Muchos incidentes de seguridad de la información pasan porque no se tiene idea de lo sensitivo que la información es para la empresa. La Gestión de TI tiene que ser proactiva en definir niveles de sensibilidad de la información y clasificar toda la información que administra. Esta tarea, permite definir riesgos reales, como lo ve la Alta Dirección, a la vez que proporciona el valor real de la información y la justificación para las inversiones en tecnología.

La Gestión de TI debe tener claro en primer lugar que su razón de ser es el negocio. Todos los frameworks y metodologías de gestión de TI, hacen énfasis en que en primer lugar, los procesos de negocios tienen que ser evaluados, para identificar los requerimientos de TI del negocio. Inmediatamente después pasan a centrarse en el modelo de información que soportará las operaciones de negocio. Luego, un elemento importante del modelo de información, es la clasificación de la información. Esta tarea, consiste en identificar cada pieza de información que se administra en la empresa y discutir con el negocio el nivel de acceso, en términos de poder verla, poder modificarla o eliminarla y las áreas internas y externas de la organización que usarán este acceso. Cuando vemos en los organismos de inteligencia de las grandes naciones que utilizan términos como “secreto” o “top secret”, no asumimos ese nivel de confidencialidad en nuestra información, por no poner en riesgo ventajas estratégicas en términos de planes de competitividad entre naciones, que incluso algunas veces son de carácter bélico. Sin embargo, la Gestión de TI tiene que interiorizar que el término “confidencialidad” aplica a todas las organizaciones. Hay que considerar varios aspectos. La Gestión de TI debe estar clara que en el ámbito comercial, prácticamente se libra una guerra todo el tiempo, en la cual, se trata de ganar a nuestra competencia con los mejores precios, los mejores servicios, las mejores ventajas, etc. Por ejemplo, la planificación de una estrategia de mercado, que incluye publicidad, preparación del producto o servicio y toda una actividad de divulgación interna, para asegurarse de que todos los empleados entienden que se le ofrece al cliente, se puede arruinar, si es conocida previamente por la competencia. Esto se puede dar si alguna presentación de entrenamiento o de discusión de la estrategia es sacada del ámbito de la empresa y compartida con alguien externo, ya sea intencionalmente o no. Esto implica, que la Gestión de TI debe de considerar la información, no sólo las bases de datos. Esto es, identificar claramente la información a clasificar, en todas sus posibles formas de uso y crear instrucciones específicas hacia el personal de la organización sobre la clasificación de la información existente y que tiene que ser observada sobre la información en todas sus presentaciones. Algo que aporta mayor relevancia a esta actividad es cuando la empresa administra información de otros, por ejemplo, los clientes, cuya información no debería de ser divulgada por nosotros. Información sensitiva que podría existir en nuestras bases de datos incluye datos personales de identificación de clientes y datos de tarjetas de crédito, que incluso poseen normativa especial para su manipulación (PCI DSS – Payment Card Industry Data Security Standard), con el fin de asegurar que no existan brechas de seguridad que lleven a divulgar esta información. Hay que notar, que si existen estándares, la Gerencia de TI podría exhibir negligencia en no aplicarlos, si son pertinentes para la organización.