Tuesday, January 31, 2006

Clasificación de la Información

Uno de los procesos más importantes dentro de la estructura de seguridad de la información, es el de la clasificación de la información, asociado a la valoración de riesgo de activos y la aplicación de controles para proteger de acuerdo a los niveles de confidencialidad, integridad y disponibilidad necesarios para cada tipo de información.

Es necesario evaluar los siguientes criterios para llevar a cabo dicho proceso:

  • No toda la información tiene el mismo valor para la compañía.
  • Información como marcas, formulas, secretos de mercado, estrategias, etc. tienen un valor demasiado alto para la compañía, su publicación, modificación o perdida puede causar problemas de mercado, deterioro de su imagen o pérdida de credibilidad.
  • La información cambia de valor en el tiempo.
  • Los controles aplicados para garantizar disponibilidad, confidencialidad e integridad, pueden ser diferentes de acuerdo al nivel de clasificación de la información.

Esquemas de Clasificación

Existen diferentes modelos de clasificación de información, los primeros fueron desarrollados para clasificar la información que maneja el Estado de cada uno de los países. La Comunidad Europea recientemente desarrollo su modelo de clasificación de la información para el tratamiento de la información referente a cada uno de sus miembros.

La siguiente tabla muestra un esquema de clasificación muy utilizado por el sector privado y comercial.

Criterios de Clasificación

Es importante definir criterios de clasificación, a continuación se definirán el valor, la edad, vida útil y asociación con el personal.

Valor: El valor es el criterio más utilizado para clasificar la información en el sector privado. Si la información es importante para la organización o sus competidores, debe ser clasificada.

Edad: La clasificación de la información deberá disminuir si el valor se decrementa con el tiempo. En el departamento de defensa de EE.UU., algunos documentos clasificados son automáticamente desclasificados después de un periodo de tiempo.

Vida Útil: Si la información se vuelve obsoleta debido a una nueva información, cambios sustanciales de la compañía, u otras razones, la información debe ser desclasificada.

Asociación Personal: Si la información esta asociada al personal o asociada a alguna ley privada, debe ser clasificada. Por ejemplo, información de investigación que revela los nombres de los que informaron, debe ser clasificada.

Roles y Responsabilidades

Se deben identificar los roles y responsabilidades para todos los participantes del programa de clasificación. Dentro de la clasificación y seguridad de la información múltiples oficiales, y cargos están envueltos para llevar a cabo estos procesos. Dentro de estos se encuentran:

  • La alta gerencia.

  • Administradores de programas.

  • Dueños de las aplicaciones.

  • Proveedores de tecnología.

  • Organizaciones de Soporte.

  • Usuarios.


Siempre la alta gerencia tienen la responsabilidad final para proteger y preservar el capital de la organización y su modelo de negocio a través de un programa de seguridad.

A continuación se definen los roles más importantes asociados al proceso.

Dueño de la Información

El dueño debe ser un ejecutivo o gerente de la organización. Esta persona debe ser responsable por los activos de información que deben ser protegidos. Es una persona diferente al custodio. Tiene la responsabilidad final de la protección de los datos y puede ser acusado de negligencia debido a la falla en la protección de la información. Las funciones diarias de protección de la información son responsabilidades del custodio.

Las siguientes son responsabilidades del Dueño de la Información:

  • Tomar la primera decisión del nivel de clasificación de la información.

  • Realizar revisiones periódicas de la clasificación y realizar los cambios pertinentes de acuerdo a las necesidades del negocio.

  • Delegar la responsabilidad de las tareas de protección de la información al custodio.


El dueño de la información procesada, guardada o transmitida por un sistema puede o no puede ser el Responsable del Sistema. Además un único sistema puede utilizar información de diferentes dueños.

Custodio de la Información

El dueño delega la responsabilidad de proteger la información al custodio. Casi siempre dichas labores son realizadas por el personal de TI. Las tareas del custodio son:

    Realizar frecuentemente los backups, y realizar las pruebas de validez de la información guardada.
    Realizar la restauración de la información guardada cuando sea necesario.
    Mantener e implementar los controles necesarios de acuerdo a la política y a las definiciones del esquema de clasificación.


Usuarios

En el esquema de clasificación de la información el usuario es considerado cualquier persona que utilice la información rutinariamente como parte de su trabajo. Los siguientes son puntos a tener en cuenta con los usuarios.

    Los usuarios deben ejecutar los procedimientos operacionales definidos por la política de seguridad.
    Los usuarios deben garantizar la preservación de la información al realizar sus labores, dentro y fuera de la organización.
    Los usuarios deben utilizar los recursos exclusivamente para los propósitos de la organización.


Procedimiento para Clasificar la Información

A continuación se enumeran las actividades a realizar para llevar a cabo el procedimiento de clasificación de información.

    Identificar el administrador y el custodio de la información.

    Especificar el criterio para clasificar y para etiquetar la información.

    El dueño clasifica la información, proceso que será revisado por un supervisor.

    Especificar y documentar cualquier excepción en la política de clasificación.

    Especificar los controles que serán aplicados en cada nivel de clasificación.
    Especificar los procedimientos de terminación para desclasificar la información o para transferir la custodia de la información a otra entidad.
    Crear un programa de concientización acerca de los controles de clasificación.

posted by Javier Diaz @ 5:46 PM

0 Comments:

Post a Comment

<< Home