clasificacion de la informacion
TRANSCRIPT
Clasificación de la Información
Tipos de Clasificación
En este documento se describen los diferentes tipos de
clasificación de la información en las empresas
Johana Sosa
27/01/2012
Contenido
Tipos de clasificación ....................................................................................................... 4
1. Modelo de Política de Seguridad de la Información para Organismos de la
Administración Pública Nacional. [MPSI_ARG] .......................................................... 4
2. Actualización Clasificación Información para Efectos de Aseguramiento de la
Misma. Banco de la República. [ACI_COL][2]............................................................. 5
3. Niveles de Clasificación de Información – UAEAC (Unidad Administrativa
Especial Aeronáutica Civil) [CDLI_COL] [3] ............................................................... 6
4. Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4] ......... 9
5. CobiT4.1 [C4.1_USA]. [5] .................................................................................. 10
6. TCSEC Orange Book. [DoDTCSEC_USA]. [6] .................................................. 11
7. GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7] .................... 15
8. Normas para la Clasificación de Seguridad de Información Federal y Sistemas de
Información. [NCSIFSI_USA]. [8] ............................................................................. 19
9. HMG Security Policy Framework. [HMGSPF_UK]. [9] ...................................... 20
10. Queensland Government Information Security Classification Framework.
[QGISCF_AUS]. [10] ................................................................................................. 21
11. Information Security Classification. [ISC_CAN]. [11] .................................... 22
12. State secrets: China’s legal labyrinth. [SSCLL_CHI]. [12] .............................. 22
Investigación en empresas. ............................................................................................. 24
Digiservices Ltda........................................................................................................ 24
MCI – Misión Carismática Internacional. ................................................................... 25
Criterios de valoración de los documentos ...................................................................... 26
Referencias .................................................................................................................... 31
Ilustraciones
ILUSTRACIÓN 1. CLASIFICACIÓN DE LA INFORMACIÓN. [10]................................................................ 21
ILUSTRACIÓN 2. NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN PROPUESTA. ................................. 29
Tablas
TABLA 1. CLASIFICACIÓN DE LA INFORMACIÓN. [2] ............................................................................. 6
TABLA 2. MATRIZ DE ANÁLISIS DE RIESGOS VS CRITERIOS. ................................................................. 8
TABLA 3. SENSIBILIDAD VS. CONFIDENCIALIDAD ............................................................................... 17
TABLA 4. RESUMEN DE DIFERENTES TIPOS DE CLASIFICACIÓN DE LA INFORMACIÓN. ........................... 27
TABLA 5. DATOS ORGANIZACIONES FUENTES..................................................................................... 28
TABLA 6. NIVEL JERÁRQUICO ORGANIZACIONES. ............................................................................... 28
TABLA 8. EJEMPLO DETALLE CLASIFICACIÓN DE LA INFORMACIÓN ..................................................... 30
Tipos de clasificación
1. Modelo de Política de Seguridad de la Información para Organismos de la
Administración Pública Nacional. [MPSI_ARG]
El siguiente modelo de clasificación fue realizado por la oficina nacional de tecnologías de
información de la república de Argentina [1]
Los Propietarios de la Información son responsables de clasificarla de acuerdo con el grado
de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la
clasificación efectuada, y de definir qué usuarios deberán tener permisos de acceso a la
información de acuerdo a sus funciones y competencia.
Los usuarios de la información y de los sistemas utilizados para su procesamiento son
responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de
la Información vigente
Objetivos
Garantizar que los activos de información reciban un apropiado nivel de protección.
Clasificar la información para señalar su sensibilidad y criticidad.
Definir niveles de protección y medidas de tratamiento especial acordes a su
clasificación.
Clasificación
Cada una tiene 4 niveles de clasificación (0 – 3) siendo 3 el nivel más sensible y 0 el menos
sensible. Según lo que cumpla el activo de información el propietario definirá su criticidad
(baja, media o alta)
1. Confidencialidad:
Público
reservado (uso interno)
reservado (confidencial)
reservado (secreto)
2. Integridad: Debido a modificaciones no autorizadas en la información
Se puede reparar fácilmente
Se puede reparar aunque puede dejar algunas pérdidas
Es difícil su reparación y puede dejar pérdidas significativas
No puede repararse ocasionando pérdidas grandes
3. Disponibilidad: La inaccesibilidad a la información
no afecta
durante un periodo de tiempo no menor a una semana podría causar pérdidas
significativas
durante un periodo de tiempo no menor a un día podría causar pérdidas
significativas
durante un periodo de tiempo no menor a una hora podría causar pérdidas
significativas
Una vez asignado un valor por cada una de las categorías anteriores se clasifican según estos
criterios, mencionados anteriormente:
Criticidad baja: Valores de clasificación son menores o iguales a 1
Criticidad media: Algún valor de clasificación es 2
Criticidad Alta: Algún valor de clasificación es 3
2. Actualización Clasificación Información para Efectos de Aseguramiento de la
Misma. Banco de la República. [ACI_COL][2]
La clasificación de la información creada por el departamento de Seguridad Informática para
efectos de aseguramiento de la misma, actualizada en mayo del 2011 cuenta con cinco
niveles que son: Información clasificada, información reservada, información privada,
información de uso interno e información pública.
Los atributos que se tienen en cuenta para la clasificación de la información son los
siguientes: Confidencialidad, Integridad, Disponibilidad, Autenticación, Control Acceso, No
repudiación y Observancia.
A continuación se encuentra la tabla con la propuesta de clasificación de la Información
teniendo en cuenta la relación entre los atributos que buscan mantener en la información y
sus niveles.
Clasificada Reservada Privada De Uso
Interno
Pública
Confidencialidad X X X
Integridad X X X
Disponibilidad X X X
Autenticación X X X X
Control Acceso X X X X
No repudiación X X* (Opcional)
Observancia X X X
Tabla 1. Clasificación de la información. [2]
3. Niveles de Clasificación de Información – UAEAC (Unidad Administrativa
Especial Aeronáutica Civil) [CDLI_COL] [3]
Toda información registrada en los Sistemas de Información de la UAEAC debe ser
clasificada, con el objetivo de determinar controles específicos para la protección de la
misma. Para esto se cuenta con la Norma No.03 - Clasificación de Información del Modelo
de Seguridad Informática.
La información de la UAEAC será clasificada como:
Altamente Confidencial (AC): Es información de alta importancia para la
UAEAC que solo puede ser accedida por quienes ejerzan las funciones de: Director
General, Subdirector General, Secretario de Sistemas Operacionales, , Secretario
General y Secretario de Seguridad Aérea, Directores de Área, Jefes de Grupo y Jefes
de Oficina. El mal uso de la misma puede ir en detrimento de los intereses de la
UAEAC.
Confidencial (C): Es información crítica y solamente podrá ser conocida al interior
de la Entidad ya que el conocimiento externo de la misma podrá ocasionar
efectos negativos sobre la Entidad.
Restringida (R): Solo podrá ser accedida por grupos específicos de usuarios que
requieren del conocimiento de esta información para estricto cumplimiento de sus
funciones
Pública (P): Podrá ser utilizada por todos los empleados directos de la UAEAC y
por empleados temporales, contratistas y/o terceros a la UAEAC
Los parámetros que se deben tener en cuenta para esta clasificación son:
Costo de reemplazo o reconstrucción
Interrupción del negocio
Pérdida de clientes
Violación de la propiedad
Requerimientos Legales
Pérdidas económicas
Los beneficios de clasificar la información son:
o Identificar Qué información es sensible y vital para la UAEAC.
o Identificar Quiénes son los propietarios de la información y los responsables de la
asignación de los permisos de acceso a la misma.
o Definir niveles apropiados de protección de la información y segregación de
acceso a la misma.
o Controlar Qué usuarios tienen acceso a la información.
Riesgos de no clasificar la información:
Asignación de niveles y/o permisos de acceso a la información errada
Pérdida de Información por acciones de usuarios malintencionadas.
Modificación de la información sin previa autorización.
Uso de la información por parte de usuarios con fines personales.
Los siguientes son criterios de evaluación:
Confidencialidad/Privacidad: Se refiere a que la información solo puede ser
conocida por usuarios autorizados.
o Reflexión: Qué sucedería si la información de Empresas, Historias
Clínicas, Hojas de Vida, Licencias del Personal Aeronáutico es cedida a
terceros?.
Integridad: Se refiere a que la información solo puede ser variada (modificada
o borrada) por usuarios autorizados.
o Reflexión: Qué sucedería si alguien no autorizado realiza variaciones en
la información de presupuesto, información de planes de Vuelo,
Itinerarios?
CONFIDENCIALIDAD INTEGRIDAD
ALTO
Fuga de información por accesos
y/o revelaciones de información no
autorizada afectaría seriamente las
operaciones del negocio, generando
alta pérdida monetaria y/o de
imagen
Datos inexactos, incompletos o
modificados sin autorización,
causaría fallas en la operación,
pérdidas económicas, pérdida en la
productividad, pérdida de imagen
ante el cliente.
MEDIO
Fuga de información por accesos
y/o revelaciones de información no
afectaría seriamente las operaciones
del negocio y no dan lugar a alta
pérdida monetaria.
Datos inexactos, incompletos o
modificados sin autorización, no
impactaran seriamente la operación
del negocio o pérdida de imagen;
daría lugar a soluciones prontas.
BAJO
El uso y/o revelación de
información por usuarios no
autorizados no afecta la operación
del negocio.
Contar con alternativas de
información permitiría hacer
posible la continuidad de la
operación del negocio.
Tabla 2. Matriz de Análisis de Riesgos vs Criterios.
4. Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4]
Última entrega de instrumentos normativos proyectados-modelo de seguridad de la
información para la estrategia de gobierno en línea.
Para determinar los niveles de clasificación se tuvieron en cuenta los siguientes principios:
Principio de Libertad: Entendido como aquel postulado que permite la exclusión,
valida, de una base de datos.
Principio de Finalidad: La información contenida en una base de datos solo puede
ser concebida para un fin específico.
Principio de Integridad: La información debe ser inalterada en el proceso
comunicativo.
Principio de Necesidad: La información contenida debe ser funcional.
Lo primero que se tiene en cuenta para la clasificación de la información es separarla entre la
información impersonal y la información personal. A su vez, en esta última es importante
diferenciar igualmente la información personal contenida en bases de datos
computarizadas o no y la información personal contenida en otros medios, como videos
o fotografías, etc.
Los segundo ya es clasificar la información desde un punto de vista cualitativo en función
de su publicidad y la posibilidad legal de obtener acceso a la misma. Teniendo en cuenta
lo anterior se divide en cuatro grandes tipos: la información pública o de dominio público,
la información semi-privada, la información privada y la información reservada o secreta.
Información pública, calificada como tal según los mandatos de la ley o de la
Constitución, puede ser obtenida y ofrecida sin reserva alguna y sin importar si la
misma sea información general, privada o personal. Por vía de ejemplo, pueden
contarse los actos normativos de carácter general, los documentos públicos en
los términos del artículo 74 de la Constitución, y las providencias judiciales
debidamente ejecutoriadas; igualmente eran públicos, los datos sobre el estado
civil de las personas o sobre la conformación de la familia. Información que
puede solicitarse por cualquier persona de manera directa y sin el deber de satisfacer
requisito alguno.
La información semi-privada, será aquella que por versar sobre información
personal o impersonal y no estar comprendida por la regla general anterior,
presenta para su acceso y conocimiento un grado mínimo de limitación, de tal
forma que la misma sólo puede ser obtenida y ofrecida por orden de autoridad
administrativa en el cumplimiento de sus funciones o en el marco de los principios
de la administración de datos personales. Es el caso de los datos relativos a las
relaciones con las entidades de la seguridad social o de los datos relativos al
comportamiento financiero de las personas.
La información privada, será aquella que por versar sobre información personal o no,
y que por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida
por orden de autoridad judicial en el cumplimiento de sus funciones. Es el
caso de los libros de los comerciantes, de los documentos privados, de las
historias clínicas o de la información extraída a partir de la inspección del
domicilio.
Información reservada, que por versar igualmente sobre información personal y
sobre todo por su estrecha relación con los derechos fundamentales del titular -
dignidad, intimidad y libertad- se encuentra reservada a su órbita exclusiva y no
puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento
de sus funciones. Cabría mencionar aquí la información genética, y los llamados
"datos sensibles" o relacionados con la ideología, la inclinación sexual, los
hábitos de la persona, etc”.
5. CobiT4.1 [C4.1_USA]. [5]
Dentro del marco de trabajo de COBIT se maneja la parte de Planear y Organizar, donde el
segundo paso de esto es definir la arquitectura de la Información. Para lo cual tienen en
cuenta las siguientes características:
Modelo Arquitectura de Información Empresarial: Establecer y mantener un modelo
de información empresarial que facilite el desarrollo de aplicaciones y las actividades
de soporte a la toma de decisiones, consistente con los planes de TI. El modelo debe
facilitar la creación, uso y el compartir en forma óptima la información por parte del
negocio de tal manera que se mantenga su integridad, sea flexible, funcional,
rentable, oportuna, segura y tolerante a fallos
Diccionario corporativo de datos y Reglas de sintaxis de los datos de la organización:
Facilita compartir elementos de datos entre las aplicaciones y los sistemas, fomenta
un entendimiento común de datos entre los usuarios de TI y del negocio, y previene
la creación de elementos de datos incompatibles
Esquema de clasificación de datos y los niveles de seguridad: Basados en que tan
crítica y sensible es la información se establece un esquema de clasificación que
aplique a toda la empresa (pública, confidencial y secreta). Para este esquema se debe
incluir la siguiente información pertinente:
o Detalles acerca de la propiedad de datos
o Definición de niveles apropiados de seguridad y de controles de protección
o Descripción de los requerimientos de retención y destrucción de datos,
incluyendo información de que tan críticos y sensibles son.
Se usa como base para aplicar controles como el control de acceso, archivo o cifrado.
Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que
se proporciona información confiable y segura, y permite racionalizar los recursos de
los sistemas de información para igualarse con las estrategias del negocio. Este
proceso de TI también es necesario para incrementar la responsabilidad sobre la
integridad y seguridad de los datos y para mejorar la efectividad y control de la
información compartida a lo largo de las aplicaciones y de las entidades.
Administración de Integridad: Definir e Implementar procedimientos para garantizar
la integridad y consistencia de todos los datos almacenados en formato electrónico,
tales como bases de datos, almacenes de datos y archivos
6. TCSEC Orange Book. [DoDTCSEC_USA]. [6]
Los niveles de este estándar han sido la base de desarrollo de estándares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).
La clasificación de los datos está basada en la necesidad de su confidencialidad. Los
siguientes son niveles globales basados en el potencial del daño si son comprometidos:
Súper Secreto
Secreto
Confidencial
No clasificado:
o Sensible pero no clasificada.
o Solo para uso oficial.
Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el
subnivel B2 abarca los subniveles B1, C2, C1 y el D.
Nivel D: Protección Mínima
Este nivel contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo
es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el
acceso a la información. Los sistemas operativos que responden a este nivel son MS-
DOS y System 7.0 de Macintosh.
Nivel C1: Protección Discrecional
Se requiere identificación de usuarios que permite el acceso a distinta información.
Cada usuario puede manejar su información privada y se hace la distinción entre los
usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser
realizadas por este "súper usuario" quien tiene gran responsabilidad en la seguridad
del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro
que en una organización encontremos dos o tres personas cumpliendo este rol. Esto
es un problema, pues no hay forma de distinguir entre los cambios que hizo cada
usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase
C1:
o Acceso de control discrecional: distinción entre usuarios y recursos. Se
podrán definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios
o grupos de ellos.
o Identificación y Autentificación: se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario
no podrá ser accedido por un usuario sin autorización o identificación.
Nivel C2: Protección de Acceso Controlado
Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe
llevar una auditoria de accesos e intentos fallidos de acceso a objetos.
o Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a
usuarios en concreto, con base no sólo en los permisos, sino también en los
niveles de autorización.
o Requiere que se audite el sistema. Esta auditoría es utilizada para llevar
registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.
o La auditoría requiere de autenticación adicional para estar seguros de que la
persona que ejecuta el comando es quien dice ser. Su mayor desventaja
reside en los recursos adicionales requeridos por el procesador y el
subsistema de discos.
o Los usuarios de un sistema C2 tienen la autorización para realizar algunas
tareas de administración del sistema sin necesidad de ser administradores.
o Permite llevar mejor cuenta de las tareas relacionadas con la administración
del sistema, ya que es cada usuario quien ejecuta el trabajo y no el
administrador del sistema.
Nivel B1: Seguridad Etiquetada
Este subnivel, es el primero de los tres con que cuenta el nivel B.
o Soporta seguridad multinivel, como la secreta y ultra secreta. Se establece
que el dueño del archivo no puede modificar los permisos de un objeto que
está bajo control de acceso obligatorio.
o A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con
un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con
unas categorías (contabilidad, nóminas, ventas, etc.).
o Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
o Se establecen controles para limitar la propagación de derecho de accesos a
los distintos objetos.
Nivel B2: Protección Estructurada
o Requiere que se etiquete cada objeto de nivel superior por ser padre de un
objeto inferior.
o La Protección Estructurada es la primera que empieza a referirse al problema
de un objeto a un nivel más elevado de seguridad en comunicación con otro
objeto a un nivel inferior. De esta forma un disco rígido será etiquetado por
almacenar archivos que son accedidos por distintos usuarios.
o El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el
encargado de fijar los canales de almacenamiento y ancho de banda a utilizar
por los demás usuarios.
Nivel B3: Dominios de Seguridad
o Refuerza a los dominios con la instalación de hardware: por ejemplo el
hardware de administración de memoria se usa para proteger el dominio de
seguridad de acceso no autorizado a la modificación de objetos de diferentes
dominios de seguridad.
o Existe un monitor de referencia que recibe las peticiones de acceso de cada
usuario y las permite o las deniega según las políticas de acceso que se hayan
definido.
o Todas las estructuras de seguridad deben ser lo suficientemente pequeñas
como para permitir análisis y testeos ante posibles violaciones.
o Este nivel requiere que la terminal del usuario se conecte al sistema por
medio de una conexión segura.
o Cada usuario tiene asignado los lugares y objetos a los que puede acceder.
Nivel A: Protección Verificada
Es el nivel más elevado, incluye un proceso de diseño, control y verificación,
mediante métodos formales (matemáticos) para asegurar todos los procesos que
realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los
componentes de los niveles inferiores deben incluirse. El diseño requiere ser
verificado de forma matemática y también se deben realizar análisis de canales
encubiertos y de distribución confiable. El software y el hardware son protegidos
para evitar infiltraciones ante traslados o movimientos del equipamiento.
7. GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7]
Clasificar la información es un proceso en curso e iterativo. Un sistema de clasificación de la
información ayuda a asegurar aquellas decisiones que satisfacen a toda la compañía y no solo
a la protección de información individual
Antes de que la clasificación de la información pueda ser clasificada se tienen en cuenta unos
pasos claves que se especifican a continuación.
1. Identificar todos los recursos de información que necesitan ser protegidos: En este
paso es importante tener en cuenta los siguientes aspectos para cada uno de los
recursos de información.
Localización de la información
Cómo se protege la información actualmente
Propietario de los datos (Persona que conoce el valor de la información para
la empresa)
Custodio de los datos (Persona responsable para salvaguardar la información
Formato de la información (base de datos, archivos, aplicación)
2. Identificar las medidas de protección de la información teniendo en cuenta la
necesidad del negocio y objetivos de la protección de la información:
Autenticación: Donde se puede utilizar la autenticación sencilla
(identificador y contraseña) y la autenticación doble(identificador, contraseña
y secreto clave)
Acceso basado en roles: Basado generalmente en necesidades del negocio y
funciones del trabajo. En este caso se maneja una Lista de control de acceso
(ACL) la cual contiene el nivel de acceso para cada persona (leer, editar y
borrar).
Cifrado: Se utiliza para asegurar la privacidad de información sensible o
personal, también para que la información no sea vista o alterada sin
detección alguna.
Controles administrativos: Sirven para asegurar la integridad de la
información.
Controles tecnológicos: Protección de virus, redundancia del disco, sistema y
aplicaciones, al igual que segregación de la red.
Garantía: Validación de la protección del sistema. Con la ayuda de monitoreo.
3. Identificar las clases de información: La siguiente lista contiene distintas clases de
información que puede manejar una empresa.
Confidencialidad
Disponibilidad
Integridad
Propiedad
Altamente sensible
Función sensible
Restringida de negocio
Restringida de propietario
Discreción de propietario
Uso de la compañía
Uso interno
Uso público
Negocio crítico
Negocio sensible
No esencial
4. Mapear las medidas de protección de la información a las diferentes clases de
información.
Sensibilidad y confidencialidad: Se tienen en cuenta 2 criterios
Criterio de
Protección
Altamente
Sensible
Función
Sensible
Propietario
Discreto
Uso de la
Compañía
Uso Público
Autenticación Id usuario,
contraseña
fuerte
Ingreso
encriptado
Id usuario,
contraseña
fuerte
Ingreso
encriptado
Id usuario,
contraseña
fuerte
Id usuario,
contraseña
fuerte
Autentica-
ción no
requerida
Aprovisiona-
miento
Alta adm. o
autorización
del
propietario
de los datos
Acceso
individual
Adm. de
autorización
Basado en
roles
Autorización
y
administraci
ón delegada
al creador o
propietario
Acceso
automática-
mente para
empleados
Acceso
automática-
mente a
todos los
usuarios del
sistema de
información
Tabla 3. Sensibilidad vs. Confidencialidad
Integridad y uso apropiado
o Alto
Actualización de acuerdo a las especificaciones del
propietario de los datos.
Separación de funciones para las operaciones financieras.
Todas las copias de la información se tienen en cuenta y se
destruyen antes de la eliminación
Sujeto a cambios de control
Tutoriales de código requerido
Cifrar todas las transacciones de información
Cifrar la información en reposo
o Medio
Actualización de acuerdo a las especificaciones del
propietario de los datos.
Sujeto a cambios de control
Tutoriales de código requerido
Cifrar las transacciones por Internet.
o Bajo
Sin integridad o uso de controles apropiados
Disponibilidad
o Alto
No hay tolerancia para la interrupción del servicio durante
las horas de negocio.
Formación de la Cruz de las operaciones comerciales de
personal requerido
La protección antivirus necesaria
o Medio
Debe ser recuperado dentro de las 8 horas de trabajo
Formación de la Cruz de las operaciones comerciales de
personal requerido
La protección antivirus necesaria
o Bajo
La protección antivirus necesaria
Conformidad
o Alto:
Capacidad de supervisión regulares
Monitoreo regular de violación
Operación regular de control de registro de las funciones
sensibles
Reunión periódica revisión del registro de
La red y detección de intrusión en el sistema
o Medio:
Violación registros disponibles para su revisión.
Registros de transacciones disponibles para su revisión.
Capacidad de supervisión por petición.
Registros de eventos disponibles para su revisión.
La red y detección de intrusión en el sistema
o Bajo:
La auditoría no está habilitado; revisar el registro no está
disponible.
no hay control
Continuidad de Negocio
o Recuperado
o No recuperado
5. Clasificar la información: Lo que se realizó en el paso anterior se debe aplicar a los
recursos del primer paso. Si las medidas de protección y las clases de información
asociadas no se adaptan a todas las fuentes de información (1er paso) se debe hacer el
siguiente paso.
6. Repetir si es necesario.
8. Normas para la Clasificación de Seguridad de Información Federal y Sistemas
de Información. [NCSIFSI_USA]. [8]
En esta norma se definen tres niveles de impacto potencial en cuanto a la seguridad de la
información de una empresa permitiendo una pérdida en los tres objetivos de la información:
confidencialidad, integridad o disponibilidad. Cada una de las definiciones de los tres
impactos se debe llevar a cabo para cada contexto dentro de una empresa según los intereses
de cada uno.
Impacto potencial Bajo: La pérdida de la confidencialidad, integridad o
disponibilidad tiene efectos adversos limitados en las operaciones de la organización,
los activos de la organización, o individuos.
Impacto potencial Moderado: La pérdida de la confidencialidad, integridad o
disponibilidad tiene efectos adversos serios en las operaciones de la organización, los
activos de la organización, o individuos.
Impacto potencial Alto: La pérdida de la confidencialidad, integridad o
disponibilidad tiene efectos adversos severos o catastróficos en las operaciones de la
organización, los activos de la organización, o individuos.
La clasificación de la información se realiza según los tipos de información que una empresa
maneje.
El formato generalizado para expresar la categoría de seguridad, SC, de un tipo de
información es el siguiente:
SC tipo de información = {(confidencialidad, impacto), (integridad, impacto),
(disponibilidad, impacto)}
donde los valores para el impacto es bajo, moderado, alto o no aplica (NA).
Información Pública
SC de información pública = {(confidencialidad, NA), (integridad, moderado),
(disponibilidad, moderado)}.
Información investigativa
SC información sobre las investigaciones = {(confidencialidad, alto), (integridad,
moderado), (disponibilidad, moderado)}.
Información administrativa
SC = {información administrativa (confidencialidad, bajo), (integridad, bajo),
(disponibilidad, bajo)}.
9. HMG Security Policy Framework. [HMGSPF_UK]. [9]
El gobierno del Reino Unido considera 5 niveles teniendo en cuenta la sensibilidad de la
información:
Top Secreto
Secreto
Confidencial
Restringido
Protegido
10. Queensland Government Information Security Classification Framework.
[QGISCF_AUS]. [10]
EL marco de clasificación para la seguridad de la información del gobierno de Queensland en
Australia tiene en cuenta dos grandes categorías en las que se encuentra la información oficial
del gobierno y son la información que puede ser de uso público y la información que necesita
un control apropiado para proteger su confidencialidad. A continuación está una imagen con
la clasificación de la información que necesita un control especial.
Ilustración 1. Clasificación de la información. [10]
Como se puede observar en la figura para la información oficial no pública se divide en dos
categorías: la no clasificada y de seguridad clasificada. La información que no puede ser
pública pero que no necesita un control especial en cuanto a seguridad se deja en la categoría
no clasificada para tener en cuenta que ya se le realizó una evaluación a esa información.
Para la categoría de seguridad clasificada, de acuerdo con el riego de compromiso necesita un
control adicional y se divide en información de seguridad nacional e información de
seguridad no nacional, cada una de ellas se divide en los siguientes niveles:
Información de seguridad nacional
o Top secreto
o Secreto
o Confidencial
o Restringida
Información de seguridad no nacional
o Altamente protegida
o Protegida y gabinete en confianza
o X en confianza
o Sin clasificar
11. Information Security Classification. [ISC_CAN]. [11]
El gobierno de Alberta, Canadá en la guía de clasificación de seguridad de la información
identificó 4 niveles para esta clasificación, son:
Sin restricción: Información que es poco probable que cause daño. Está disponible
para el público, empleados y contratistas, sub contratistas y agentes que trabajan para
el gobierno.
Protegida: Información sensible para el gobierno y que puede impactar algunos
servicios del mismo. Incluye información personal, financiera. Está disponible para
empleados y para empleados no autorizados que necesiten conocer la información
para propósitos relacionados con los negocios.
Confidencial: Información sensible para el gobierno que puede causar pérdidas
graves de privacidad, ventaja competitiva, perdida de confidencialidad en los
programas del gobierno y puede causar hasta daños en las asociaciones, relaciones y
reputación. Solo está disponible para una función, grupo o rol específico.
Restringida: Información que es extremadamente sensible y puede causar grandes
daños en la integridad y la imagen (pérdida de la vida, riesgos para la seguridad
pública, pérdidas sustanciales financieras, dificultades sociales, y un gran impacto
económico). Está disponible sólo para las personas nombradas o posiciones
específicas.
12. State secrets: China’s legal labyrinth. [SSCLL_CHI]. [12]
La república China en el artículo 9 de la ley de los secretos de estado clasifica la información
dentro de tres categorías según los niveles de daño a la seguridad del estado y los intereses
nacionales:
Top secreto: Si causa daños extremamente serios al publicarse
Altamente secreto: Si causa daños serios al publicare
Secreto: Si causa algún daño al publicarse.
Investigación en empresas.
Digiservices Ltda.
Es una compañía dedicada al procesamiento de datos, control de registros y auditoria de
información, que ha llevado proceso para más de un centenar de clientes de carácter oficial y
privado durante más de diecisiete años de experiencia en el sector. La experiencia adquirida
durante estos años en el manejo de procesamiento de información, nos ha permitido entender
la importancia de realizar procesos integrados, aplicando la gestión idónea y permitiendo
tener una visión más globalizada y orientada al mejoramiento continuo de los procesos,
implementando normatividad estándar de medición de la gestión,. Con el objetivo de
optimizar los recursos, satisfacer a nuestros clientes y brindar el mejor servicio. [13]
Clasificación de la información
Esta información se obtuvo de las personas encargadas del manejo de la información de la
empresa Digiservices.
La clasificación de la información que se maneja tiene en cuenta tres de los atributos de
seguridad (confidencialidad, integridad y disponibilidad) y los niveles se explican a
continuación:
Confidencialidad.
Reservado de la empresa
Reservado empresas outsorcing
Integridad.
Media: Cambios realizados se pueden recuperar. Pérdidas que se pueden
manejar. (Información interna de la empresa)
Alta: Cualquier cambio puede ser perjudicial para la empresa. (Información
de las empresas que los contratan)
Disponibilidad.
Baja: Información que puede estar no disponible máximo un día sin causar
pérdidas.
Media: Información de la empresa que puede estar no disponible hasta
máximo 5 horas en el día sin causar pérdidas
Alta: Información de las empresas las cuales tienen que estar disponible todo
el tiempo para su consulta durante un tiempo determinado según el contrato.
(Un periodo de tiempo no mayor a 5 horas no puede causar pérdidas)
MCI – Misión Carismática Internacional.
Esta información se obtuvo de una entrevista con el director de Sistemas de esta empresa.
Clasificación de la información
En esta empresa se manejan dos tipos de información que son la administrativa y la
ministerial. A continuación se especifica la clasificación de cada uno.
Confidencialidad.
Administrativa.
Alta: Información que solo los cargos más alto tienen acceso. Por
ejemplo informes gerenciales
Media: Información administrativa a la cual se tiene acceso por
roles.
Ministerial
Alta: Información que solo los cargos más alto tienen acceso. Por
ejemplo informes financieros
Media: Información personal de los miembros de la iglesia.
Baja: Información pública.
Integridad.
Administrativa
Alta: Información que si se modifica puede ser tener un efecto grave
dentro de la empresa. Ejemplo: Cuentas contables.
Media: Información que si se modifica puede ser tener un efecto
serio dentro de la empresa. Ejemplo: Información del personal.
Baja: Información que si se modifica no afecta notablemente a la
empresa. Ejemplo: Información de reuniones.
Ministerial
Media: Información que si se modifica puede tener consecuencias
leves.
Baja: Información que si se modifica no es importante.
Disponibilidad.
Administrativa
Alta: La información debe estar disponible todo el tiempo
Media: Puede demorarse hasta máximo 10 horas en tener acceso a la
información
Ministerial
Media: Puede demorarse hasta máximo 5 horas en tener acceso a la
información
Criterios de valoración de los documentos
Para la valoración de los documentos descritos anteriormente se manejará un modelo
reactivo, el tradicional, ya que lo que se busca hacer es un análisis de la información con la
que se cuenta hasta este momento [14].
Cada documento está identificado con un código para facilitar el análisis con cada uno de los
criterios que se va a tener en cuenta para su valoración:
Contenido informativo (Variedad en la información): En el siguiente cuadro se
encuentra un resumen de los niveles de clasificación que se encuentra en cada
documento analizado. Lo que se busca es ver las similitudes y las relaciones que se
tienen entre estos documentos.
Documento/Niv
el 0 1 2 3 4
MPSI_ARG Público Uso interno Confidencia
l Secreto
ACI_COL Público Uso interno Privada Reservada Clasificada
CDLI_COL Público Restringida Confidencia
l
Altamente
confidencia
l
ST-729_COL Público Semi Privada Privada Reservada
C4.1_USA Público
Confidencia
l Secreto
DoDTCSEC_USA No
clasificado
Confidencia
l Secreto
Súper
Secreto
GSEC_USA Público Uso de la
compañía
Propietario
discreto
Función
sensible
Altamente
Sensible
NCSIFSI_USA Público
Información
Administrativ
a
Informació
n
Investigativ
a
HMGSPF_UK Protegido Restringida Confidencia
l Secreto Top Secret
QGISCF_AUS Público Restringida Confidencia
l Secreto Top Secret
ISC_CAN Sin
restricción Protegida
Confidencia
l Reservada
SSCLL_CHI
Secreta Altamente
Secreta Top Secret
Tabla 4. Resumen de diferentes tipos de clasificación de la información.
Críticas de Fuentes.
o Datación. ¿Cuándo se produjo?
o Localización en el espacio. ¿Dónde se produjo?
o Autor. ¿Quién lo produjo?
Documento/Criterio Datación Localización Autor
MPSI_ARG 25/07/2005 República
Argentina Oficina Nacional de Tecnologías de la Información
ACI_COL 01/05/2011 Colombia Departamento de Seguridad Informática-Banco de la
República
CDLI_COL 19/09/2006 Colombia Aeronáutica Civil
ST-729_COL 05/09/2002 Colombia Secretaría General de la Alcaldía Mayor de Bogotá D.C.
C4.1_USA 2007 EE UU IT Governance Institute
DoDTCSEC_USA 26/12/1985 EE UU Departamento de Defensa
GSEC_USA 28/02/2003 EE UU SANS Institute. (Susan Fowler)
NCSIFSI_USA 01/02/2004 EE UU NIST: National Institute of Standards and Technology
HMGSPF_UK 01/05/2011 UK Cabinet Office
QGISCF_AUS 01/10/2010 Australia Queensland Government Chief Information Officer
ISC_CAN 01/02/2005 Canadá Information Management Branch, Government and Program
Support Services Division, Alberta Government Services
SSCLL_CHI 2007 China Human Rights in China
Tabla 5. Datos organizaciones fuentes.
Nivel jerárquico de las administraciones (Organizaciones punteras)
Colombia y Estados Unidos son los países de los cuales se tiene más fuentes de
información por lo cual a continuación se encuentran los niveles jerárquicos para
cada uno de estos países.
País / Nivel
Jerárquico 0 1 2 3
Estados
Unidos
SANS
Institute.
(Susan
Fowler)
IT
Governance
Institute
NIST: National Institute of
Standards and Technology
Departamento de
Defensa
Colombia
Aeronáutica
Civil
Secretaría General de la
Alcaldía Mayor de Bogotá
D.C.
Departamento de
Seguridad Informática-
Banco de la República
Tabla 6. Nivel jerárquico organizaciones.
Los criterios anteriores se tuvieron en cuenta para determinar los niveles de clasificación de
la información que mejor se adapte a las empresas Colombianas, los cuales serán los que se
utilicen en la guía metodológica que se está desarrollando para apoyar a las empresas
MiPyMEs Colombianas en la toma de decisión para la migración a la nube pública.
Ilustración 2. Niveles de Clasificación de la información propuesta.
En la siguiente tabla se especifica cada uno de los niveles teniendo en cuenta los tres
atributos de calidad (Confidencialidad, Integridad y Disponibilidad). Se debe aclara que esto
es un ejemplo de cómo se podría llenar esa información, ya que dentro de cada cuadro
puedan haber diferentes características debido a que esto puede cambiar para cada tipo de
activo de información y de los objetivos del negocios. Por lo tanto cada organización debe
definir cada una de las relaciones (Nivel de clasificación – atributo de calidad) dependiendo
del activo de información y del proceso con el que se relacione dicho activo.
En cuanto a la disponibilidad, no es lo mismo que una información necesaria no esté
disponible por una hora o un día o un mes. Puede que una hora de no disponibilidad sea
• Información que está disponible para cualquier persona interesada Pública
• Información que está disponible para los empleados de la empresa Uso Interno
• Información que sólo estará disponible para personas autorizadas Privada
• Información que debido a su nivel de sensibilidad tendrá un grado más alto en seguridad Reservada / Secreta
• Información de alta importancia que sólo podrá ser accedida por los altos mandos de la empresa
Altamente reservada / Súper Secreta
irrelevante, mientras que un día sin esa información ya podría causar un daño moderado; pero
si no está disponible por un mes ya puede causar problemas más serios. No existe
proporcionalidad entre el tiempo en que no está disponible y las consecuencias.
[MAGERIT_ESP]
Nivel /
Atributos Confidencialidad Integridad Disponibilidad
Pública * N/A * Se puede reparar
fácilmente * N/A
Uso
Interno *Acceso para empleados
* Se puede reparar
dejando algunas pérdidas
* Durante un periodo de
tiempo no menor a una
semana podría causar
pérdidas significativas
Privada
* Solo puede ser accedida por
grupos específicos de usuarios
autorizados por alguna
autoridad dentro de la empresa
* Puede dejar pérdidas
significativas
* Durante un periodo de
tiempo no menor a dos o
tres días podría causar
pérdidas significativas
Reservada * Acceso para personas con
posiciones específicas * Causa grandes daños
* Durante un periodo de
tiempo no menor a un
día podría causar
pérdidas significativas
Altamente
Reservada
* Información de alta
importancia que solo puede ser
accedida por personas que
ejerzan cargos de alto rango
dentro de la empresa
* No se puede reparar
ocasionando grandes
pérdidas
* Durante un periodo de
tiempo no menor a una
hora podría causar
pérdidas significativas
Tabla 7. Ejemplo detalle clasificación de la información
Referencias
[1] Modelo de Política de Seguridad de la Información para Organismos de la
administración Pública Nacional, Versión 1. Julio 2005. Disponible en:
http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf
[2] Departamento de Seguridad Informática, Dirección General de Tecnología. Banco de la
República. Actualización Clasificación Información para Efectos de Aseguramiento de la
Misma. Mayo 2011.
[3] Aeronáutica Civil. Clasificación de la Información (Normas) versión 2.0. 19 septiembre
2006.
[4] Corte Constitucional de Colombia. Sentencia T-729 de 2002 (26 Dic 2008) Disponible
en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=9903
[5] IT Governance Institute. Cobit 4.1. 2007 Disponible en:
http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf
[6] Departamento de defensa de los Estados Unidos. Orange Book. Department Of Defense.
Library N° S225, 711. EEUU. 1985. Disponible en: http://www.doe.gov.
[7] Susan Fowler. Información de la Clasificación – Quién, Por qué y Cómo. 2003. GIAC
Security Essentials Certification (GSEC). SANS Institute.
[8] Normas para la Clasificación de Seguridad de Información Federal y Sistemas de
Información. Febrero 2004. NIST: National Institute of Standards and Technology
[9] Cabinet Office. HMG Security Policy Framework. Mayo 2011.
[10] Queensland Government Chief Information Officer . Queensland Government
information Security Classification Framework. Octubre 2010
[11] Information Management Branch, Government and Program Support Services Division,
Alberta Government Services. Information Security Classification. Febrero 2005.
[12] Human Rights in China. State secrets: China’s legal labyrinth. Human Rights in China.
2007.
[13] Digiservice Limitada. Disponible en: http://www.digiservice.com.co/
[14] MEMORIA - XXI Congreso Archivístico Nacional “Valoración Documental un reto
archivístico en los tiempos actuales”. 2009