22 de Juliol de 2016
Accés a la informació? solament el mínim.
El control d'accés a la informació en qualsevol empresa és fonamental per prevenir situacions de:
espionatge per part de la competència, fugides d'informació per personal intern, esborrat d'informació i un altre tipus d'accions que posen en risc els nostres processos de negoci i que en cas de produir-se, tenen unes conseqüències econòmiques considerables.
Per realitzar una política d'accés en la nostra organització seguirem el principi de mínim coneixement, també conegut com «need-to-know». Principi que en aplicar-ho deurà garantir que cada persona de l'organització accedirà al que necessita saber, ni més ni menys.
Per aplicar en la nostra organització el principi de mínim coneixement «need-to-know», és necessari en primer lloc, establir i definir una política de control accés. En aquesta política, és essencial que abordem la identificació de la informació que necessitem controlar de la nostra organització.
Una vegada identificada la informació, crearem els grups que tindran diferent nivell d'accés i introduirem a les persones que corresponguin en cadascun dels grups. Una aproximació habitual quan es realitzen aquests grups, és realitzar grups per departament, com a grup financer, administració, sistemes, etcètera.
Després de definir els grups i identificar els tipus d'informació que requereixen control d'accés, establirem la relació entre els grups i la informació. Mitjançant aquesta associació tindrem en la nostra organització controlat quina persones han d'accedir a quina informació.
De totes maneres, el senzill procés explicat anteriorment requereix d'una sèrie de punts per garantir la seva correcta execució, i que aquesta sigui el més rigorosa possible per evitar errors o descuits.
A continuació detallem els punts que han de recollir-se com a mínim dins del procediment o política de control d'accés:
• Definir una classificació i inventari de la informació que estableixi els requisits de control d'accés aplicables. Ho determina per regla general l'adreça de l'organització. La informació classificada com a confidencial ha d'estar protegida mitjançant una política de contrasenyes.
• Determinar els grups de l'empresa que han de tenir accés a cert tipus d'informació. Si una persona ha de pertànyer a un grup o no, ha de decidir-ho normalment responsable del departament. Per exemple només el personal de RRHH i del departament financer disposen d'accés autoritzat a la informació de nòmines.
• Establir els permisos que un grup posseeix sobre determinada informació. Això ho determina per regla general el responsable de la informació o de l'aplicació que maneja la informació. Per exemple el personal de FINANCES solament posseeix permisos de lectura per a la informació referida a nòmines, mentre que el departament de RRHH disposen de tots els permisos per a l'accés a aquesta informació.
• Generar un procediment per sol·licitar accessos extraordinaris a la informació. És possible que una persona d'administració, en absència o baixa del personal financer, hagi d'accedir de manera extraordinària a la informació de nòmines per poder realitzar els pagaments.
• Establir una periodicitat per realitzar revisions dels permisos associats a cadascun dels grups, amb la finalitat de detectar desviacions.
• Generar un procediment per revocar l'assignació d'una persona a determinats grups.
Finalment afegir que, per no cometre errors en les assignacions d'accés a la nostra informació és recomanable seguir el principi de mínim privilegi, on a cada grup se li assignarà el mínim necessari per poder exercir el seu treball diari d'una manera correcta.
És important tenir clar que no totes les persones necessiten tenir accés a tota la informació de l'empresa per poder realitzar correctament el seu treball. Establir un control d'accés basat en la necessitat de coneixement mínim del personal «need-to-know» ens ajudarà a protegir la nostra informació i a evitar problemes de fugides o esborrats no intencionats d'informació sensible de l'empresa.
