Datos que se procesan y transforman en información a través de los sistemas, cuando recopilamos documentos, cuando nos comunicamos; esta actividad es diaria y continua, y el criterio con el cual la administramos no siempre es el mismo.
Habitos_atomicos_ como cambiar de vida tomando decisiones
Clasificación de información... Tips básicos para empezar a ordenarnos
1. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
1
Clasificación de información...
Tips básicos para empezar a ordenarnos
Datos que se procesan y transforman en información a través de los sistemas,
cuando recopilamos documentos, cuando nos comunicamos; esta actividad es diaria
y continua, y el criterio con el cual la administramos no siempre es el mismo.
Todos usamos innumerables tipos de información en sus actividades diarias, la que almacenamos
básicamente en 2 formatos principales:
1. Físico, también conocido como formato ’hardcopy’, por ejemplo:
documentos en papel, incluyendo faxes y copias fotostáticas.
2. Electrónico, también conocido como ‘softcopy’, por ejemplo:
documentos electrónicos en Word, hojas de cálculo en Excel,
presentaciones en PowerPoint, escaneos, etc.
De este modo, la información en ‘hardcopy’ puede ser almacenada en
archivos físicos, carpetas o gabinetes, mientras que la información ‘softcopy’
puede ser almacenada en varios medios electrónicos, incluyendo CD ROM
cintas de audio, memorias USB, discos duros, Asistentes Digitales Personales
(p.e. Blackberries) y otros dispositivos similares.
También la información es comunicada de una persona a otra utilizando diferentes métodos o medios
de transmisión, por ejemplo: oralmente por teléfono o en persona, o por escrito vía fax, correo postal o
correo electrónico.
El uso de tecnología inalámbrica para facilitar la comunicación electrónica y de voz ha aumentado
rápidamente en todo el mundo. Los teléfonos celulares, las redes inalámbricas y los PDAs son ejemplos
de esta tecnología. Es importante destacar que, en el caso de la información 'softcopy', todos los
controles que comentaré en próximos debates, aplican de la misma forma cuando la tecnología
inalámbrica es utilizada por empleados o contratistas de una Organización.
Cuando comuniquen información, siempre consideren el principio fundamental que indica que la
información debe ser compartida únicamente a quienes tengan una necesidad legítima de conocerla. La
información no debe compartirse con quienes no necesiten conocerla (esto hace a nuestra vida
cotidiana también).
Si tienes duda al recibir información particular de personas dentro o fuera de la Organización, siempre
pregúntense: ¿Realmente necesito conocer esta información?
Y antes de compartir información con los demás, dentro o fuera de la Organización: ¿Esta persona
necesita conocer esta información para llevar a cabo sus actividades en la Empresa?
2. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
2
En caso necesario, hagan la misma pregunta a la persona que les haya solicitado compartir la
información. Éstas dos preguntas son el concepto básico de "Conocer y dar a Conocer" que nos ayuda a
abrir una serie de Tips sobre la información, su entorno de procesamiento, riesgos asociados y como
clasificarla, para de esta forma establecer los controles adecuados ya sea que tenga que cumplir con
alguna regulación, norma o estándar implementado en la Organización.
La información se clasifica con base a su valor para la
Organización y para quienes se relacionan con ella,
considerando el daño que podría causarse si se divulga sin
autorización. Los tres niveles de clasificación que aconsejo
utilizar inicialmente y en orden ascendente de sensibilidad son:
• Información Pública
• Información Interna
• Información Confidencial
Los niveles de clasificación reflejan el valor de la información para la Organización y para quienes se
relacionan con ella, y el daño que podría causarse al comprometerse o perderse la confidencialidad o
privacidad de la misma. A continuación se describen algunos ejemplos de información para cada una de
las categorías.
Información Pública
Esta es información que está disponible al público en general o ha sido aprobada para publicación al
público en general, y no afecta a la Organización o a sus socios si es divulgada. Como tal, la información
de ‘Dominio Público’ no es sensible.
Ejemplos de información pública:
1. Folleto de información de productos.
2. Comunicados de prensa autorizados
3. Biografías en un sitio público de Internet, que describen al equipo directivo e incluyen sus
fotografías y trayectorias sin mencionar sus datos personales
Información Interna
Esta clase de información es para uso general de los empleados de la
Organización, contratistas autorizados y socios comerciales. La información de
’USO INTERNO’ es sensible y no debe estar disponible fácilmente al público en
general porque su divulgación podría ser inapropiada e inconveniente.
La combinación de nombres y direcciones de personas generalmente es
considerada como información de ‘Uso Interno’. Esta información está
generalmente disponible, sin embargo algunas personas evitan la publicación
de sus direcciones, por ejemplo en directorios telefónicos; por tal motivo, con
el fin de respetar su privacidad personal, debemos tratar de no divulgar esta
información innecesariamente.
3. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
3
Como tal, la información clasificada de ’Información Interna’, debe ser tratada con cuidado.
Ejemplos de información interna:
1. Información financiera sobre iniciativas de planeación y/o proyectos.
2. Planes de viaje y reuniones que incluyen nombres del cuerpo administrativo, no disponibles al
público. No se proporcionan más detalles personales sobre el personal.
3. Álbum de fotos on-line del personal conteniendo nombres, departamentos y fotografías.
4. Información disociada de clientes
Información Confidencial
Es información que no es conocida públicamente y que otorga a la
Organización una ventaja competitiva. La información
'CONFIDENCIAL’ es información muy sensible que si es divulgada,
tendría un IMPACTO SIGNIFICATIVO en la Organización. Como tal,
la información clasificada como 'CONFIDENCIAL', dentro o fuera de
la empresa, a menos que el receptor ‘necesite conocer’ dicha
información y se tomen las medidas necesarias para protegerla y
para evitar que se comparta sin autorización. Debe evitarse la divulgación no autorizada de esta
información y protegerla apropiadamente. Esta clasificación sólo debe utilizarse en circunstancias
limitadas.
Ejemplos de información confidencial:
1. Información sobre precios y márgenes de ganancia de productos
2. Resultados preliminares de estudios médicos laborales
3. Listas de clientes
4. Datos claves de Negocio
5. Planes estratégicos a nivel corporativo
¿QUIÉN DECIDE LA CLASIFICACIÓN CORRECTA?
1. Los Dueños de Datos son responsables de garantizar que dicha información sea clasificada
correctamente en una de las 3 categorías.
2. Los ‘Autores’ o ‘Creadores’ de la información generalmente determinarán la categoría apropiada
consultando al personal de Seguridad de la Información, según sea necesario.
3. Los Dueños y Autores deben considerar el impacto y probabilidad de divulgación al clasificar la
información. El 'Impacto' es evaluado en términos de pérdida o ganancia
potencial, riesgo de daño a personas, daño a la reputación de la
Organización y a la participación de mercado, entre otros factores.
4. La ‘Probabilidad’ del daño es evaluada en colaboración con el personal de
Seguridad de la Información y otros sectores según se requiera.
5. Las clasificaciones establecidas por los Dueños y Autores de la Información
deben ser revisadas sólo con la aprobación del Dueño/Autor.
6. Para agregar información a un documento o colección nueva, se requiere
que quien la agrega, evalúe su sensibilidad y garantice su clasificación correcta.
4. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
4
Los Dueños de Datos son personas de alta gerencia que son responsables, entre otras cosas, de los
niveles de clasificación asignados a la información de la Organización. Aunque los Dueños de la
Información son responsables de la correcta clasificación, dicha responsabilidad muchas veces será
delegada a los Autores que crean la información. En muchos casos, los Autores entienden mejor el
contenido de la información y están en mejor posición de clasificarla correctamente.
Los Autores pueden generar o crear información ‘desde cero’ o pueden
recopilar información a partir de fuentes existentes. La información
recibida de otra fuente, ya sea un empleado o un tercero, debe haber sido
clasificada previamente. Tomar dicha información y combinarla con otra
información de una segunda fuente, ya sea en forma verbal o escrita, crea
efectivamente información ‘nueva’ que debe ser clasificada.
Por ejemplo, el Material A podría contener información
personal y ser clasificado como información de ‘Uso
Interno’.
El Material B podría contener información sensible
utilizada para algún proceso específico (por ejemplo,
información relativa a la salud, religión) y ser clasificado
también como información de ‘Uso Interno’. Cuando
creamos materiales nuevos que contienen información de ambas fuentes, dicha información se podría
clasificar como ‘Confidencial’.
Es importante entender que si creamos una carpeta para que la vean los demás, en papel o electrónica,
que contenga tanto el Material A como el Material B, entonces habremos creado una fuente de
información combinada. Como la persona que agrega esta información, más que como el ‘Autor’,
necesitarás confirmar que la carpeta resultante esté marcada apropiadamente.
En términos generales, los pasos involucrados en la clasificación son:
a. Evaluar el posible impacto en caso de que la información de documentos o archivos electrónicos
sea divulgada. Los Dueños y Autores deben considerar el nivel de impacto, el daño potencial a los
Clientes y a la reputación de la Organización.
b.Evaluar la probabilidad de divulgación de la información de documentos o archivos electrónicos.
c. Asignar la clasificación correcta según el contenido y sensibilidad de la información.
d.Implementar las medidas de seguridad apropiadas para el almacenamiento, distribución y
desecho del documento y/o archivo electrónico, y proporcionar instrucciones adecuadas a los
usuarios o receptores que deseen comunicar la información.
“Los distintos tipos de información
cubren un amplio rango de procesos de
negocio y según su tratamiento, por lo
que su sensibilidad puede variar
significativamente e impactar
negativamente en el negocio.”
5. Seguridad de la Información – Auditoría de Sistemas
Tel.(05411)153328-6859fabiandescalzo@yahoo.com.ar
5
Dos últimas consideraciones:
• Siempre debe verificarse la sensibilidad de la información que se maneja y debe considerarse
qué se necesita para protegerla.
• Aunque los Dueños / delegados nominados son responsables de determinar y aplicar la
clasificación correcta, cada persona que maneja Información, incluyendo empleados y
contratistas, son responsables de garantizar que cualquier información sensible sea manejada de
forma correcta y apropiada.
Fabián Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems
Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., Director Certificado en Seguridad de
la Información (CAECE), certificado ITIL v3-2011 (EXIN) y auditor ISO 20000 (LSQA-LATU).
Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de
información, Gobierno de TI/SI y Continuidad de la Institución de Salud. Actualmente es responsable de servicios y soluciones
en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento de la Institución de Salud
CYBSEC S.A. desde 1996 se dedica exclusivamente a prestar servicios profesionales especializados en Seguridad de la
Información. Su área de servicios cubre América y Europa y más de 400 clientes acreditan la trayectoria empresaria. Para más
información: www.cybsec.com