Sobre la base de la buena respuesta de @ AdHominem, agregaría que su organización debería tener una política de seguridad que establezca claramente sus pautas de clasificación de información. Es común definir tres o cuatro niveles, como "público", "interno", "confidencial" y "sensible". Con cada nivel, la política debe indicar muy claramente lo que puede suceder con la información en esa clasificación: 'la información pública se puede compartir con cualquier persona sin consecuencias', 'la información confidencial no se puede compartir con nadie fuera del departamento sin la aprobación del director o superior' , 'los datos confidenciales se deben cifrar en reposo', etc. Su política de seguridad también debe definir cómo evaluar sus datos: "si la divulgación de los datos al público causaría daños moderados a la reputación, debe clasificarse como confidencial", "si se liberan la información al público causaría una violación de las leyes de la SEC, debe ser clasificada como confidencial ", ese tipo de consejo.
Necesita que la política no sea ambigua para evitar argumentos prolongados sobre "¿por qué mi departamento tiene que pagar el costo total de la biblioteca de encriptación cuando el departamento X tiene los mismos datos pero no la encripta?"
Su política de seguridad también debe tener en cuenta las regulaciones externas, las leyes y las obligaciones contractuales. Si las reglas de PCI DSS dicen "debe cifrar el número de cuenta con RSA de 2048 bits", no importa si su propietario de datos lo considera confidencial, su política de seguridad debe cumplir con estas regulaciones y hacer cumplir el cifrado requerido.
Tenga en cuenta que las clasificaciones corporativas son generalmente diferentes a las clasificaciones militares. Los usos militares a menudo incluyen el concepto de "autorización", que es una calificación de la persona que tendrá acceso a los datos.
También ten en cuenta que la sensibilidad puede depender del contexto. Un código postal es información pública. Pero el mismo código postal asociado con la fila de datos asociados con John Smith puede ser confidencial, ya que podría dañar su reputación al violar la privacidad de John Smith. Y si el código postal está asociado con la transacción de crédito de John Smith, podría considerarse confidencial según las reglas de PCI. Las reglas de HIPAA / Privacidad abundan en este tipo de problemas.
Si su organización aún no tiene una política de seguridad y está haciendo este tipo de preguntas, es hora de implementar una. Si necesita ayuda, sepa que hay varios recursos en línea, pero obtendrá mejores resultados con un CISSP calificado para ayudar a crear uno. Además, tenga en cuenta que su política de seguridad entrará en juego si alguna vez se produce una demanda por incumplimiento. El hecho de que los demandantes no llamen a una política es casi una señal de que su organización es irresponsable con la seguridad de datos. Usted necesita que los abogados de su organización estén a bordo. (La defensa contra las demandas es solo otra parte fea de la gestión de riesgos).
Y si su organización tiene una política de seguridad, ya es su responsabilidad leerla, entenderla y seguirla. Si no tiene una clasificación de la información enunciada claramente, hable con su personal de Información Sec y pídales que la revisen para incluirla en la próxima actualización de la política (la política de seguridad debe tener una frecuencia de revisión de la política escrita en ella). / p>