You are on page 1of 33

Clasificación de la Información

Tipos de Clasificación

En este documento se describen los diferentes tipos de


clasificación de la información en las empresas

Johana Sosa
27/01/2012
Contenido
Tipos de clasificación ....................................................................................................... 4
1. Modelo de Política de Seguridad de la Información para Organismos de la
Administración Pública Nacional. [MPSI_ARG] .......................................................... 4
2. Actualización Clasificación Información para Efectos de Aseguramiento de la
Misma. Banco de la República. [ACI_COL][2]............................................................. 5
3. Niveles de Clasificación de Información – UAEAC (Unidad Administrativa
Especial Aeronáutica Civil) [CDLI_COL] [3] ............................................................... 6
4. Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4] ......... 9
5. CobiT4.1 [C4.1_USA]. [5] .................................................................................. 10
6. TCSEC Orange Book. [DoDTCSEC_USA]. [6] .................................................. 11
7. GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7] .................... 15
8. Normas para la Clasificación de Seguridad de Información Federal y Sistemas de
Información. [NCSIFSI_USA]. [8] ............................................................................. 19
9. HMG Security Policy Framework. [HMGSPF_UK]. [9] ...................................... 20
10. Queensland Government Information Security Classification Framework.
[QGISCF_AUS]. [10]................................................................................................. 21
11. Information Security Classification. [ISC_CAN]. [11] .................................... 22
12. State secrets: China’s legal labyrinth. [SSCLL_CHI]. [12] .............................. 22
Investigación en empresas. ............................................................................................. 24
Digiservices Ltda........................................................................................................ 24
MCI – Misión Carismática Internacional. ................................................................... 25
Criterios de valoración de los documentos ...................................................................... 26
Referencias .................................................................................................................... 31
Ilustraciones
ILUSTRACIÓN 1. CLASIFICACIÓN DE LA INFORMACIÓN. [10]................................................................ 21
ILUSTRACIÓN 2. NIVELES DE CLASIFICACIÓN DE LA INFORMACIÓN PROPUESTA. ................................. 29
Tablas
TABLA 1. CLASIFICACIÓN DE LA INFORMACIÓN. [2] ............................................................................. 6
TABLA 2. MATRIZ DE ANÁLISIS DE RIESGOS VS CRITERIOS. ................................................................. 8
TABLA 3. SENSIBILIDAD VS. CONFIDENCIALIDAD ............................................................................... 17
TABLA 4. RESUMEN DE DIFERENTES TIPOS DE CLASIFICACIÓN DE LA INFORMACIÓN. ........................... 27
TABLA 5. DATOS ORGANIZACIONES FUENTES..................................................................................... 28
TABLA 6. NIVEL JERÁRQUICO ORGANIZACIONES. ............................................................................... 28
TABLA 8. EJEMPLO DETALLE CLASIFICACIÓN DE LA INFORMACIÓN ..................................................... 30
Tipos de clasificación

1. Modelo de Política de Seguridad de la Información para Organismos de la


Administración Pública Nacional. [MPSI_ARG]
El siguiente modelo de clasificación fue realizado por la oficina nacional de tecnologías de
información de la república de Argentina [1]

Los Propietarios de la Información son responsables de clasificarla de acuerdo con el grado


de sensibilidad y criticidad de la misma, de documentar y mantener actualizada la
clasificación efectuada, y de definir qué usuarios deberán tener permisos de acceso a la
información de acuerdo a sus funciones y competencia.

Los usuarios de la información y de los sistemas utilizados para su procesamiento son


responsables de conocer, dar a conocer, cumplir y hacer cumplir la Política de Seguridad de
la Información vigente

Objetivos

 Garantizar que los activos de información reciban un apropiado nivel de protección.


 Clasificar la información para señalar su sensibilidad y criticidad.
 Definir niveles de protección y medidas de tratamiento especial acordes a su
clasificación.

Clasificación

Cada una tiene 4 niveles de clasificación (0 – 3) siendo 3 el nivel más sensible y 0 el menos
sensible. Según lo que cumpla el activo de información el propietario definirá su criticidad
(baja, media o alta)

1. Confidencialidad:
 Público
 reservado (uso interno)
 reservado (confidencial)
 reservado (secreto)
2. Integridad: Debido a modificaciones no autorizadas en la información
 Se puede reparar fácilmente
 Se puede reparar aunque puede dejar algunas pérdidas
 Es difícil su reparación y puede dejar pérdidas significativas
 No puede repararse ocasionando pérdidas grandes
3. Disponibilidad: La inaccesibilidad a la información
 no afecta
 durante un periodo de tiempo no menor a una semana podría causar pérdidas
significativas
 durante un periodo de tiempo no menor a un día podría causar pérdidas
significativas
 durante un periodo de tiempo no menor a una hora podría causar pérdidas
significativas

Una vez asignado un valor por cada una de las categorías anteriores se clasifican según estos
criterios, mencionados anteriormente:

 Criticidad baja: Valores de clasificación son menores o iguales a 1


 Criticidad media: Algún valor de clasificación es 2
 Criticidad Alta: Algún valor de clasificación es 3

2. Actualización Clasificación Información para Efectos de Aseguramiento de la


Misma. Banco de la República. [ACI_COL][2]
La clasificación de la información creada por el departamento de Seguridad Informática para
efectos de aseguramiento de la misma, actualizada en mayo del 2011 cuenta con cinco
niveles que son: Información clasificada, información reservada, información privada,
información de uso interno e información pública.

Los atributos que se tienen en cuenta para la clasificación de la información son los
siguientes: Confidencialidad, Integridad, Disponibilidad, Autenticación, Control Acceso, No
repudiación y Observancia.
A continuación se encuentra la tabla con la propuesta de clasificación de la Información
teniendo en cuenta la relación entre los atributos que buscan mantener en la información y
sus niveles.

Clasificada Reservada Privada De Uso Pública


Interno
Confidencialidad X X X

Integridad X X X

Disponibilidad X X X

Autenticación X X X X

Control Acceso X X X X

No repudiación X X* (Opcional)

Observancia X X X

Tabla 1. Clasificación de la información. [2]

3. Niveles de Clasificación de Información – UAEAC (Unidad Administrativa


Especial Aeronáutica Civil) [CDLI_COL] [3]
Toda información registrada en los Sistemas de Información de la UAEAC debe ser
clasificada, con el objetivo de determinar controles específicos para la protección de la
misma. Para esto se cuenta con la Norma No.03 - Clasificación de Información del Modelo
de Seguridad Informática.

La información de la UAEAC será clasificada como:

 Altamente Confidencial (AC): Es información de alta importancia para la


UAEAC que solo puede ser accedida por quienes ejerzan las funciones de: Director
General, Subdirector General, Secretario de Sistemas Operacionales, , Secretario
General y Secretario de Seguridad Aérea, Directores de Área, Jefes de Grupo y Jefes
de Oficina. El mal uso de la misma puede ir en detrimento de los intereses de la
UAEAC.
 Confidencial (C): Es información crítica y solamente podrá ser conocida al interior
de la Entidad ya que el conocimiento externo de la misma podrá ocasionar
efectos negativos sobre la Entidad.
 Restringida (R): Solo podrá ser accedida por grupos específicos de usuarios que
requieren del conocimiento de esta información para estricto cumplimiento de sus
funciones
 Pública (P): Podrá ser utilizada por todos los empleados directos de la UAEAC y
por empleados temporales, contratistas y/o terceros a la UAEAC

Los parámetros que se deben tener en cuenta para esta clasificación son:

 Costo de reemplazo o reconstrucción


 Interrupción del negocio
 Pérdida de clientes
 Violación de la propiedad
 Requerimientos Legales
 Pérdidas económicas

Los beneficios de clasificar la información son:

o Identificar Qué información es sensible y vital para la UAEAC.


o Identificar Quiénes son los propietarios de la información y los responsables de la
asignación de los permisos de acceso a la misma.
o Definir niveles apropiados de protección de la información y segregación de
acceso a la misma.
o Controlar Qué usuarios tienen acceso a la información.

Riesgos de no clasificar la información:

 Asignación de niveles y/o permisos de acceso a la información errada


 Pérdida de Información por acciones de usuarios malintencionadas.
 Modificación de la información sin previa autorización.
 Uso de la información por parte de usuarios con fines personales.
Los siguientes son criterios de evaluación:

 Confidencialidad/Privacidad: Se refiere a que la información solo puede ser


conocida por usuarios autorizados.
o Reflexión: Qué sucedería si la información de Empresas, Historias
Clínicas, Hojas de Vida, Licencias del Personal Aeronáutico es cedida a
terceros?.
 Integridad: Se refiere a que la información solo puede ser variada (modificada
o borrada) por usuarios autorizados.
o Reflexión: Qué sucedería si alguien no autorizado realiza variaciones en
la información de presupuesto, información de planes de Vuelo,
Itinerarios?

CONFIDENCIALIDAD INTEGRIDAD
Fuga de información por accesos Datos inexactos, incompletos o
y/o revelaciones de información no modificados sin autorización,
ALTO autorizada afectaría seriamente las causaría fallas en la operación,
operaciones del negocio, generando pérdidas económicas, pérdida en la
alta pérdida monetaria y/o de productividad, pérdida de imagen
imagen ante el cliente.
Fuga de información por accesos Datos inexactos, incompletos o
y/o revelaciones de información no modificados sin autorización, no
MEDIO afectaría seriamente las operaciones impactaran seriamente la operación
del negocio y no dan lugar a alta del negocio o pérdida de imagen;
pérdida monetaria. daría lugar a soluciones prontas.
El uso y/o revelación de Contar con alternativas de
BAJO información por usuarios no información permitiría hacer
autorizados no afecta la operación posible la continuidad de la
del negocio. operación del negocio.
Tabla 2. Matriz de Análisis de Riesgos vs Criterios.
4. Ministerio de Comunicaciones. República de Colombia [ST-729_COL]. [4]
Última entrega de instrumentos normativos proyectados-modelo de seguridad de la
información para la estrategia de gobierno en línea.

Para determinar los niveles de clasificación se tuvieron en cuenta los siguientes principios:
 Principio de Libertad: Entendido como aquel postulado que permite la exclusión,
valida, de una base de datos.
 Principio de Finalidad: La información contenida en una base de datos solo puede
ser concebida para un fin específico.
 Principio de Integridad: La información debe ser inalterada en el proceso
comunicativo.
 Principio de Necesidad: La información contenida debe ser funcional.

Lo primero que se tiene en cuenta para la clasificación de la información es separarla entre la


información impersonal y la información personal. A su vez, en esta última es importante
diferenciar igualmente la información personal contenida en bases de datos
computarizadas o no y la información personal contenida en otros medios, como videos
o fotografías, etc.
Los segundo ya es clasificar la información desde un punto de vista cualitativo en función
de su publicidad y la posibilidad legal de obtener acceso a la misma. Teniendo en cuenta
lo anterior se divide en cuatro grandes tipos: la información pública o de dominio público,
la información semi-privada, la información privada y la información reservada o secreta.
 Información pública, calificada como tal según los mandatos de la ley o de la
Constitución, puede ser obtenida y ofrecida sin reserva alguna y sin importar si la
misma sea información general, privada o personal. Por vía de ejemplo, pueden
contarse los actos normativos de carácter general, los documentos públicos en
los términos del artículo 74 de la Constitución, y las providencias judiciales
debidamente ejecutoriadas; igualmente eran públicos, los datos sobre el estado
civil de las personas o sobre la conformación de la familia. Información que
puede solicitarse por cualquier persona de manera directa y sin el deber de satisfacer
requisito alguno.
 La información semi-privada, será aquella que por versar sobre información
personal o impersonal y no estar comprendida por la regla general anterior,
presenta para su acceso y conocimiento un grado mínimo de limitación, de tal
forma que la misma sólo puede ser obtenida y ofrecida por orden de autoridad
administrativa en el cumplimiento de sus funciones o en el marco de los principios
de la administración de datos personales. Es el caso de los datos relativos a las
relaciones con las entidades de la seguridad social o de los datos relativos al
comportamiento financiero de las personas.

 La información privada, será aquella que por versar sobre información personal o no,
y que por encontrarse en un ámbito privado, sólo puede ser obtenida y ofrecida
por orden de autoridad judicial en el cumplimiento de sus funciones. Es el
caso de los libros de los comerciantes, de los documentos privados, de las
historias clínicas o de la información extraída a partir de la inspección del
domicilio.

 Información reservada, que por versar igualmente sobre información personal y


sobre todo por su estrecha relación con los derechos fundamentales del titular -
dignidad, intimidad y libertad- se encuentra reservada a su órbita exclusiva y no
puede siquiera ser obtenida ni ofrecida por autoridad judicial en el cumplimiento
de sus funciones. Cabría mencionar aquí la información genética, y los llamados
"datos sensibles" o relacionados con la ideología, la inclinación sexual, los
hábitos de la persona, etc”.

5. CobiT4.1 [C4.1_USA]. [5]


Dentro del marco de trabajo de COBIT se maneja la parte de Planear y Organizar, donde el
segundo paso de esto es definir la arquitectura de la Información. Para lo cual tienen en
cuenta las siguientes características:

 Modelo Arquitectura de Información Empresarial: Establecer y mantener un modelo


de información empresarial que facilite el desarrollo de aplicaciones y las actividades
de soporte a la toma de decisiones, consistente con los planes de TI. El modelo debe
facilitar la creación, uso y el compartir en forma óptima la información por parte del
negocio de tal manera que se mantenga su integridad, sea flexible, funcional,
rentable, oportuna, segura y tolerante a fallos
 Diccionario corporativo de datos y Reglas de sintaxis de los datos de la organización:
Facilita compartir elementos de datos entre las aplicaciones y los sistemas, fomenta
un entendimiento común de datos entre los usuarios de TI y del negocio, y previene
la creación de elementos de datos incompatibles
 Esquema de clasificación de datos y los niveles de seguridad: Basados en que tan
crítica y sensible es la información se establece un esquema de clasificación que
aplique a toda la empresa (pública, confidencial y secreta). Para este esquema se debe
incluir la siguiente información pertinente:
o Detalles acerca de la propiedad de datos
o Definición de niveles apropiados de seguridad y de controles de protección
o Descripción de los requerimientos de retención y destrucción de datos,
incluyendo información de que tan críticos y sensibles son.

Se usa como base para aplicar controles como el control de acceso, archivo o cifrado.
Este proceso mejora la calidad de la toma de decisiones gerenciales asegurándose que
se proporciona información confiable y segura, y permite racionalizar los recursos de
los sistemas de información para igualarse con las estrategias del negocio. Este
proceso de TI también es necesario para incrementar la responsabilidad sobre la
integridad y seguridad de los datos y para mejorar la efectividad y control de la
información compartida a lo largo de las aplicaciones y de las entidades.

 Administración de Integridad: Definir e Implementar procedimientos para garantizar


la integridad y consistencia de todos los datos almacenados en formato electrónico,
tales como bases de datos, almacenes de datos y archivos

6. TCSEC Orange Book. [DoDTCSEC_USA]. [6]

Los niveles de este estándar han sido la base de desarrollo de estándares europeos
(ITSEC/ITSEM) y luego internacionales (ISO/IEC).
La clasificación de los datos está basada en la necesidad de su confidencialidad. Los
siguientes son niveles globales basados en el potencial del daño si son comprometidos:

 Súper Secreto
 Secreto
 Confidencial
 No clasificado:
o Sensible pero no clasificada.
o Solo para uso oficial.

Cabe aclarar que cada nivel requiere todos los niveles definidos anteriormente: así el
subnivel B2 abarca los subniveles B1, C2, C1 y el D.

 Nivel D: Protección Mínima

Este nivel contiene sólo una división y está reservada para sistemas que han sido
evaluados y no cumplen con ninguna especificación de seguridad.
Sin sistemas no confiables, no hay protección para el hardware, el sistema operativo
es inestable y no hay autentificación con respecto a los usuarios y sus derechos en el
acceso a la información. Los sistemas operativos que responden a este nivel son MS-
DOS y System 7.0 de Macintosh.

 Nivel C1: Protección Discrecional

Se requiere identificación de usuarios que permite el acceso a distinta información.


Cada usuario puede manejar su información privada y se hace la distinción entre los
usuarios y el administrador del sistema, quien tiene control total de acceso.
Muchas de las tareas cotidianas de administración del sistema sólo pueden ser
realizadas por este "súper usuario" quien tiene gran responsabilidad en la seguridad
del mismo. Con la actual descentralización de los sistemas de cómputos, no es raro
que en una organización encontremos dos o tres personas cumpliendo este rol. Esto
es un problema, pues no hay forma de distinguir entre los cambios que hizo cada
usuario.
A continuación se enumeran los requerimientos mínimos que debe cumplir la clase
C1:
o Acceso de control discrecional: distinción entre usuarios y recursos. Se
podrán definir grupos de usuarios (con los mismos privilegios) y grupos de
objetos (archivos, directorios, disco) sobre los cuales podrán actuar usuarios
o grupos de ellos.
o Identificación y Autentificación: se requiere que un usuario se identifique
antes de comenzar a ejecutar acciones sobre el sistema. El dato de un usuario
no podrá ser accedido por un usuario sin autorización o identificación.
 Nivel C2: Protección de Acceso Controlado

Este subnivel fue diseñado para solucionar las debilidades del C1. Cuenta con
características adicionales que crean un ambiente de acceso controlado. Se debe
llevar una auditoria de accesos e intentos fallidos de acceso a objetos.

o Tiene la capacidad de restringir aún más el que los usuarios ejecuten ciertos
comandos o tengan acceso a ciertos archivos, permitir o denegar datos a
usuarios en concreto, con base no sólo en los permisos, sino también en los
niveles de autorización.
o Requiere que se audite el sistema. Esta auditoría es utilizada para llevar
registros de todas las acciones relacionadas con la seguridad, como las
actividades efectuadas por el administrador del sistema y sus usuarios.
o La auditoría requiere de autenticación adicional para estar seguros de que la
persona que ejecuta el comando es quien dice ser. Su mayor desventaja
reside en los recursos adicionales requeridos por el procesador y el
subsistema de discos.
o Los usuarios de un sistema C2 tienen la autorización para realizar algunas
tareas de administración del sistema sin necesidad de ser administradores.
o Permite llevar mejor cuenta de las tareas relacionadas con la administración
del sistema, ya que es cada usuario quien ejecuta el trabajo y no el
administrador del sistema.
 Nivel B1: Seguridad Etiquetada

Este subnivel, es el primero de los tres con que cuenta el nivel B.


o Soporta seguridad multinivel, como la secreta y ultra secreta. Se establece
que el dueño del archivo no puede modificar los permisos de un objeto que
está bajo control de acceso obligatorio.
o A cada objeto del sistema (usuario, dato, etc.) se le asigna una etiqueta, con
un nivel de seguridad jerárquico (alto secreto, secreto, reservado, etc.) y con
unas categorías (contabilidad, nóminas, ventas, etc.).
o Cada usuario que accede a un objeto debe poseer un permiso expreso para
hacerlo y viceversa. Es decir que cada usuario tiene sus objetos asociados.
o Se establecen controles para limitar la propagación de derecho de accesos a
los distintos objetos.
 Nivel B2: Protección Estructurada
o Requiere que se etiquete cada objeto de nivel superior por ser padre de un
objeto inferior.
o La Protección Estructurada es la primera que empieza a referirse al problema
de un objeto a un nivel más elevado de seguridad en comunicación con otro
objeto a un nivel inferior. De esta forma un disco rígido será etiquetado por
almacenar archivos que son accedidos por distintos usuarios.
o El sistema es capaz de alertar a los usuarios si sus condiciones de
accesibilidad y seguridad son modificadas; y el administrador es el
encargado de fijar los canales de almacenamiento y ancho de banda a utilizar
por los demás usuarios.
 Nivel B3: Dominios de Seguridad
o Refuerza a los dominios con la instalación de hardware: por ejemplo el
hardware de administración de memoria se usa para proteger el dominio de
seguridad de acceso no autorizado a la modificación de objetos de diferentes
dominios de seguridad.
o Existe un monitor de referencia que recibe las peticiones de acceso de cada
usuario y las permite o las deniega según las políticas de acceso que se hayan
definido.
o Todas las estructuras de seguridad deben ser lo suficientemente pequeñas
como para permitir análisis y testeos ante posibles violaciones.
o Este nivel requiere que la terminal del usuario se conecte al sistema por
medio de una conexión segura.
o Cada usuario tiene asignado los lugares y objetos a los que puede acceder.
 Nivel A: Protección Verificada

Es el nivel más elevado, incluye un proceso de diseño, control y verificación,


mediante métodos formales (matemáticos) para asegurar todos los procesos que
realiza un usuario sobre el sistema. Para llegar a este nivel de seguridad, todos los
componentes de los niveles inferiores deben incluirse. El diseño requiere ser
verificado de forma matemática y también se deben realizar análisis de canales
encubiertos y de distribución confiable. El software y el hardware son protegidos
para evitar infiltraciones ante traslados o movimientos del equipamiento.

7. GIAC Security Essentials Certification (GSEC). [GSEC_USA]. [7]


Clasificar la información es un proceso en curso e iterativo. Un sistema de clasificación de la
información ayuda a asegurar aquellas decisiones que satisfacen a toda la compañía y no solo
a la protección de información individual

Antes de que la clasificación de la información pueda ser clasificada se tienen en cuenta unos
pasos claves que se especifican a continuación.

1. Identificar todos los recursos de información que necesitan ser protegidos: En este
paso es importante tener en cuenta los siguientes aspectos para cada uno de los
recursos de información.
 Localización de la información
 Cómo se protege la información actualmente
 Propietario de los datos (Persona que conoce el valor de la información para
la empresa)
 Custodio de los datos (Persona responsable para salvaguardar la información
 Formato de la información (base de datos, archivos, aplicación)

2. Identificar las medidas de protección de la información teniendo en cuenta la


necesidad del negocio y objetivos de la protección de la información:
 Autenticación: Donde se puede utilizar la autenticación sencilla
(identificador y contraseña) y la autenticación doble(identificador, contraseña
y secreto clave)
 Acceso basado en roles: Basado generalmente en necesidades del negocio y
funciones del trabajo. En este caso se maneja una Lista de control de acceso
(ACL) la cual contiene el nivel de acceso para cada persona (leer, editar y
borrar).
 Cifrado: Se utiliza para asegurar la privacidad de información sensible o
personal, también para que la información no sea vista o alterada sin
detección alguna.
 Controles administrativos: Sirven para asegurar la integridad de la
información.
 Controles tecnológicos: Protección de virus, redundancia del disco, sistema y
aplicaciones, al igual que segregación de la red.
 Garantía: Validación de la protección del sistema. Con la ayuda de monitoreo.

3. Identificar las clases de información: La siguiente lista contiene distintas clases de


información que puede manejar una empresa.
 Confidencialidad
 Disponibilidad
 Integridad
 Propiedad
 Altamente sensible
 Función sensible
 Restringida de negocio
 Restringida de propietario
 Discreción de propietario
 Uso de la compañía
 Uso interno
 Uso público
 Negocio crítico
 Negocio sensible
 No esencial

4. Mapear las medidas de protección de la información a las diferentes clases de


información.
 Sensibilidad y confidencialidad: Se tienen en cuenta 2 criterios
Criterio de Altamente Función Propietario Uso de la Uso Público
Protección Sensible Sensible Discreto Compañía
Autenticación  Id usuario,  Id usuario,  Id usuario,  Id usuario,  Autentica-
contraseña contraseña contraseña contraseña ción no
fuerte fuerte fuerte fuerte requerida
 Ingreso  Ingreso
encriptado encriptado
Aprovisiona-  Alta adm. o  Adm. de  Autorización Acceso  Acceso
miento autorización autorización y automática- automática-
del  Basado en administraci mente para mente a
propietario roles ón delegada empleados todos los
de los datos al creador o usuarios del
 Acceso propietario sistema de
individual información
Tabla 3. Sensibilidad vs. Confidencialidad

 Integridad y uso apropiado


o Alto
 Actualización de acuerdo a las especificaciones del
propietario de los datos.
 Separación de funciones para las operaciones financieras.
 Todas las copias de la información se tienen en cuenta y se
destruyen antes de la eliminación
 Sujeto a cambios de control
 Tutoriales de código requerido
 Cifrar todas las transacciones de información
 Cifrar la información en reposo
o Medio
 Actualización de acuerdo a las especificaciones del
propietario de los datos.
 Sujeto a cambios de control
 Tutoriales de código requerido
 Cifrar las transacciones por Internet.
o Bajo
 Sin integridad o uso de controles apropiados
 Disponibilidad
o Alto
 No hay tolerancia para la interrupción del servicio durante
las horas de negocio.
 Formación de la Cruz de las operaciones comerciales de
personal requerido
 La protección antivirus necesaria
o Medio
 Debe ser recuperado dentro de las 8 horas de trabajo
 Formación de la Cruz de las operaciones comerciales de
personal requerido
 La protección antivirus necesaria
o Bajo
 La protección antivirus necesaria
 Conformidad
o Alto:
 Capacidad de supervisión regulares
 Monitoreo regular de violación
 Operación regular de control de registro de las funciones
sensibles
 Reunión periódica revisión del registro de
 La red y detección de intrusión en el sistema
o Medio:
 Violación registros disponibles para su revisión.
 Registros de transacciones disponibles para su revisión.
 Capacidad de supervisión por petición.
 Registros de eventos disponibles para su revisión.
 La red y detección de intrusión en el sistema
o Bajo:
 La auditoría no está habilitado; revisar el registro no está
disponible.
 no hay control
 Continuidad de Negocio
o Recuperado
o No recuperado

5. Clasificar la información: Lo que se realizó en el paso anterior se debe aplicar a los


recursos del primer paso. Si las medidas de protección y las clases de información
asociadas no se adaptan a todas las fuentes de información (1er paso) se debe hacer el
siguiente paso.
6. Repetir si es necesario.

8. Normas para la Clasificación de Seguridad de Información Federal y Sistemas


de Información. [NCSIFSI_USA]. [8]
En esta norma se definen tres niveles de impacto potencial en cuanto a la seguridad de la
información de una empresa permitiendo una pérdida en los tres objetivos de la información:
confidencialidad, integridad o disponibilidad. Cada una de las definiciones de los tres
impactos se debe llevar a cabo para cada contexto dentro de una empresa según los intereses
de cada uno.

 Impacto potencial Bajo: La pérdida de la confidencialidad, integridad o


disponibilidad tiene efectos adversos limitados en las operaciones de la organización,
los activos de la organización, o individuos.

 Impacto potencial Moderado: La pérdida de la confidencialidad, integridad o


disponibilidad tiene efectos adversos serios en las operaciones de la organización, los
activos de la organización, o individuos.
 Impacto potencial Alto: La pérdida de la confidencialidad, integridad o
disponibilidad tiene efectos adversos severos o catastróficos en las operaciones de la
organización, los activos de la organización, o individuos.
La clasificación de la información se realiza según los tipos de información que una empresa
maneje.

El formato generalizado para expresar la categoría de seguridad, SC, de un tipo de


información es el siguiente:
SC tipo de información = {(confidencialidad, impacto), (integridad, impacto),
(disponibilidad, impacto)}
donde los valores para el impacto es bajo, moderado, alto o no aplica (NA).
 Información Pública
SC de información pública = {(confidencialidad, NA), (integridad, moderado),
(disponibilidad, moderado)}.
 Información investigativa
SC información sobre las investigaciones = {(confidencialidad, alto), (integridad,
moderado), (disponibilidad, moderado)}.
 Información administrativa
SC = {información administrativa (confidencialidad, bajo), (integridad, bajo),
(disponibilidad, bajo)}.

9. HMG Security Policy Framework. [HMGSPF_UK]. [9]


El gobierno del Reino Unido considera 5 niveles teniendo en cuenta la sensibilidad de la
información:

 Top Secreto
 Secreto
 Confidencial
 Restringido
 Protegido
10. Queensland Government Information Security Classification Framework.
[QGISCF_AUS]. [10]
EL marco de clasificación para la seguridad de la información del gobierno de Queensland en
Australia tiene en cuenta dos grandes categorías en las que se encuentra la información oficial
del gobierno y son la información que puede ser de uso público y la información que necesita
un control apropiado para proteger su confidencialidad. A continuación está una imagen con
la clasificación de la información que necesita un control especial.

Ilustración 1. Clasificación de la información. [10]

Como se puede observar en la figura para la información oficial no pública se divide en dos
categorías: la no clasificada y de seguridad clasificada. La información que no puede ser
pública pero que no necesita un control especial en cuanto a seguridad se deja en la categoría
no clasificada para tener en cuenta que ya se le realizó una evaluación a esa información.
Para la categoría de seguridad clasificada, de acuerdo con el riego de compromiso necesita un
control adicional y se divide en información de seguridad nacional e información de
seguridad no nacional, cada una de ellas se divide en los siguientes niveles:

 Información de seguridad nacional


o Top secreto
o Secreto
o Confidencial
o Restringida
 Información de seguridad no nacional
o Altamente protegida
o Protegida y gabinete en confianza
o X en confianza
o Sin clasificar

11. Information Security Classification. [ISC_CAN]. [11]


El gobierno de Alberta, Canadá en la guía de clasificación de seguridad de la información
identificó 4 niveles para esta clasificación, son:

 Sin restricción: Información que es poco probable que cause daño. Está disponible
para el público, empleados y contratistas, sub contratistas y agentes que trabajan para
el gobierno.
 Protegida: Información sensible para el gobierno y que puede impactar algunos
servicios del mismo. Incluye información personal, financiera. Está disponible para
empleados y para empleados no autorizados que necesiten conocer la información
para propósitos relacionados con los negocios.
 Confidencial: Información sensible para el gobierno que puede causar pérdidas
graves de privacidad, ventaja competitiva, perdida de confidencialidad en los
programas del gobierno y puede causar hasta daños en las asociaciones, relaciones y
reputación. Solo está disponible para una función, grupo o rol específico.
 Restringida: Información que es extremadamente sensible y puede causar grandes
daños en la integridad y la imagen (pérdida de la vida, riesgos para la seguridad
pública, pérdidas sustanciales financieras, dificultades sociales, y un gran impacto
económico). Está disponible sólo para las personas nombradas o posiciones
específicas.

12. State secrets: China’s legal labyrinth. [SSCLL_CHI]. [12]


La república China en el artículo 9 de la ley de los secretos de estado clasifica la información
dentro de tres categorías según los niveles de daño a la seguridad del estado y los intereses
nacionales:
 Top secreto: Si causa daños extremamente serios al publicarse
 Altamente secreto: Si causa daños serios al publicare
 Secreto: Si causa algún daño al publicarse.
Investigación en empresas.

Digiservices Ltda.

Es una compañía dedicada al procesamiento de datos, control de registros y auditoria de


información, que ha llevado proceso para más de un centenar de clientes de carácter oficial y
privado durante más de diecisiete años de experiencia en el sector. La experiencia adquirida
durante estos años en el manejo de procesamiento de información, nos ha permitido entender
la importancia de realizar procesos integrados, aplicando la gestión idónea y permitiendo
tener una visión más globalizada y orientada al mejoramiento continuo de los procesos,
implementando normatividad estándar de medición de la gestión,. Con el objetivo de
optimizar los recursos, satisfacer a nuestros clientes y brindar el mejor servicio. [13]

Clasificación de la información

Esta información se obtuvo de las personas encargadas del manejo de la información de la


empresa Digiservices.

La clasificación de la información que se maneja tiene en cuenta tres de los atributos de


seguridad (confidencialidad, integridad y disponibilidad) y los niveles se explican a
continuación:

 Confidencialidad.
 Reservado de la empresa
 Reservado empresas outsorcing
 Integridad.
 Media: Cambios realizados se pueden recuperar. Pérdidas que se pueden
manejar. (Información interna de la empresa)
 Alta: Cualquier cambio puede ser perjudicial para la empresa. (Información
de las empresas que los contratan)
 Disponibilidad.
 Baja: Información que puede estar no disponible máximo un día sin causar
pérdidas.
 Media: Información de la empresa que puede estar no disponible hasta
máximo 5 horas en el día sin causar pérdidas
 Alta: Información de las empresas las cuales tienen que estar disponible todo
el tiempo para su consulta durante un tiempo determinado según el contrato.
(Un periodo de tiempo no mayor a 5 horas no puede causar pérdidas)

MCI – Misión Carismática Internacional.


Esta información se obtuvo de una entrevista con el director de Sistemas de esta empresa.

Clasificación de la información

En esta empresa se manejan dos tipos de información que son la administrativa y la


ministerial. A continuación se especifica la clasificación de cada uno.

 Confidencialidad.
 Administrativa.
 Alta: Información que solo los cargos más alto tienen acceso. Por
ejemplo informes gerenciales
 Media: Información administrativa a la cual se tiene acceso por
roles.
 Ministerial
 Alta: Información que solo los cargos más alto tienen acceso. Por
ejemplo informes financieros
 Media: Información personal de los miembros de la iglesia.
 Baja: Información pública.
 Integridad.
 Administrativa
 Alta: Información que si se modifica puede ser tener un efecto grave
dentro de la empresa. Ejemplo: Cuentas contables.
 Media: Información que si se modifica puede ser tener un efecto
serio dentro de la empresa. Ejemplo: Información del personal.
 Baja: Información que si se modifica no afecta notablemente a la
empresa. Ejemplo: Información de reuniones.
 Ministerial
 Media: Información que si se modifica puede tener consecuencias
leves.
 Baja: Información que si se modifica no es importante.
 Disponibilidad.
 Administrativa
 Alta: La información debe estar disponible todo el tiempo
 Media: Puede demorarse hasta máximo 10 horas en tener acceso a la
información
 Ministerial
 Media: Puede demorarse hasta máximo 5 horas en tener acceso a la
información

Criterios de valoración de los documentos


Para la valoración de los documentos descritos anteriormente se manejará un modelo
reactivo, el tradicional, ya que lo que se busca hacer es un análisis de la información con la
que se cuenta hasta este momento [14].

Cada documento está identificado con un código para facilitar el análisis con cada uno de los
criterios que se va a tener en cuenta para su valoración:

 Contenido informativo (Variedad en la información): En el siguiente cuadro se


encuentra un resumen de los niveles de clasificación que se encuentra en cada
documento analizado. Lo que se busca es ver las similitudes y las relaciones que se
tienen entre estos documentos.

Documento/Niv
0 1 2 3 4
el
Confidencia
MPSI_ARG Público Uso interno Secreto
l
ACI_COL Público Uso interno Privada Reservada Clasificada
Altamente
Confidencia
CDLI_COL Público Restringida confidencia
l
l
ST-729_COL Público Semi Privada Privada Reservada
Confidencia
C4.1_USA Público Secreto
l
No Confidencia Súper
DoDTCSEC_USA Secreto
clasificado l Secreto
Uso de la Propietario Función Altamente
GSEC_USA Público
compañía discreto sensible Sensible
Informació
Información
n
NCSIFSI_USA Público Administrativ
Investigativ
a
a
Confidencia
HMGSPF_UK Protegido Restringida Secreto Top Secret
l
Confidencia
QGISCF_AUS Público Restringida Secreto Top Secret
l
Sin Confidencia
ISC_CAN Protegida Reservada
restricción l
Altamente
SSCLL_CHI Secreta Top Secret
Secreta
Tabla 4. Resumen de diferentes tipos de clasificación de la información.

 Críticas de Fuentes.
o Datación. ¿Cuándo se produjo?
o Localización en el espacio. ¿Dónde se produjo?
o Autor. ¿Quién lo produjo?
Documento/Criterio Datación Localización Autor

República
MPSI_ARG 25/07/2005 Oficina Nacional de Tecnologías de la Información
Argentina
Departamento de Seguridad Informática-Banco de la
ACI_COL 01/05/2011 Colombia
República
CDLI_COL 19/09/2006 Colombia Aeronáutica Civil
ST-729_COL 05/09/2002 Colombia Secretaría General de la Alcaldía Mayor de Bogotá D.C.
C4.1_USA 2007 EE UU IT Governance Institute
DoDTCSEC_USA 26/12/1985 EE UU Departamento de Defensa
GSEC_USA 28/02/2003 EE UU SANS Institute. (Susan Fowler)
NCSIFSI_USA 01/02/2004 EE UU NIST: National Institute of Standards and Technology
HMGSPF_UK 01/05/2011 UK Cabinet Office
QGISCF_AUS 01/10/2010 Australia Queensland Government Chief Information Officer
Information Management Branch, Government and Program
ISC_CAN 01/02/2005 Canadá
Support Services Division, Alberta Government Services
SSCLL_CHI 2007 China Human Rights in China
Tabla 5. Datos organizaciones fuentes.

 Nivel jerárquico de las administraciones (Organizaciones punteras)


Colombia y Estados Unidos son los países de los cuales se tiene más fuentes de
información por lo cual a continuación se encuentran los niveles jerárquicos para
cada uno de estos países.

País / Nivel
0 1 2 3
Jerárquico
SANS
IT
Estados Institute. NIST: National Institute of Departamento de
Governance
Unidos (Susan Standards and Technology Defensa
Institute
Fowler)
Secretaría General de la Departamento de
Aeronáutica
Colombia Alcaldía Mayor de Bogotá Seguridad Informática-
Civil
D.C. Banco de la República
Tabla 6. Nivel jerárquico organizaciones.

Los criterios anteriores se tuvieron en cuenta para determinar los niveles de clasificación de
la información que mejor se adapte a las empresas Colombianas, los cuales serán los que se
utilicen en la guía metodológica que se está desarrollando para apoyar a las empresas
MiPyMEs Colombianas en la toma de decisión para la migración a la nube pública.

• Información que está disponible para cualquier


Pública persona interesada

• Información que está disponible para los empleados


Uso Interno de la empresa

• Información que sólo estará disponible para


Privada personas autorizadas

• Información que debido a su nivel de sensibilidad


Reservada / Secreta tendrá un grado más alto en seguridad

Altamente reservada • Información de alta importancia que sólo podrá ser


/ Súper Secreta accedida por los altos mandos de la empresa

Ilustración 2. Niveles de Clasificación de la información propuesta.

En la siguiente tabla se especifica cada uno de los niveles teniendo en cuenta los tres
atributos de calidad (Confidencialidad, Integridad y Disponibilidad). Se debe aclara que esto
es un ejemplo de cómo se podría llenar esa información, ya que dentro de cada cuadro
puedan haber diferentes características debido a que esto puede cambiar para cada tipo de
activo de información y de los objetivos del negocios. Por lo tanto cada organización debe
definir cada una de las relaciones (Nivel de clasificación – atributo de calidad) dependiendo
del activo de información y del proceso con el que se relacione dicho activo.

En cuanto a la disponibilidad, no es lo mismo que una información necesaria no esté


disponible por una hora o un día o un mes. Puede que una hora de no disponibilidad sea
irrelevante, mientras que un día sin esa información ya podría causar un daño moderado; pero
si no está disponible por un mes ya puede causar problemas más serios. No existe
proporcionalidad entre el tiempo en que no está disponible y las consecuencias.
[MAGERIT_ESP]

Nivel /
Confidencialidad Integridad Disponibilidad
Atributos
* Se puede reparar
Pública * N/A * N/A
fácilmente
* Durante un periodo de
Uso * Se puede reparar tiempo no menor a una
*Acceso para empleados
Interno dejando algunas pérdidas semana podría causar
pérdidas significativas
* Solo puede ser accedida por * Durante un periodo de
grupos específicos de usuarios * Puede dejar pérdidas tiempo no menor a dos o
Privada
autorizados por alguna significativas tres días podría causar
autoridad dentro de la empresa pérdidas significativas
* Durante un periodo de
* Acceso para personas con tiempo no menor a un
Reservada * Causa grandes daños
posiciones específicas día podría causar
pérdidas significativas
* Información de alta
* Durante un periodo de
importancia que solo puede ser * No se puede reparar
Altamente tiempo no menor a una
accedida por personas que ocasionando grandes
Reservada hora podría causar
ejerzan cargos de alto rango pérdidas
pérdidas significativas
dentro de la empresa
Tabla 7. Ejemplo detalle clasificación de la información
Referencias
[1] Modelo de Política de Seguridad de la Información para Organismos de la
administración Pública Nacional, Versión 1. Julio 2005. Disponible en:
http://www.sgp.gov.ar/sitio/PSI_Modelo-v1_200507.pdf

[2] Departamento de Seguridad Informática, Dirección General de Tecnología. Banco de la


República. Actualización Clasificación Información para Efectos de Aseguramiento de la
Misma. Mayo 2011.

[3] Aeronáutica Civil. Clasificación de la Información (Normas) versión 2.0. 19 septiembre


2006.

[4] Corte Constitucional de Colombia. Sentencia T-729 de 2002 (26 Dic 2008) Disponible
en: http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=9903

[5] IT Governance Institute. Cobit 4.1. 2007 Disponible en:


http://cs.uns.edu.ar/~ece/auditoria/cobiT4.1spanish.pdf

[6] Departamento de defensa de los Estados Unidos. Orange Book. Department Of Defense.
Library N° S225, 711. EEUU. 1985. Disponible en: http://www.doe.gov.

[7] Susan Fowler. Información de la Clasificación – Quién, Por qué y Cómo. 2003. GIAC
Security Essentials Certification (GSEC). SANS Institute.

[8] Normas para la Clasificación de Seguridad de Información Federal y Sistemas de


Información. Febrero 2004. NIST: National Institute of Standards and Technology

[9] Cabinet Office. HMG Security Policy Framework. Mayo 2011.

[10] Queensland Government Chief Information Officer . Queensland Government


information Security Classification Framework. Octubre 2010

[11] Information Management Branch, Government and Program Support Services Division,
Alberta Government Services. Information Security Classification. Febrero 2005.
[12] Human Rights in China. State secrets: China’s legal labyrinth. Human Rights in China.
2007.

[13] Digiservice Limitada. Disponible en: http://www.digiservice.com.co/

[14] MEMORIA - XXI Congreso Archivístico Nacional “Valoración Documental un reto


archivístico en los tiempos actuales”. 2009