Este documento trata sobre la clasificación de la información para la gestión de riesgos. Explica que clasificar la información según su importancia permite asignar los controles de seguridad adecuados. Identifica tres niveles de clasificación: pública, restringida y confidencial/altamente confidencial. También analiza dos casos sobre el robo de información confidencial y la importancia de clasificarla correctamente.
2. INTRODUCCIÓN El uso de la tecnología, que en la actualidad es casi ya natural, propicia a crear nuevas formas de intercambiar y almacenar la información, y por ende a nuevas formas de Clasificar la Información.
3. DEFINICIÓN La Clasificación de la Información es el criterio base que guía la aplicación de controles de seguridad de esa información, teniendo que aplicar mayores controles cuanto mayor sea la necesidad de seguridad.
4. OBJETIVO GENERAL Y ESPECÍFICO El objetivo de la Clasificación de la Información es asegurar un nivel de protección adecuado a los activos de información. Sensible: Es aquella información que apoya las operaciones clave del negocio Crítica: Es aquella información que es indispensable, con el objetivo de mantener y garantizar: Integridad Disponibilidad Confidencialidad INFORMACIÓN
5.
6.
7. ¿CÓMO CLASIFICAR LA INFORMACIÓN? NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN PÚBLICA Podrá ser utilizada por todos los empleados directos, temporales, contratistas y/o terceros. RESTRINGIDA Solo podrá ser accedida por grupos específicos de usuarios que requieren del conocimiento de esta información para estricto cumplimiento de sus funciones CONFIDENCIAL Es información crítica y solamente podrá ser conocida al interior de la Entidad ya que el conocimiento externo de la misma podrá ocasionar efectos negativos sobre la Entidad. ALTAMENTE CONFIDENCIAL Es información de alta importancia para la empresa que solo puede ser accedida por quienes ejerzan las funciones de: Director General, Subdirector General, Secretario de Sistemas Operacionales, , Secretario General y Secretario de Seguridad Aérea, Directores de Área, Jefes de Grupo y Jefes de Oficina. El mal uso de la misma puede ir en detrimento de los intereses de la organización.
8. ELEMENTOS DE LA INFORMACIÓN CLASIFICACIÓN DE LA INFORMACIÓN Datos e Información : son los datos e informaciones en si mismo Sistemas e Infraestructura : son los componentes donde se mantienen o guardan los datos e informaciones Personal : son todos los individuos que manejan o tienen acceso a los datos e informaciones y son los activos más difíciles de proteger, porque son móviles, pueden cambiar su afiliación y son impredecibles
9. MARCO LEGAL NTP-ISO 17799:2007 La presente norma en su guía de buenas practicas aconseja clasificar los activos de información basándose en la importancia que tenga como activo, su valor dentro del negocio y su clasificación de seguridad. Así como nos recomienda determinar la propiedad de los activos de la información para delegar responsabilidades y de este modo garantizar las protección de la misma.
10. CASO 1 SYMANTEC OFRECE SOLUCIÓN UNIFICADA PARA GESTIONAR LOS RIESGOS DE LA INFORMACIÓN Incorpora la tecnología de IMlogic , para asegurar y clasificar correos electrónicos, mensajería instantánea y tráfico Web. Conjunto de productos integrados para la Gestión del Riesgo de la Información. Permite clasificar, auditar o localizar la información entrante o saliente en la organización, utilizando para ello un proceso validado que garantiza la máxima protección de los datos.
11. CASO 2 DESTACA CASO DUPONT POR ROBO DE INFORMACIÓN INDUSTRIAL Gary Min, también conocido como Youggang Min, es un químico experto que trabajaba para DuPont durante 10 años. Ahora se enfrenta a una década en prisión, además de ser multado con cerca de 250,000 dólares. después de que se le encontrara culpable por el robo de secretos comerciales el pasado mes de Noviembre del 2007. Min, de 43 años fue acusado de haber robado aproximadamente 400 millones de dólares en información de la empresa DuPont, intentando con ella filtrarla a otras empresas. Después de un corto dialogo, con dicha empresa, Min, reportó una descarga aproximada de 22,000 documentos de la biblioteca de DuPont, además de haber accesado en alrededor de 16,700 documentos.