Clasificación de la Información: Un ritual que cada vez cobra mayor importancia
Resumen – La palabra “Información” se ha convertido en uno de los términos de moda, siendo de los más utilizados y hasta la Real Academia de la Lengua se ha preocupado por precisar su propia definición. Esta peculiar y sencilla palabra tiene varias connotaciones o definiciones según el contexto o el punto de vista con el que se mire, pero en realidad es un término amplio en el que convergen muchas disciplinas. Por ser entonces, esta palabra tan importante, su clasificación la hace aún más significativa y hasta una condición necesaria para las organizaciones del siglo XXI y por ello la razón de este articulo, en donde se explicarán las definiciones básicas, los pasos necesarios para llevar a cabo el proceso de clasificación de la información de forma eficaz y con los mecanismos de protección de la información necesarios como además los factores críticos de éxito para la aplicación de esta práctica y como mantenerla.
Índice de Términos – Confiabilidad - Disponibilidad – Integridad –- Protección de la Información – Seguridad de la Información
I. INTRODUCCIÓN
Para comenzar, se plantea un interrogante se parece absurdo pero su trasfondo hace que las organizaciones piensen realmente en que están haciendo con su información: “¿Cómo una empresa puede controlar la información que gestionan a diario sin antes establecer categorías, niveles o etiquetas que permitan clasificarla y al tiempo poder aplicar sobre ella los controles necesarios para su utilización e incluso para su acceso?”.
Fundamentalmente el objetivo de clasificar la información está en poder permitir que se pueda almacenar la información que se tiene de forma organizada y que además permita facilitar su acceso y uso con el fin de apoyar un proceso o estrategía del negocio. Realmente lo importante está para los directores de TI, en lograr que el uso de la adecuada información y su gestión sea notable en los objetivos del negocio y todo según las necesidades de la empresa cumpliendo las políticas de control de manera que se pueda al tiempo cumplir con la legislación de protección de datos y privacidad.
Está claro para todos que independientemente del área en que se trabaje, la información es sensible, apetecida, codiciada y hasta envidiada por la competencia y la pérdida de algún dato importante por muy simple que parezca puede ocasionar deterioros en la imagen, en las finanzas e incluso se podría hasta asegurar que la divulgación de información no autorizada daría como resultado un daño catastrófico para la organización.
Al parecer se vuelve todo tan complejo que da la sensación que la clasificación de la información es difícil, pero no tiene porque serlo, solo se necesita que sea un proceso estandarizado pero es muy cómico, porque precisamente ese es el principal problema de las organizaciones. Como todo lo que se comienza, al inicio puede ser desalentador, pero con la práctica y la creación de una cultura organizacional se puede hacer del proceso un proceso complejo y continuo teniendo en cuenta que las empresas siempre están cambiando.
Finalmente, no se puede seguir hablando de clasificación de información sin tener en cuenta tres aspectos fundamentales, los cuales hacen parte de las dimensiones de todo el proceso y son: Confidencialidad, Disponibilidad e Integridad.
II. ¿COMO REALIZAR UN PROCESO DE CLASIFICACION DE INFORMACION?
Está claro que para realizar un proceso de clasificación de información, lo esencial es preguntarse: “¿Es importante para el negocio y para la organización saber quien ha accedido a un campo de la base de datos en la cual hay información confidencial personal o legal que pueda afectar la compañía? Seguramente la respuesta a la anterior pregunta es: “SI, Si hay información confidencial en la base de datos”. Por ello la importancia de definir criterios bases, de manera que se pueda establecer cuál es la información privada y cuál pública, hablando específicamente de confidencialidad.
Cuando los Directores de TI o los Directores de Información han realizado las evaluaciones respectivas de riesgo y han clasificado los criterios por ser ellos los líderes, el resto del equipo de trabajo debe poder crear definiciones de clasificación y a ellos se les asignan responsabilidades según cada recursos o grupos de recursos los cuales más adelante les permitirá controlar las tareas establecidas.
Los criterios que sean establecidos, se les hace necesario asignarle un nivel de riesgo como son: nivel de riesgo muy alto, nivel de riesgo alto, nivel de riesgo medio, nivel de riesgo básico y tal vez un nivel de riesgo nulo.
Dicho en otras palabras, hay una jerarquía para clasificar la información e inicialmente es la primera categorización para tener en cuenta. La siguiente figura ilustra las 4 principales subdivisiones en las que se debería clasificar la información.
Figura 1. Clasificación de la Información
La información que se encuentra en el nivel más bajo: Pública, es una clase de información en la cual no se necesita aprobación de nadie para accederla o utilizarla ya que no representa ningún riesgo aunque requiere una baja protección pero puede ser difundida.
Ahora, en el segundo nivel que es de tipo Interno se maneja información con algunos controles de acceso y confidencialidad según criterio del propietario de la misma para ser distribuida, y su perdida, o divulgación no autorizada es solo de importante dentro de la organización por tanto no causa impacto negativo para la compañía.
La información que es de tipo privado o confidencial si es un tipo de información más delicado. El impacto sobre la compañía podría ser alto si esta llega a perderse o divulgarse. Este tipo de información generalmente incluyen datos personales, información de cuentas o estados bancarios, registros sanitarios, etc. Por tanto es necesario el más alto nivel de protección de información para este nivel sin importar en que formato se encuentre: físico o digital.
El primero y más importante tipo de clasificación es la de tipo restringido, muy comúnmente denominada Top-Secret. Su pérdida y/o divulgación causaría gran impacto en la imagen de la empresa, su finanzas y reputación e incluso hasta legal. En este tipo de información es de carácter obligatorio la autorización explícita del propietario o titular de la información para divulgarla o simplemente con “necesidad de saber”.
En las organizaciones, generalmente la información está dividida de la siguiente manera:
Figura 2. Distribución de la información en las organizaciones
Sin embargo, teniendo en cuenta la información suministrada en ambas figuras, se puede establecer una relación importante entre las clases de información, el uso interno y los criterios con los que se relaciona dicha información, en otras palabras es analizar en que porcentaje los distintos criterios pueden afectar un tipo de información como la pública, la interna, la privada o la restringida.
El siguiente cuadro aclara la idea planteada.
| | Confid. | Integ. | Dispon. |
| Restringida | 100% | 100% | 100% |
| Privada | 100% | 100% | 50% |
| Interna | 90% | 50% | 95% |
| Pública | 10% | 10% | 95% |
Tabla 1. Clasificación de la Información según los criterios y su importancia.
Como vemos en la gráfica, es primordial hacer uso de los criterios de confidencialidad, integridad y disponibilidad que se manejan en las organizaciones y así mismo lograr establecer un porcentaje que permita visualizar más claramente a donde debe ir apuntada la seguridad de la información utilizando todos los mecanismos de control y protección existentes.
Los criterios mencionados de confidencialidad, disponibilidad e integridad se dan en función de la información asociada con el marco regulador externo o los criterios internos, el recurso en función del número de usuarios afectados por la no disponibilidad, y la pérdida de la integridad de los activos respectivamente. Bien cabe resaltar que además hay un factor clave en todo esto, y es el tener en cuenta la criticidad de la información.
Hay información que es considerada información para la vida y la seguridad por tanto debe estar al 100% disponible, más aún en caso de desastre, de hecho la no disponibilidad de este tipo de información en situaciones extremas podría llevar a las organizaciones a exposiciones litigiosas.
Por otra parte, se encuentra la información que es esencial y que generalmente constituye la misión de las organizaciones y la cual debe ser restaurada o recuperada a la mayor brevedad posible de no ser así, lo más factible es que se generen atrasos en las operaciones de la compañía. De igual manera está la información no esencial la cual puede ser restaurada cuando la información esencial esté disponible ya que está no es básica para la misión del negocio.
Finalmente, la información derivada la cual corresponde a todos los datos y registros que proviene de los distintos sistemas y que aunque no es de vital importancia y la pérdida de ella no altera las operaciones, suele ser un poco irritante el proceso de recuperación.
A continuación, se describen los tipos de clasificación de la información según su acceso, trasmisión, almacenamiento.
| Tipo de Clasificación | Restric. Acceso | Trasmisión | Almacenamiento |
| Público | No hay restricciones de acceso | No requiere un manejo especial | No requiere protección especial |
| Interno | Acceso limitado a empleados u otros usuarios autorizados | No requiere un manejo especial | Almacenamiento dentro de un sistemas de control de acceso como password protegidos, o archivos del sistema bloqueados |
| Privado | Acceso limitado a usuarios autorizados con “una necesidad” de saber demostrada | Encriptación requerida para redes externas y opcional para redes internas. | Almacenamiento dentro de un sistema de control de acceso como password protegidos, o archivos del sistema bloqueados. No apto para medios portables como USB |
| Restringido | Acceso limitado a usuarios autorizados con “una necesidad” de saber demostrada | Encriptación requerida para redes externas y opcional para redes internas | No apto para medios portables como USB. Métodos de encriptación |
Tabla 1. Clasificación de la información según el acceso, trasmisión y almacenamiento.
Como se expone en las figuras y tabla anterior, los recursos de información incluyendo datos y hasta el mismo sistema deben estar identificados, clasificados y lógicamente protegidos según los distintos criterios o niveles que se creen desde la alta gerencia ya sea según la disponibilidad, sensibilidad, criticidad, etc.
La tabla anterior es un punto clave para el inicio de la clasificación, la cual debería estar respaldada por una guía de clasificación de la información en la cual se encontrarán todos los procedimientos, criterios, niveles y prácticas de seguridad necesarios para gestionar todo el ciclo de vida de la información.
Figura 3. Ciclo de Vida de la Información.
Los mencionados procedimientos implican actividades sencillas como: Copia, Almacenamiento, Transmisión e incluso Destrucción.
Finalmente para completar está práctica de cómo clasificar la información y que es lo más importante para tener en cuenta, se resaltan las responsabilidades más marcadas del propietario de la información, o de la alta gerencia si es el caso.
Entre las responsabilidades más claras en todo el proceso se encuentra:
ü Definir claramente las necesidades que se tengan de un sistema de seguridad de información teniendo en cuenta la clasificación de información hecha previamente y la elección de controles de mitigación de riesgos.
ü Desarrollar funciones y normas de acceso para la aplicación que procesa la información.
ü Aprobar los accesos a la aplicación y a la información según la jerarquía organizacional o según la “necesidad de saber” demostrable por parte del interesado.
ü Lograr aprobación de la alta gerencia para inversión y financiación de métodos de seguridad para proteger la información como uno de los principales activos de la organización.
III. FACTORES CRITICOS DE ÉXITO
Anteriormente, los sistemas de clasificación de información eran demasiado complejos y esto se convertía en un factor crítico de cultura organizacional para el desarrollo de un proceso vital como es el de clasificar la información y adicional a esto terminaba convirtiéndose en un proceso que muy rara vez brindaba beneficios al negocio, por lo tanto esta práctica era casi completamente ignorada.
Los que siempre ha estado indiscutiblemente claro es que hay una necesidad de clasificación y peor o mejor aún se sabe que está debe estar bajo estrictos niveles se seguridad y protección y según el ISF (Information Security Forum) las medidas de protección deben estar basados en niveles de sensibilidad y confiabilidad y además al autor principal y asesor de investigación del ISF, Nick Frost[1] dice que: “La clasificación de información tradicional se caracteriza por tener el sello de “Top-Secret” como en las películas de James Bond”
Una parte critica para llevar a cabo está buena práctica es la evaluación de riesgos y todas y cada una de las organizaciones en menor o mayor proporción deben realizar un análisis de riesgo e impacto en el negocio de estos. Uno de los mayores impactos que se vive en las organizaciones internamente es debido a la divulgación de información confidencial entre los empleados.
Lo que realmente preocupa a las empresas es la suspensión de operaciones, ya que esto apunta directamente en la parte económica y si el problema es porque el factor crítico de integridad falló, entonces se puede hasta perder la capacidad para realizar una correcta gestión de información y la toma de decisiones no sería precisa.
Otro factor importante y que muy probablemente se convierte en el dolor de cabeza entre la gerencia y los administradores de TI es el asunto de las inversiones, del dinero y es que es claro que definir unas políticas de protección de información es muy costoso y no todos los tipos de información deberían ser protegidos. Por lo tanto es valioso tener claro tanto en la gerencia como la administración de TI que el documentar los niveles de clasificación de la información facilitará el trabajo de entendimiento para ambas partes y la toma de decisiones corporativas basadas en la información, los satisface y será mucho más optimo porque se protege el negocio y se garantiza una mayor tranquilidad en función de la información.
IV. ¿CÓMO MANTENER ESTÁ PRÁCTICA?
Primeramente se debería desarrollar un principio para la gestión de información que seguramente se convertirá en una decisión estratégica, en donde el valor de la información vaya coordinado con las decisiones corporativas del gobierno de TI.
La clasificación de la información es un proceso formal y como tal necesita que sea consistente y continuo y para ello es necesario crear y desarrollar técnicas de comunicación que concienticen al personal de la importancia de la información y de cómo protegerla. Además es pieza fundamental la participación de otros departamentos como recursos humanos y también del departamento de jurídica y seguramente con el apoyo de ellos el proceso se llevará con éxito y se convertirá rápidamente en una buena práctica.
Entonces, para mantener la buena práctica de clasificación de la información se hace indispensable:
ü Revisar detalladamente los controles de protección según la clasificación realizada y de manera regular monitorear el proceso según la tasa de cambio de la organización.
ü La reclasificación cobra vida y es justo crear un proceso que especifique las condiciones de cómo y cuándo realizar este proceso.
ü Todos y cada uno de los empleados debe entender lo que se está realizando y el porqué de esta nueva práctica. Deben entender sus responsabilidades desde el proceso de clasificación hasta el proceso de protección e involucrarlos en cada uno de ellos para que sientan lo importante que es contar con su apoyo ya que el factor humano se convierte siempre en la más grande e incontrolable amenaza para los sistemas.
ü Crear un proceso formal de recolección de datos, que permita garantizar la coherencia de los métodos implementados.
ü Realizar informes de auditoría sobre los mecanismos de protección de datos, control de accesos, copias de seguridad y recuperación, y control de cambios.
Una vez el sistema de clasificación de la información este documentado, estandarizado y puesto en marcha según los criterios básicos de disponibilidad, confiabilidad e integridad, se garantiza el cambio organizacional desde los entornos técnicos hasta los altos mandos empresariales.
V. CONCLUSIONES
Si se logra clasificar la información teniendo en cuenta los requisitos de control y protección, puede decirse que la información está acorde con el nivel de la organización.
Que hay costos altos asociados con el sistema de clasificación de la información es claro, pero que estos gastos se compensa de la mejor manera cuando se sabe que la información importante de la organización está a salvo bajo fuertes criterios de disponibilidad, confiabilidad e integridad.
La información siempre que esté en manos manipuladoras, este almacenada y sea modificable, debe ser protegida y esta protección debe apoyarse al 100% en las necesidades del negocio, su objetivo y su misión. Seguramente al clasificar la información y protegerla se está ayudando a la organización a mantener su buen nombre, su reputación, su estado jurídico y financiero entre otros.
Finalmente, está claro que para poder hacer un buen proceso de clasificación de la información deben estar vinculados los dueños del negocio y todos los interesados a los cuales se les debe siempre transmitir el valor del negocio y expresarles la necesidad de proteger el activo de la empresa: la información.
REFERENCIAS
[1]Arias B. Jorge Humberto – “Lo que sucedió el día en que la información decidió ser libre”.www.acis.org.co
[1] Appleyard, Jim. A Corporate Implementation Guide - Information Security Management Handbook, Sixth Edition- CRC Press 2007 - Pages 221–241 Print ISBN: 978-0-8493-7495-1- eBook ISBN: 978-1-4398-3303-2 - DOI: 10.1201/9781439833032.ch19 – Chapter 19 Information Classification http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9781439833032.ch19
[2]Cano, Jeimy. “Administrando la Confidencialidad de la Información”- www.acis.org.co
[3]Corral, Maria Mercedes y Villalobos, Jorge. – Los datos en las Organizaciones. www.acis.org.co
[4] Etges, Rafael y McNeil, Karen - Understanding Data Classification Based on Business and Security Requiments – www.isaca.org.co
[5] Fowler, Susan- Information Classification - Who, Why and How. SANS Institute InfoSec Reading Room. http://www.sans.org/reading_room/whitepapers/auditing/information_classification_who_why_and_how_846
[6] Herold, Rebecca - Organization, Roles, and Separation of Duties - Information Security Management Handbook, Fourth Edition, Volume 4 - Edited by Micki Krause and and Harold F. Tipton - Auerbach Publications 2003 - Print ISBN: 978-0-8493-1518-3 - eBook ISBN: 978-1-4200-7241-9
DOI: 10.1201/9781420072419.ch26 - Chapter 26. Information Protection http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9781420072419.ch26
[7] Peltier, Thomas R. - Information Security Policies and Procedures- A Practitioner's Reference, Second Edition - Auerbach Publications 2004 - Print ISBN: 978-0-8493-1958-7 - eBook ISBN: 978-0-203-48873-7 - DOI: 10.1201/9780203488737.ch13 - Chapter 13 - InformationClassification http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9780203488737.ch13
[8] Peltier, Thomas R. - Information Security Policies, Procedures, and Standards - Guidelines for Effective Information Security Management - Auerbach Publications 2002 - Print ISBN: 978-0-8493-1137-6 - eBook ISBN: 978-0-8493-9032-6 - DOI:10.1201/9780849390326.ch7 - Chapter 7 Information Classification. http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9780849390326.ch7
[9] Peltier, Thomas R - Information Security Policies and Procedures - A Practitioner's Reference, Second Edition Auerbach Publications 2004 - Print ISBN: 978-0-8493-1958-7 - eBook ISBN: 978-0-203-48873-7 - DOI: 10.1201/9780203488737.ch16 - Chapter 16. InformationProcessing http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9780203488737.ch16
[10] SANS Institute InfoSec Reading Room - Information Classification – Who, Why and How.
[1] Appleyard, Jim. A Corporate Implementation Guide - Information Security Management Handbook, Sixth Edition- CRC Press 2007 - Pages 221–241 Print ISBN: 978-0-8493-7495-1- eBook ISBN: 978-1-4398-3303-2 - DOI: 10.1201/9781439833032.ch19 – Chapter 19 Information Classification http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9781439833032.ch19
[2]Cano, Jeimy. “Administrando la Confidencialidad de la Información”- www.acis.org.co
[3]Corral, Maria Mercedes y Villalobos, Jorge. – Los datos en las Organizaciones. www.acis.org.co
[4] Etges, Rafael y McNeil, Karen - Understanding Data Classification Based on Business and Security Requiments – www.isaca.org.co
[5] Fowler, Susan- Information Classification - Who, Why and How. SANS Institute InfoSec Reading Room. http://www.sans.org/reading_room/whitepapers/auditing/information_classification_who_why_and_how_846
[6] Herold, Rebecca - Organization, Roles, and Separation of Duties - Information Security Management Handbook, Fourth Edition, Volume 4 - Edited by Micki Krause and and Harold F. Tipton - Auerbach Publications 2003 - Print ISBN: 978-0-8493-1518-3 - eBook ISBN: 978-1-4200-7241-9
DOI: 10.1201/9781420072419.ch26 - Chapter 26. Information Protection http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9781420072419.ch26
[7] Peltier, Thomas R. - Information Security Policies and Procedures- A Practitioner's Reference, Second Edition - Auerbach Publications 2004 - Print ISBN: 978-0-8493-1958-7 - eBook ISBN: 978-0-203-48873-7 - DOI: 10.1201/9780203488737.ch13 - Chapter 13 - InformationClassification http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9780203488737.ch13
[8] Peltier, Thomas R. - Information Security Policies, Procedures, and Standards - Guidelines for Effective Information Security Management - Auerbach Publications 2002 - Print ISBN: 978-0-8493-1137-6 - eBook ISBN: 978-0-8493-9032-6 - DOI:10.1201/9780849390326.ch7 - Chapter 7 Information Classification. http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9780849390326.ch7
[9] Peltier, Thomas R - Information Security Policies and Procedures - A Practitioner's Reference, Second Edition Auerbach Publications 2004 - Print ISBN: 978-0-8493-1958-7 - eBook ISBN: 978-0-203-48873-7 - DOI: 10.1201/9780203488737.ch16 - Chapter 16. InformationProcessing http://ezproxy.uninorte.edu.co:2051/doi/pdf/10.1201/9780203488737.ch16
[10] SANS Institute InfoSec Reading Room - Information Classification – Who, Why and How.
No hay comentarios:
Publicar un comentario