¿Acceso a la información? solo el mínimo

El control de acceso a la información en cualquier empresa es fundamental para prevenir situaciones de: espionaje por parte de la competencia, fugas de información por personal interno, borrado de información y otro tipo de acciones que ponen en riesgo nuestros procesos de negocio y que en caso de producirse, tienen unas consecuencias económicas considerables.

Para realizar una política de acceso en nuestra organización seguiremos el principio de mínimo conocimiento, también conocido como “need-to-know”. Principio que al aplicarlo deberá de garantizar que cada persona de la organización accederá a lo que necesita saber, ni más ni menos.

Para aplicar en nuestra organización el principio de mínimo conocimiento “need-to-know”, es necesario en primer lugar, establecer y definir una política de control acceso. En esta política, es esencial que abordemos la identificación de la información que necesitamos controlar de nuestra organización.

Una vez identificada la información, crearemos los grupos que tendrán diferente nivel de acceso e introduciremos a las personas que correspondan en cada uno de los grupos. Una aproximación habitual cuando se realizan estos grupos, es realizar grupos por departamento, como grupo financiero, administración, sistemas, etcétera.

Tras definir los grupos e identificar los tipos de información que requieren control de acceso, estableceremos la relación entre los grupos y la información. Mediante esta asociación tendremos en nuestra organización controlado qué personas deben acceder a qué información.

De todos modos, el sencillo proceso explicado anteriormente requiere una serie de puntos para garantizar su correcta ejecución, y que ésta sea lo más rigurosa posible para evitar errores o descuidos.

A continuación INCIBE detalla los puntos que deben recogerse como mínimo dentro del procedimiento o política de control de acceso:

• Definir una clasificación e inventario de la información que establezca los requisitos de control de acceso aplicables. Lo determina por regla general la dirección de la organización. La información clasificada como confidencial debe estar protegida mediante una política de contraseñas.
• Determinar los grupos de la empresa que deben tener acceso a cierto tipo de información. Si una persona debe pertenecer a un grupo o no, debe decidirlo normalmente el responsable del departamento. Por ejemplo tan solo el personal de RRHH y del departamento financiero disponen de acceso autorizado a la información de nóminas.
• Establecer los permisos que un grupo posee sobre determinada información. Esto lo determina por regla general el responsable de la información o de la aplicación que maneja la información. Por ejemplo el personal de RRHH solo posee permisos de lectura para la información referida a nóminas, mientras que el departamento financiero disponen de todos los permisos para el acceso a dicha información.
• Generar un procedimiento para solicitar accesos extraordinarios a la información. Es posible que una persona de administración, en ausencia o baja del personal financiero, deba acceder de manera extraordinaria a la información de nóminas para poder realizar los pagos.
• Establecer una periodicidad para realizar revisiones de los permisos asociados a cada uno de los grupos, con el fin de detectar desviaciones.
• Generar un procedimiento para revocar la asignación de una persona a determinados grupos.

Por último añadir que, para no cometer errores en las asignaciones de acceso a nuestra información es recomendable seguir el principio de mínimo privilegio, donde a cada grupo se le asignará lo mínimo necesario para poder desempeñar su trabajo diario de una manera correcta.

Es importante tener claro que no todas las personas necesitan tener acceso a toda la información de la empresa para poder realizar correctamente su trabajo. Establecer un control de acceso basado en la necesidad de conocimiento mínimo del personal “need-to-know” nos ayudará a proteger nuestra información y a evitar problemas de fugas o borrados no intencionados de información sensible de la empresa.

Fuente: https://www.incibe.es