse para destrucción segura. La información de alto valor con un bajo potencial de daño podría beneficiarse de una copias de seguridad seguras para proteger contra destrucción o modificación accidental o maliciosa.

La información de alto valor que podría provocar daños graves es un poco más compleja y es un buen lugar para comenzar a implementar medidas adecuadas. medidas de seguridad. Si no está dispuesto o no puede realizar una sola mejora en la seguridad de su información más sensible y valiosa, entonces debe preguntarse por qué. (¿Es porque no puedes identificar esta información?)

Si no está dispuesto o no puede realizar una sola mejora en la seguridad de su información más sensible y valiosa, entonces debe preguntarse por qué.Click To Tweet

Conclusión

Al considerar el valor y los daños potenciales de su información operativa y estratégica y la probabilidad de que ese valor o daño se materialice, también debería estar en condiciones de tomar algunas acciones basadas en esta evaluación inicial, que incluyen:

  • Archivo seguro.
  • Copia de seguridad segura.
  • Destrucción segura.

Luego habrá archivado, realizado una copia de seguridad o destruido gran parte de la información que pudo haberle causado preocupaciones. ¡Este es un fantástico punto de partida! Ahora puede concentrar su energía (y sus recursos limitados) en implementar medidas de seguridad adecuadas para la información más valiosa y confidencial con la que trabaja. En el próximo artículo, te ayudamos primero a responder la pregunta: ¿dónde está esta información?